網頁設計安全:簡單的方法來保護您的網站免受網路攻擊

根據2022年的資料指出，網路攻擊已經從傳統的病毒、蠕蟲進化成以勒索為主的形式，因為勒索比起毫無目的的破壞更為有利可圖，許多個人電腦或是網站主機都是勒索病毒的受害者。我們沒有辦法完全避免勒索或是其他惡意破壞的行為，但我們能夠透過資安方式，加強我們的網站安全：

擬定備份計畫並且執行

備份是網站安全中最基本但最常被忽視的部分。定期備份您的所有網站數據並將其儲存在另一個地方，不論是一個安全的雲端空間、離線空間、光碟或磁帶等都是一個很明智的選擇。備份需要被完整執行，而非口號，有太多活生生的案例因沒有落實備份計畫，導致資料毀損導致重大損失。

使用 HTTPS 和 SSL 

俗稱網站加密技術，能夠協助用戶的網路瀏覽器和網站的伺服器之間的所有通訊進行加密，避免個資外洩。如果你的網站沒有 SSL 服務，瀏覽器會立即標記為「不安全」就是這個原因。不過請切記HTTPS 和 SSL只能保護通訊的資料，但存放在主機的網站資料並不在保護範圍內，你需要其他的保護政策才能保護你的網站。

.

別讓後台重地容易破解

許多網站的破壞者與入侵者，並未使用高深的技術，僅使用一些簡易的常用密碼組合，就能破解許多輕忽資安的網站。因此，不要使用你的名字或你的生日做為任何登入帳號密碼，因為這很容易記住。混合使用字母、數字和特殊字符，使破壞者無法猜測您的網站登入詳細訊息。

限制用戶訪問權限

網站訪客越多，安全漏洞的可能性就越大，尤其是網站的管理平台(俗稱後台)只能給予工作者訪問權限，切記不要將一個密碼提供給多個人，確保每個人都有自己的登入帳號與密碼。許多知名的資安事件，都是因為離職員工知道公司多人共用的帳號密碼，登入後台後進行大肆破壞，導致無可挽回的事件。

更新網站軟體版本

網路攻擊通常是自動化的，透過機器人來尋找易受攻擊的網站，而未定期更新、密碼過於簡易的網站，就是下手的最佳目標。一般來說，網站管理者必須時常更新的是架站平台，例如Wordpress、Durpal，但系統管理原則要更新核心的平台版本，例如PHP、APACHE、NGINX。

可信賴的網站主機商

如果您的網站沒有包含任何敏感數據，一般小型主機托管公司就能夠順暢運行你的網站，但如果你的網站有客戶訂單、資料、會員紀錄等資料...那可別這麼做。您必須找一個您信任的網站主機托管服務公司。理想的主機托管公司能夠阻絕基本的網路攻擊以確保網站正常運行。比較積極的主機公司也會提供許多網站安全套餐服務，例如：異地備援、不斷電服務、資安定期掃描、資安弱點評估、網站攻擊預警、網站攻擊防護、網站流量平衡等服務，當然，這些服務並不便宜，有些還非常昂貴，但會大幅提高網站的安全性。