根據2020年的資料指出,網絡攻擊已經從傳統的病毒、蠕蟲進化成以勒索為主的形式,因為勒索比起毫無目的的破壞更為有利可圖,許多個人計算機或是網站主機都是勒索病毒的受害者。我們沒有辦法完全避免勒索或是其他惡意破壞的行為,但我們能夠透過資安方式,加強我們的網站安全:
擬定備份計劃并且執行
備份是網站安全中最基本但最常被忽視的部分。定期備份您的所有網站數據并將其儲存在另一個地方,不論是一個安全的云端空間、離線空間、光盤或磁帶等都是一個很明智的選擇。備份需要被完整執行,而非口號,有太多活生生的案例因沒有落實備份計劃,導致資料毀損導致重大損失。
使用 HTTPS 和 SSL
俗稱網站加密技術,能夠協助用戶的網絡瀏覽器和網站的服務器之間的所有通訊進行加密,避免個資外泄。如果你的網站沒有 SSL 服務,瀏覽器會立即標記為「不安全」就是這個原因。不過請切記HTTPS 和 SSL只能保護通訊的資料,但存放在主機的網站資料并不在保護范圍內,你需要其他的保護政策才能保護你的網站。
.
別讓后臺重地容易破解
許多網站的破壞者與入侵者,并未使用高深的技術,僅使用一些簡易的常用密碼組合,就能破解許多輕忽資安的網站。因此,不要使用你的名字或你的生日做為任何登入帳號密碼,因為這很容易記住。混合使用字母、數字和特殊字符,使破壞者無法猜測您的網站登入詳細訊息。
限制用戶訪問權限
網站訪客越多,安全漏洞的可能性就越大,尤其是網站的管理平臺(俗稱后臺)只能給予工作者訪問權限,切記不要將一個密碼提供給多個人,確保每個人都有自己的登入帳號與密碼。許多知名的資安事件,都是因為離職員工知道公司多人共享的賬號密碼,登入后臺后進行大肆破壞,導致無可挽回的事件。
更新網站軟件版本
網絡攻擊通常是自動化的,透過機器人來尋找易受攻擊的網站,而未定期更新、密碼過于簡易的網站,就是下手的最佳目標。一般來說,網站管理者必須時常更新的是架站平臺,例如Wordpress、Durpal,但系統管理原則要更新核心的平臺版本,例如PHP、APACHE、NGINX。
可信賴的網站主機商
如果您的網站沒有包含任何敏感數據,一般小型主機托管公司就能夠順暢運行你的網站,但如果你的網站有客戶訂單、資料、會員紀錄等資料...那可別這么做。您必須找一個您信任的網站主機托管服務公司。理想的主機托管公司能夠阻絕基本的網絡攻擊以確保網站正常運行。比較積極的主機公司也會提供許多網站安全套餐服務,例如:異地備援、不斷電服務、資安定期掃描、資安弱點評估、網站攻擊預警、網站攻擊防護、網站流量平衡等服務,當然,這些服務并不便宜,有些還非常昂貴,但會大幅提高網站的安全性。