管理網站,平常該注意哪些事呢?

一般網站都會有圖片,而圖片如何來,一是從網頁程式中上傳,另一種則是 FTP 上傳,無論是用何種方式上傳,存放網站圖片的目錄(比方說 : /upload/image) 當它裡面出現一個檔案 xx.php,你覺得有沒有問題呢?肯定是要檢查一下!
評論
評論

我們每天開電腦逛網站,這些看似稀鬆平常的事,是誰讓它變得簡單呢?你可以想像,在每個網站的背後,其實都有著一群非常認真且敬業的工程師,不分晝夜的辛苦監控網站營運,並隨時根據流量變化,即時調整與優化,才能讓電腦桌前的你,可以安心瀏覽網站。

網站並不是上線後就沒事,相反的,上線後才是任務的開始,需要定期的維護、時時關心網站健康,就好比我們每天都會收發 Email、喝水吃東西,有些基本的項目,都該列進網站管理者的例行公事,接著就讓我們一件件檢視,有哪些網站管理的基礎守則吧。

一、定時查看網站存取記錄

網站存取記錄,存放著網站被瀏覽、被下載、被上傳、被存取哪些連結的紀錄。舉例來說,假如網站是 PHP + MySQL,主機通常就是 Linux + Apache 的環境,會有 access_log(範例一)、error_log(範例二)這兩個檔案,接著直接引範例做說明:

範例一、access_log 通常記錄著被瀏覽了哪些連結,哪個來源 IP 瀏覽了此網站。網站如果有帳密登入的功能,想觀察是否有有心人士在嘗試輸入帳密,我們可以從 access_log 查詢來源 IP 是不是自有,也可以因此做一些防範,例如密碼設強一點、定期更換、鎖來源 IP 等等。

範例二、error_log 記錄著被瀏覽的連結可能存有的錯誤訊息,例如 NOTICE 或 ERROR,有 ERROR 就需要注意並修正,否則將影響網站的正常運作。

二、確實檢查網頁檔案及內容

一般網站都會有圖片,而圖片如何來,一是從網頁程式中上傳,另一種則是 FTP 上傳,無論是用何種方式上傳,存放網站圖片的目錄(比方說 : /upload/image)當它裡面出現一個檔案 xx.php,你覺得有沒有問題呢?肯定是要檢查一下!存放網站圖片的目錄裡會有 xx.php ?不是要存 xx.jpg 或 xx.png 等等的檔案類型嗎?

這裡要探討的是,如果是從網頁程式上傳,主要原因就是程式沒有過濾上傳的檔案類型,比方說 xx.php 就不應該被上傳,如果 xx.php 是惡意程式,一旦被執行了可能網站裡所有的資料(包括會員、交易資料)都可能被看光光,甚至破壞網站、刪除資料等,這可是相當嚴重的漏洞,必須小心。

三、定期更新程式

無論網站是否為外包設計公司製作,大家可能多少都會使用一些常見的套裝軟體,像 WordPress、phpBB、Joomla 等等,而以 phpBB 為例,常會因為版本過舊沒有更新,而被利用漏洞塞了很多垃圾留言,導致資料庫的資料量增大,影響程式和資料庫的存取,增加主機負載,這時最明顯的情況就是網站會變得很慢,因此,網站的程式(尤其是用免費的套裝軟體)應該定期檢查並更新,讓服務隨時處於最佳狀態。

四、檢查 SSL 數位憑證有效性

SSL 數位憑證可視為網站的基礎防護,當企業網站具備會員登入功能時,如何才能防止客戶輸入的資料,遭到第三方竊取並解讀呢?這時候就依靠 SSL 數位憑證了,將客戶輸入的機密資料轉換為加密位元,即使遭到攔截,依舊不能完整讀取,一方面是保護客戶資料安全,提升信任感,另一方面則是防止企業需要承擔資安外洩所造成的品牌與財務損失。因此網站管理者需要留意憑證到期日,定期續約,確保憑證可用性。

五、監控網站主機流量變化

通常網站經營一段時間,都會有流量變化的平均曲線,管理者需要確實監控流量變化,避免突然其來的大流量影響網站營運,有時候,短期湧入的超大流量甚至有可能是攻擊事件,惡意癱瘓網站,導致服務無法順利運作,此時便要即時做出防護與資安因應措施,阻擋外來攻擊。相反的,若是要主打線上活動,就需要適時增加頻寬流量,調配資源以符合活動需求。總之,無論監控項目是什麼,最終目的就是要維護網站的順利運作。

六、定期修改密碼

密碼的定時修改,一向都是最基礎也最重要的一件事。攻擊不分時間,一年 365 天、8760 個小時網站都有可能隨時遭受攻擊,像是最常見的密碼暴力破解。所以就算覺得累、嫌麻煩也一定要定期改密碼、更新程式,這才是網站的保命之道。

七、網站基本安全掃描

網路上有一些免費、基本的網站掃描工具,其實大家可以善加利用,為網站做最基礎也最省錢的安全把關,確認網站有沒有惡意程式,或釣魚程式等等,而免費的當然提供的資源有限,還是需要多靠工程師的嚴格把關與確實檢核,讓網站每分每秒處於安全之下。

以上,或許只是網站維運工作的冰山一角,現實工作中的網站經營維護,遠比我們所想的還要多且複雜,但既然架了網站,就還是要花心思與時間,好好關心網站運作狀況,在此,也讓我們對辛苦維運網站的眾多工程師,說聲「辛苦了」,有你們的付出,才能讓我們每個人都能當個快樂低頭族(哈)!


新國科會主委吳政忠:部會協力串聯,打造不只科技部的科技,回應社會多元需求

國家科學及技術委員會揭牌及主任委員布達儀式 7 月 27 日於科技大樓舉行,原科技部部長吳政忠出任首任主任委員,承接過去使命再提出四點精進方向,期待透過跨部會協力,布局新興科技與產業。
評論
Photo Credit:TNL Brand Studio
評論

科技部改制為「國家科學及技術委員會」(以下稱「新國科會」),7 月 27 日於科技大樓舉行揭牌及主任委員布達儀式,與會貴賓不只涵蓋產官學界,總統蔡英文及行政院長蘇貞昌也親臨會場,共同見證我國科研事務推動最高權責機關成立,為政府組織改造立下重要的里程碑。

Photo Credit:TNL Brand Studio

新國科會打造不只是科技部的科技,建立科技與臺灣社會的多元聯繫

臺灣的科技不應該只有科技部,而是還有經濟部、衛福部等所有部會在一起,但是用科技部的名稱出去國外,好像就變成全臺灣的科技都是科技部的。所以我說,科技不會只有科技部的科技,應該是所有部會的總合。

新國科會首任主委吳政忠在致詞開頭即強調「部會合作」的組織核心,表示「科技不只是科技,科技與經濟、社會、環境等面相都有密切的關係」,也因此不應侷限於某個部分,應當是多個部會、學術界、產業界等攜手合作推動。

有別於過去科技部與行政院科技會報辦公室以合作關係來協調部會,未來新國科會改以委員會的組織形式運行,透過每月主要部會的首長共同商議策略方向,能夠整合部會資源,協作共達目標,此舉不只立下我國科技發展全新的里程碑,也讓臺灣能夠更靈敏的面對國際競爭。

Photo Credit:TNL Brand Studio
新國科會主委 吳政忠。

新國科會前身是 1959 年行政院國家科學委員會,又於 2014 年改制為科技部,過去肩負推動全國整體科技發展、支援學術基礎研究,以及發展科學園區等三大使命,在歷任部長的努力下,更將創新創業加入推動目標。如今的新國科會不只承接過去使命,主任委員吳政忠更提出以下四點未來新國科會所精進的方向:

一、跨部會協力,布局新興科技與產業
儘管臺灣小、科技預算不如國外,但臺灣部會之間高效率、精準連結的合作模式,將成為與國外競爭時的最大優勢,而「跨部會」溝通不只是未來新國科會的努力目標,也是新國科會最核心的思考架構。

二、基礎學術研究奠基
回顧過去兩年臺灣新冠疫情的防疫成果,無論在病毒醫學還是疫苗研發領域,基礎科學研究一直都是技術開發的堅強後盾;所以在臺灣邁向國際頂尖的路上,無論半導體、太空、還是人工智慧,科技的基礎研究與國際互動都將是新國科會注重的發展方向。

三、打造精緻多元的生活科學園區
過去半導體產業已替臺灣打下堅實的基礎,科技園區的產值從 2.7 兆成長到去(2021)年 3.7 兆,但除了半導體,其他的產業也需要布局,尤其是精準健康、智慧農醫、電動車、太空科技、低軌衛星等「接近生活」的重點產業。

四、實踐科技的人文社會價值
隨著科技與生活拉近距離,未來的科技發展必然需要與社會需求、環境永續連結,回應外在社會環境的變化;此外,科技人才培育、加強臺灣女性在科技面的投入比例,都將是未來新國科會欲強化的目標。

Photo Credit:TNL Brand Studio

進一步探究,就會發現上述新國科會的策略方針並非憑空發想,而是源自對產業發展的細微觀察與豐富的知識、經驗的珍貴結晶。早在吳政忠任職行政院科技顧問組副執行秘書時,就已觀察到「當科技更接近生活,產品價值就會大幅度的翻倍成長」的現象,再回顧臺灣善於代工製造零件的發展歷史,才萌生「將臺灣強而有力的製造技術與創新想法整合」的初步想法。

但是「整合」一詞的背後,需要的是基礎研究、應用研究,產業實務之間的環環相扣,過程不只涉及公私跨部門、跨領域的協調,也是一個漫長轉換的過程,並非一蹴可及。最後,在數年醞釀及無數人的共同努力下,儘管過程困難重重,以「部會合作」思考為核心的組織架構「新國科會」終於順利誕生,讓整體國家的科技發展得以提升至行政院層級的高度,向下整合上中游的基礎研究、下游的應用研究及產業實務的連接,創造更多的商機與價值。

Photo Credit:TNL Brand Studio

新國科會的挑戰與期許,後疫情時代的科技人文關懷

如今全球進入後疫情時代,國際關係變動不定,更面臨供應鏈重組、數位轉型等產業挑戰,科技作為國家發展重要的中堅力量,勢必需要更快速的布局因應,在變動中搶得先機。但除了研究與創新,科技與人文社會的結合也是新國科會的一大核心。

隨著人工智慧、太空等科技發展,生活中科技將無所不在,因此未來傳統產業必然將被完全翻轉,此時人文社會科學就扮演嫁接技術與生活文化的重要橋樑,彰顯科學研究成果對人類福祉的巨大貢獻。但這一切的前提是科技與社會必須主動伸手,彼此接觸、相互了解,攜手促進社會總體的福祉發展。新國科會成立之日,同時也是「國科會職場互助教保服務中心 [ 註 ] 」揭牌日,便能看見國科會對人文的用心,除了前述四大重點外,對於女性人才的培育、原住民教育的深耕、環境永續,都將是國科會的重點目標,如何透過科技連結社會的需求,正是新國科會追求的核心,因此新國科會不只是部會整合、資源分配與未來展望而已,更是將科技應用在民間的推動者,同時成為科技與人文交流的平台,最大化科技對總體社會福祉的貢獻。

國科會科技辦公室 廣告


[ 註 ] :國科會職場互助教保服務中心於 110 年 8 月開辦,位於科技大樓 1 樓,是臺灣公共托育協會承接的第一間職場教保中心。以平價、優質、非營利、社區化之方向營運,希望透過政府與公益法人團體協力的方式,結合民間團體資源,提供孩子優質的教保品質,減輕社區家庭照顧負擔,提升教保人員工作環境與權益。資料來源:財團法人彭婉如文教基金會