Posted by 在網路駭客攻擊氾濫之下,我們經營的網站該如何確保其安全性呢?
雖然駭客攻擊手法不斷更新進化,我們依然可以透過一些網站安全措施來避免駭客入侵,唯獨有做安全防護總比沒做要來的好;不曉得大家是否有印象前陣子有一則新聞報導民進黨中央網站被有心人士駭客入侵,有心人士惡作劇故意在網站首頁留下簡體字樣與搞怪圖片,使得網站緊急關閉,目前雖已恢復正常運作,但單從網站安全性來看已讓網友們憂心網站是否安全;因此我們在經營網站時不能輕忽網站安全性,一方面攸關於網站本身的安全性外,也關係到訪客對於你網站信任感。
若經營的網站無法讓訪客們覺得安心,相對的就會影響訪客再次回訪網站的意願,要怎麼做才能讓增加網站安全且取得訪客的信賴呢?
使用「SSL安全加密協定」及「HTTPS傳輸安全協定」來保護網站
「SSL」的全名為Secure Sockets Layer安全通訊協定 ,可透過加密傳輸技術來保護網際網路上傳遞的資料完整性及安全性,用以防止傳遞中的隱私資訊被駭客讀取或是遭到竄改。
「HTTPS」的全名為Hypertext Transfer Protocol Secure傳輸安全協定 ,是由原本的HTTP延伸加入SSL/TLS層的安全連線技術,主要是透過網際網路進行安全傳輸工作並且使用SSL/TLS進行加密封包,其目的一樣也是保護網路間傳遞資料的隱私及安全性。
建議只要是網站都需要申請SSL憑證及使用HTTPS加密來保護網站,尤其是電商或購物金流類型網站,皆需要涉及到用戶金融交易及個人敏感資料等資訊,常見網站因沒使用加密認證導致客戶資料遭竊取或是外洩,後果不堪設想,導致網站客戶流失及失去客戶對網站的信任感。
且從今年的5月起Google已宣布HTTPS的網站若目前使用的SSL憑證未出現在透明化日誌中(Certificate Transparency,CT),Google瀏覽器將秀出全版面的警告畫面,其主要目的是要監控大家的SSL數位憑證是否遭到誤發或濫用,呼籲大家申請的憑證應相容於Chrome的CT政策(*5月1日前頒發的憑證並不受影響),避免網站秀出警告畫面。
利用網站防火牆阻擋攻擊
網站防火牆機制主要是可以過濾掉大量對網站發出的可疑流量請求,阻擋網站遭受惡意攻擊的可能性,經營網站者也可直接透過主機商提供的防火牆服務來加強網站安全性。
維護帳戶安全性
(1)使用權限管理帳號
網站帳號管理權限依據網站不同使用者身份設定不同帳號權限,若網站是給員工代為管理,應將不同職責身份設定不同帳號權限,例如網站平台編輯者僅能夠編輯網站的圖文內容無法看到及修改網站上客戶的資料權限,盡量別把帳號所有權限交給員工管理。
(2)雙因素身份認證機制
現在越來越多網站要求雙因素認證才可登入,這是確保網站帳號安全性的方式之一,例如使用網站密碼登入後需再使用手機、Email、簡訊雙重認證才可成功登入,主要是辨別透過電腦發出登入者的身份與本人是否相符,加以提高帳戶安全性。
「Google Authenticator雙重認證」也是許多網站已應用的帳號認證方式之一,使用Wordpress架站者更可以直接下載「Google Authenticator」外掛使用。
定期做網站資料備份
備份是網站基本的工作,主要是避免網站在遭受惡意攻擊或硬體損壞時導致資料遺失,有了網站備份還能夠救回,網站經營者在選擇主機商時可以確認是否有提供網站資料庫備份服務,同時保障自己網站權益。
如何檢查自己網站是否安全?
可使用網路上提供的線上網站信譽檢測工具來檢測一下網站是否安全,例如URLVoid這項免費線上工具只要將你的網站連結附上加上搜尋,就可以透過20種檢測引擊幫你分析網站是否有遭受惡意軟件威脅,並且會顯示一份安全報告供你參考。
以立京網站為例做測試,立京網站顯示「掃描引擎未報告任何主動威脅。」
