管理網站,平常該注意哪些事呢?

評論
評論

我們每天開電腦逛網站,這些看似稀鬆平常的事,是誰讓它變得簡單呢?你可以想像,在每個網站的背後,其實都有著一群非常認真且敬業的工程師,不分晝夜的辛苦監控網站營運,並隨時根據流量變化,即時調整與優化,才能讓電腦桌前的你,可以安心瀏覽網站。

網站並不是上線後就沒事,相反的,上線後才是任務的開始,需要定期的維護、時時關心網站健康,就好比我們每天都會收發 Email、喝水吃東西,有些基本的項目,都該列進網站管理者的例行公事,接著就讓我們一件件檢視,有哪些網站管理的基礎守則吧。

一、定時查看網站存取記錄

網站存取記錄,存放著網站被瀏覽、被下載、被上傳、被存取哪些連結的紀錄。舉例來說,假如網站是 PHP + MySQL,主機通常就是 Linux + Apache 的環境,會有 access_log(範例一)、error_log(範例二)這兩個檔案,接著直接引範例做說明:

範例一、access_log 通常記錄著被瀏覽了哪些連結,哪個來源 IP 瀏覽了此網站。網站如果有帳密登入的功能,想觀察是否有有心人士在嘗試輸入帳密,我們可以從 access_log 查詢來源 IP 是不是自有,也可以因此做一些防範,例如密碼設強一點、定期更換、鎖來源 IP 等等。

範例二、error_log 記錄著被瀏覽的連結可能存有的錯誤訊息,例如 NOTICE 或 ERROR,有 ERROR 就需要注意並修正,否則將影響網站的正常運作。

二、確實檢查網頁檔案及內容

一般網站都會有圖片,而圖片如何來,一是從網頁程式中上傳,另一種則是 FTP 上傳,無論是用何種方式上傳,存放網站圖片的目錄(比方說 : /upload/image)當它裡面出現一個檔案 xx.php,你覺得有沒有問題呢?肯定是要檢查一下!存放網站圖片的目錄裡會有 xx.php ?不是要存 xx.jpg 或 xx.png 等等的檔案類型嗎?

這裡要探討的是,如果是從網頁程式上傳,主要原因就是程式沒有過濾上傳的檔案類型,比方說 xx.php 就不應該被上傳,如果 xx.php 是惡意程式,一旦被執行了可能網站裡所有的資料(包括會員、交易資料)都可能被看光光,甚至破壞網站、刪除資料等,這可是相當嚴重的漏洞,必須小心。

三、定期更新程式

無論網站是否為外包設計公司製作,大家可能多少都會使用一些常見的套裝軟體,像 WordPress、phpBB、Joomla 等等,而以 phpBB 為例,常會因為版本過舊沒有更新,而被利用漏洞塞了很多垃圾留言,導致資料庫的資料量增大,影響程式和資料庫的存取,增加主機負載,這時最明顯的情況就是網站會變得很慢,因此,網站的程式(尤其是用免費的套裝軟體)應該定期檢查並更新,讓服務隨時處於最佳狀態。

四、檢查 SSL 數位憑證有效性

SSL 數位憑證可視為網站的基礎防護,當企業網站具備會員登入功能時,如何才能防止客戶輸入的資料,遭到第三方竊取並解讀呢?這時候就依靠 SSL 數位憑證了,將客戶輸入的機密資料轉換為加密位元,即使遭到攔截,依舊不能完整讀取,一方面是保護客戶資料安全,提升信任感,另一方面則是防止企業需要承擔資安外洩所造成的品牌與財務損失。因此網站管理者需要留意憑證到期日,定期續約,確保憑證可用性。

五、監控網站主機流量變化

通常網站經營一段時間,都會有流量變化的平均曲線,管理者需要確實監控流量變化,避免突然其來的大流量影響網站營運,有時候,短期湧入的超大流量甚至有可能是攻擊事件,惡意癱瘓網站,導致服務無法順利運作,此時便要即時做出防護與資安因應措施,阻擋外來攻擊。相反的,若是要主打線上活動,就需要適時增加頻寬流量,調配資源以符合活動需求。總之,無論監控項目是什麼,最終目的就是要維護網站的順利運作。

六、定期修改密碼

密碼的定時修改,一向都是最基礎也最重要的一件事。攻擊不分時間,一年 365 天、8760 個小時網站都有可能隨時遭受攻擊,像是最常見的密碼暴力破解。所以就算覺得累、嫌麻煩也一定要定期改密碼、更新程式,這才是網站的保命之道。

七、網站基本安全掃描

網路上有一些免費、基本的網站掃描工具,其實大家可以善加利用,為網站做最基礎也最省錢的安全把關,確認網站有沒有惡意程式,或釣魚程式等等,而免費的當然提供的資源有限,還是需要多靠工程師的嚴格把關與確實檢核,讓網站每分每秒處於安全之下。

以上,或許只是網站維運工作的冰山一角,現實工作中的網站經營維護,遠比我們所想的還要多且複雜,但既然架了網站,就還是要花心思與時間,好好關心網站運作狀況,在此,也讓我們對辛苦維運網站的眾多工程師,說聲「辛苦了」,有你們的付出,才能讓我們每個人都能當個快樂低頭族(哈)!

評論