個人想法資安雲端

網站架設很簡單,但要維護好卻不容易!

Posted on by 志文

不論網站是客製化開發或是用Open Source架設,都需要維護!

自行架設網站的方式有幾種:

  • 客製化開發
  • 使用Open Source架設

只要是自行架設網站,不論是何種型態的網站就都需要維護,而且成本不會太便宜,因為現在資安事件頻傳,要管理好網站、不被駭客入侵或盜取資料確實得花上很多心力和時間。

之前我有分享過電商平台自建和承租的優缺比較,電商平台也是網站的一種類型,所以網站自建和承租的優缺點會和電商平台的優缺點很類似,用承租的方式就不必自行維運網站的系統基礎設置(例如網路頻寬、主機效能、系統資安…等等),但也是要注意承租的廠商是否有發生資安事件,若有,建議就要換一家!

像是提供WebHosting服務的廠商,大都會使用cPanel、Plesk等軟體來構建出網站虛擬主機的多租戶架構,提供給租戶自己的管理介面來操控,一旦cPanel/Plesk或是其底層系統被攻破,上面所有租戶的網站也都不保了,就像一棟大樓裡有數十個套房,一旦大門的門鎖被打開,裡面的租戶就危險了~

很常見的就是因為網站沒有專人管理維護,最後被駭客入侵,造成網站會員資料外洩,或是被植入惡意程式碼、被google列入黑名單之後,才有人發現!

網站放在雲端確實有比較安全,但不表示百分百安全!

十幾年前還沒有雲端服務時,自行建置網站是很花錢、很麻煩的事,當時的Open Source架站軟體也沒有很成熟,所以很多企業都會花大錢請專人來客製化開發網站,然後放在企業或電信公司的機房裡。

有了雲端服務之後,雲端服務廠商會提供基礎的資安防護措施,像是L3的DDoS防護等等,確實安全性大大提高;而且頻寬和擴展性遠遠比企業自有機房或承租電信機房來得強上N倍,是現今企業放置網站/電子商務平台的最佳選擇方案!

不過這不代表把網站/電子商務平台放在雲端服務之後就不必擔心資安問題,也會有需要自行維護注意的許多地方,例如網站程式是否有無資安漏洞?資料庫設置是否安全?雲端儲存空間是否有設置妥當?雲端的Key有無外洩?

每家企業的網站/電子商務平台很少會有一模一樣的(只有駭客的釣魚網站會故意弄得很像,為了達到欺騙的目的),網站架構和使用的程式語言也會不同,尤其是作業系統、程式語言的版本更會不一樣,因此每家企業的資安漏洞也有可能不同~

一般來說,企業的形象網站若是只有幾頁靜態網頁是很好維運的,但若是網站有結合後端程式與資料庫的型態時,維運上就會複雜很多,也比較容易出現資安問題,而若是電子商務平台網站,那麼更容易成為駭客攻擊的目標,因此維運上會需要耗費最多心力。

客製化的網站程式很少會更新,其實很不安全!

很多企業的網站是特別花錢請人客製化開發,由於費用往往不便宜,而且每次變更都要花錢,所以幾乎很少在更新,除非是網站出現問題才會再花錢請人處理~

就我自己接觸過而看過的客製化網站廠商問題有:

  • 廠商人力不足又狂接案,造成專案品質低落
  • 廠商很會說,但實做的技術能力不夠
  • 廠商能力不足,間接造成資安漏洞
  • 先用低價搶案,再以各種名目加錢
  • 心存歹念,刻意違約或惡意倒閉

當然也有不少問題是企業自己造成的,例如:

  • 只想找低價的廠商,不願意付合理的報酬
  • 開始之前都說交給廠商規劃,專案進行之後就有很多意見
  • 想修改/增加功能或畫面設計時,卻不願意支付合理費用
  • 負責的專案人員溝通不良或不尊重專業,造成雙方出現紛爭

台灣客製化開發多數採固定價格,超出專案的訂定範圍就會加錢,這原本是很合理的事情,但由於很多專案在一開始沒有規劃完善,或是企業本身沒有任何想法就都交給廠商負責,這樣的專案在進行到一半或快結束時就容易出現問題,而造成無法順利結案。

若是沒有順利結案的網站,有任何問題時是無法得到解決的;此外,就算有順利結案的網站,保固期大多只有3個月或6個月,而且只針對廠商開發的功能問題才會處理,若是其它的資安問題就會要求加錢或不予處理~

Open Source的架站軟體相當成熟,但仍要時時關注、維運~

使用Open Source架站軟體來建置網站是現今的主流趨勢,集結眾人之力開發出來的Open Source架站軟體選擇性也很多,像是WordPress、Drupal、Joomla、OpenCart、Magento…等等,我自己大部份都試過,最喜歡的是使用WordPress。

Open Source的架站軟體有一些特性:

  • 主核心架構本身大多數採用GPL授權,使用完全免費
  • 外觀、功能均採用模組化方式安裝,可以自行增加或減少
  • 外觀、功能模組選擇性多元,可以是付費使用,也能找免費的
  • 更新速度很快,但要小心有些更新會影響到現有網站的運作
  • 主核心架構若有更新時,外觀和功能模組也會建議一併更新

以WordPress來說,主核心架構在2019年提升到5.X版本之後,就建議使用php 7.x版的系統環境,而在之前則是可以使用php 5.6.x版的系統環境,但由於安全性和效能考量,現在會建議採用php 7.x版的系統環境。

比較麻煩的是,有些企業的系統環境不是想換就能換的,可能該主機中還有其它使用php 5.6.x的網站或自行開發的應用,此時就不能直接將該主機中的系統環境升級,因為會造成其它網站和自行開發的應用無法正常運作~

然而若是有發現資安問題時,勢必就必須要升級系統環境,或是採用別的方式來保護現有的網站系統,否則絕對會成為駭客攻擊的目標,成為駭客的傀儡機或跳板機器。

所以不論是使用Open Source架站軟體或是請人客製化開發的網站/電子商務平台,都需要有專人來負責維運!

error: 歡迎與我聯絡~