主機與網路, 資訊安全, 管理服務, 網站經營

PHP 5 將停止更新支援,企業網站該如何自處?

在 2018 年的倒數幾週,企業除了全力衝刺年底銷售業績外,還有一件重要 IT 大事不容忽略,就是「PHP 5.6 即將在 2018 年 12 月31 日 終止更新支援」,這意味著 PHP 5 將正式步入歷史,並影響著台灣半數以上的網站安全及功能運作,企業勢必需做出更版或風險轉嫁之因應對策,並藉此機會重新檢視網站架構與安全狀態。

各版本 PHP 網站的因應對策

PHP 5 在台灣發展已達 10 年以上,且是目前熱門的網站開發語法之一,故一旦停止更新支援將直接衝擊台灣半數以上的網站,不過,或許很多人沒留意到,其實早在兩年前官方就開始釋出停止更新消息,而以台灣現況來說,匯智發現目前仍有近半數網站採用舊版 PHP,分析原因,關鍵還是在於企業的經營是否仰賴網站,更白話點來說,就是當網站掛掉時是否影響企業營運甚至就此停擺。以電商網站來說,每日營收來源就是網站,故格外重視網站的穩定營運,並制定定期的安全升級作業與系統優化,藉此鞏固服務的正常運作,反之,若只是一個單純不影響企業營收與品牌等營運關鍵的網站,則可能會因缺乏與網站設計團隊的長期性維護合約,故無常態性更新,自然現階段就繼續採用 PHP5.6 或是更舊版本的系統。

針對本次更新,我們以 PHP 5.6 為分水嶺,分享在面對這項版本異動時企業可以如何接招。

PHP 5.6 以下版本網站:

由於明年開始官方就不再提供定期性的更新,故為了避免出現系統漏洞而成為駭客攻擊的目標,建議企業可以先找網站設計團隊進行整體的安全診斷,並評估是否進行版本優化,此外,也可以利用 PHP 相容性工具,檢測當網站需要進行改版升級時,需要修改的程式語法以及對網站經營的影響程度,規劃適合的網站升級與效能優化時程。而若是發現目前還無法進行版本更新,也可以透過主機服務商獲得風險轉嫁建議(詳見下一段),採用相對應適合的資安工具,減低未來可能發生的安全風險。

PHP 5.6 以上版本網站:

雖然現在 PHP 5.6 以上各版本仍維持常態性的安全更新,但以 7.1 版本來說,官方預計在 2019 年 12 月 1 日終止支援,故網站管理者仍不可鬆懈,並且應該養成良好的網站更新觀念,將網站的營運視為企業長程目標,即企業在、網站在,不應只是為了配合系統的重大變革才開始尋求解決之道,這只會淪為頭痛醫頭、腳痛醫腳,無法從根本解決問題,並仍可透過資安工具,為網站使用者帶來更安全、值得信任的網站環境。

在這數位化時代下,我們常在說,若今天在網路中遍尋不著企業網站的影子,就如同這間企業根本不存在般,不僅自己先割捨掉了龐大的消費客群,還無法讓別人更了解這間企業,而不了解,又如何會取信於企業,進而進行消費行為呢?因此,網站的穩定營運,對於企業來說真的相當重要,而我們也會建議各企業應與網站設計公司簽訂常態性的維護合約,一來當網站有問題可以立即找得到人處理,其次也可以藉由定期的檢視,檢視網站狀態,並配合企業各階段目標制定優化策略。

正確的資安觀念,為企業網站從裡到外抵擋安全危機

以匯智來說,同時身兼主機服務商與網站設計業的好夥伴,我們不會限制客戶一定要選擇現成套版網站、開源的 CMS 平台或由設計師手刻網站,無論哪類開發語言或是版本,我們認為,匯智角色只有一個,就是跟客戶站在同一陣線,站在客戶角度,了解客戶的想法與經營目標,協助客戶與網站設計公司研擬出最適合客戶且專業可靠的主機管理,協助分析各項利與弊,並運用工具的組合,替客戶守護網站安全。以下分享四項基本的安全防護原則,而這也是匯智在客戶的主機管理中不可或缺的 to do list。

網站主機的管理維運

主機可說是網站的根基,支撐起網站的穩定運作。以匯智所管理的虛擬主機來說,我們採用多層資安防護機制,預先關閉高風險函式,並採逐一檢驗的方式進行安全性確認,而主機的預設條件之所以如此嚴苛,甚至提高了我們管理流程的繁複程度,為的是讓每位客戶擁有更穩定且安全的服務品質。我們都了解,虛擬主機的特色是將主機切割成多個空間,讓每位用戶擁有一定的資源,而為了避免不同網站間彼此競爭資源,或是因某個網站的安全風險影響到整台主機的穩定運作,故我們堅持事前的安全措施一定要做足,才能讓客戶安心將網站交給我們託管。此外,匯智也會將採用相同 PHP 版本的客戶集中管理,以利規劃將對應的安全措施,提高服務 安全性。

網站安全的風險轉嫁

由於每個網站的程式語法、架構與經營目的都不同,因此我們在提供服務時,也會詳細了解客戶需求,並規劃完整的網站安全解決方案,透過我們自己也同步採用的多樣資安防護工具,例如網站安全掃描工具 HackerScan、網站應用程式防火牆 WAF、壓力測試、網站備份備援,或是大型企業都需要的原碼掃描、滲透測試等,提升客戶網站安全。以本次更新來說,當客戶在評估過後,發現無法採用較新版本的 PHP 版本時,我們會協助在主機 IT 架構下,加上適合的資安防護服務,藉此轉嫁安全風險,當真的出現安全漏洞時,便能有效過濾,將企業服務營運的影響降至最低。

定期的主機監控與優化報告

由於發現目前多數網站的安全更新觀念,仍舊取決於經營目的,故我們會藉由定期的主機效能報告與優化規劃,適時以諮詢顧問的角色,讓客戶了解網站現在的狀態,分享各種網站經營與安全趨勢,從成本、資安、與效能使用率等各角度給予主機優化建議,因為當企業經營規模壯大時,網站需求自然會成長,沒有一個網站能完全不需調整就能滿足企業各階段需求,故更需要專業的顧問,來陪同企業與網站一同成長。

安心的 co-work

對於匯智來說,我們希望帶給客戶的,是無論今天客戶是否有網站、網站經營得如何、或是是否有常態維運更新,都能透過我們來讓網站變得更好。因此當遇到使用較舊版本的客戶,我們會先說明舊版本所存在的安全風險,並且適時偕同設計師,協助客戶進行網站改版,而當面對久未維護的網站時,則會先仔細審視目前網站的現況,並了解此網站的經營目的、流量、異動頻率等,給予優化規劃。或許該說,我們就像是各家企業內的 IT 般,依據不同類型的企業給予適切的主機建議,並進行管理維運,並期望客戶可以透過我們,讓服務更加茁壯。

藉由本次的 PHP 5.6 更新議題,最後我們想傳達的觀念是,其實無論是用哪個版本的語法開發,都可能會存有安全風險,因此企業該從治本的方式進行網站維運,定期檢視網站安全性,並運用資安工具提升網站防護能力,而根據 Gartner 的報告指出,安全的網站可以提升 45% 下單率,因此我們希望能藉由匯智的服務,讓每位客戶都能成為那獲利的一群!

 

圖片來源:pixabay/blickpixel

    發表迴響