網站基礎資安 ,您該考量與顧慮的三件事
主機與網路, 資訊安全, 網站經營

網站基礎資安 ,您該考量與顧慮的三件事

網路詐騙的年代,即便只是個一頁式的網頁,且網址有使用與品牌一模一樣的網域名稱,那也要必須再幫網站加上 SSL 數位憑證,讓網址列變為有鎖頭圖示與 https 開頭的樣子,這樣才能讓消費者信任這個網站,並了解在網站上輸入的資料是會受到保護的,也才會勇敢下單,這就是 SSL 對網站安全的重要性與影響力;那麼,除了 SSL 數位憑證之外,還有什麼是影響網站資安的呢?本文我們先從基礎的開始,分別從企業網站運行面與使用者使用感受面的角度來看,整理了三個在 網站基礎資安 中,應該要考量與顧慮到的事與大家分享。

網站基礎資安 一:您所選用的網站主機,提供了哪些安全防護

網站做完了,需要有一個網站主機來放您的網站檔案,並設定網址的 DNS 指向等等,這樣才能讓網站被看見,一般常見及大量被使用在網站上的就是虛擬主機、WordPress 主機、雲端主機、VPS 主機等等,縱使您使用的網站架設方式是直接使用套版或模版的方式,直接用網站架設平台提供的線上網站建立服務方式所建立的,這服務的背後也同樣是有網站主機在運行。

那麼,網站主機跟網站資安有什麼關聯呢?

網站主機 = 存放網站資料的地方 = 客戶拜訪的地點 = 影響能不能讓您的網站穩定運轉,讓客戶可以好好瀏覽選購的地方

網站主機就等於是您網站的家,存放了你網站珍貴的資料與提供服務,因此,網站主機是否能提供足夠的安全性對您網站資安的重要性,可想而之是非常重要且習習相關的。

在選擇網站主機時,網站主機所提供的安全防護部份,可以針對以下幾點來評估與考量:

  • 防火牆:網站主機是否有防火牆規劃、防火牆如何規劃與建置的
  • 備份與備援:是否有做到備份或備援、備份的機制是如何規劃的、是否有做到每日備份與每週備份、若需要還原時,能提供的還原點為何、需多少時間能完成還原、若有備援機制的話,備援的方式為何、怎樣的情況下會啟動備援機制、備援機制生效所需的時間為何
  • 系統:網站主機相關的 Port 開放與版本的釋出升級是否有規範、若真的有主機系統漏洞時,能否即時發現並修復、網站主機是否有採用主機系統專用的掃毒軟體定期掃毒

若要細談,還有很多可以了解的,但上述的這些可以算是相對基礎的,也直接與您的網站是否能安全穩定運行有關;這些細節一般都是無法單純方案規格、方案價格上去看出來的,必須與網站主機商談過後,才能明白箇中差異,因此建議,在選擇主機服務時,可以花時間多了解一點,在選擇任何一種服務時,都不要只單看一個面向就決定,深入了解才能選擇到最理想的服務內容。

網站基礎資安 二:SSL 數位憑證影響了什麼

SSL 數位憑證的重要性在第一段就說明了,SSL 數位憑證對網站安全的重要性與影響力,不僅僅只是在保護客戶資料傳輸的安全,同時也影響了讓客戶願意在您網站上產生實際購買的行為,影響了您是否能有效減少訂單流失率、提升訂單成交率、不讓網站的行銷預算打水漂。

也因為 SSL 經過前幾年 Google 與蘋果接連大力宣導,還有實際在 Chrome 及 Safari 上調整網站安全性的呈現與信頼機制後,現在,在網站完成要上線前,幫網站加上 SSL 數位憑證已經是一件很基本該做的事情了,甚至若網站要使用的是全新註冊的網域,那有些網站擁有者,在註冊網域的時侯或是租賃主機服務時,就會連同 SSL 都一併購買,等待網站要上線時就能馬上驗證並掛上 SSL 數位憑證。

SSL 的品牌很多,市面上也存在免費與付費的可供選擇,在 SSL 數位憑證的選擇上,可以從憑證提供商的可信度、嚴謹度與品牌信譽來做為選擇的考量,就如同大家在選擇信用卡時,會選擇較有信用或是處事謹慎、積極的銀行,因為在發卡時會做嚴謹的資格審核,並不是隨便申請隨便發卡的,而在刷卡與發生盜刷行為時,也有處理機制能因應,對使用者來說才會相對有保障。

對應到 SSL 也是相似的,SSL 憑證商在憑證的頒發上是需要做網站與申請單位真實性驗證的,不能隨便頒發,若是誤發或濫發,品牌的信賴感就會下降,且憑證中心對於保護在網站上傳送的資料、公司資料驗證與憑證後端儲存的安全性也有一定的責任要負責,因此在提供服務的嚴謹度上也都是影響憑證是否具備公信力的要件。

而免費憑證部份,首先要注意的就是需要常常重置的問題,免費憑證雖然看似省下了購買 SSL 的費用,但事實上,採用免費的 SSL 數位憑證會需要常常重置憑證檔,可能一個月就需要再驗證一次資料及更新憑證檔,才能避免憑證失效,此外,免費憑證也可能會有發錯憑證的機率,但在問題發生後會有找不到人協助處理與解決的情況;或者在憑證要常常重置的這件事上,可能會覺得只是重置憑證而已,就請網站管理者或設計師每個月處理就好,但在凡事都講求高效率的現在,寶貴的時間應該花費在能有更多產值的事情上,千萬不要為了省錢而浪費更珍貴的人力,而且還因此而可能有容易出錯與發生忘記重置憑證的情形發生,使得網站安全性有空窗期。

關於 SSL 數位憑證怎麼申請、SSL 數位憑證怎麼安裝、SSL 數位憑證怎麼選,我們已有寫過幾篇文章能提供參考,當然您也能電洽匯智客服諮詢;若您的網站主機SSL 數位憑證都是與匯智租賃與購買的,那麼匯智客服同仁都會主動協助您完成所需的作業,讓服務順利上線運行。

網站基礎資安 三:有沒有人每日幫您的網站抓錯,還會第一時間通知您?

電腦掃毒、手機掃毒大家應該都不陌生,現在甚至連郵件信箱除了有病毒信件過濾與沙箱測試的功能了,那麼您的網站呢?

網站是一個公開在大眾面前的平台,任何人都能上來瀏覽,甚至有網站爬蟲工具在爬,但網站又不是一個每天會上去檢查程式碼是否有被入侵竄改、被加入釣魚程式、加入側錄程式等,這些駭客為竊取資料或進行詐騙而做的一些惡意行為,因此,如何能讓網站在受到這些攻擊時,能及早知道即時處理就非常的重要,也是在網站完後成,需要考量的一點。

關於網站的掃毒,可以採用 HackerScan 網頁掛馬入侵偵測服務,「 HackerScan 網頁掛馬入侵偵測 」服務正確來說,是能自動偵測網站是否遭到掛馬攻擊的自動化網站安全防護工具,並不算是網站的掃毒功能,只是用掃毒的概念來比喻,會比較容易理解這個服務的重要性。

服務主要就是幫網站擁有者每天自動的去掃瞄網站內的程式碼,就像安排一位工程師一樣,每天自動去幫您將網站程式碼與資料庫做比對,看網站是否被加入了惡意程式或攻擊,像是 XSS 攻擊、惡意 Iframe 嵌入、惡意 JavaScaript 程式、SQL Injections 資料隱碼攻擊等,若有發現問題就會立即通知網站擁有者,並提供問題報告,網站擁有者就能優先針對報告內所列問題進行確認與問題排除,避免網站被惡意程式入侵卻都不知道,若因此而產生了客戶重要的資料外流,或客戶因此了被釣魚受騙,那更是對網站擁有者與品牌的一大信譽傷害。

網站資安還有更進階的,但本文我們就先分享基礎的部份,本文提到的這幾項 網站基礎資安 部份,基本上是每個網站都應該要做、也必須要做的,待這些都先做好後,再來進一步做更進階的規劃;進階的規劃大多會視網站的規模、網站面臨的實際資安問題、網站可能面對的潛在資安問題…來做探討與規劃,會屬於較專屬性、更技術性一點,能選擇的規劃方式與做到的程度也各不相同,在規劃與導入會需要有豐富資安經驗,同時又了解各種網站與產業的廠商來協助,才不會變成隔靴搔癢。

Photo by cottonbro from pexels

歡迎轉載!請見:轉載原則

    發表迴響