元伸科技
你的汽車每半年要進廠保養、換機油、檢查煞車,否則開上路就是拿生命冒險。網站也一樣——上線之後不是放著就好,它需要定期「健檢」。差別在於,汽車壞了你會馬上知道,但網站的安全漏洞往往悄無聲息,等到被駭客入侵、資料外洩,損失已經難以挽回。
根據統計,超過 40% 的網路攻擊瞄準的是中小企業網站,原因很簡單:這些網站通常缺乏定期的資安維護。好消息是,許多基礎檢查項目不需要專業技術背景,企業主自己就能執行。這份清單整理了 10 個最關鍵的資安健檢項目,幫助你系統化地守護網站安全。
檢查項目 1-3:SSL、軟體更新、密碼強度
這三項是最基本、也最容易被忽略的資安檢查。它們就像房子的門鎖、窗戶和圍牆,是防禦的第一道防線。
項目 1:SSL 憑證
SSL 憑證負責加密使用者與網站之間的資料傳輸。如果憑證過期,瀏覽器會直接顯示「不安全」警告,訪客看到這個畫面幾乎都會立即離開。
檢查重點:
- 憑證是否在有效期限內(可用 SSL Labs 線上檢測)
- HTTP 是否自動導向 HTTPS
- 網頁中是否存在「混合內容」(HTTP 圖片、腳本混在 HTTPS 頁面中)
- 是否設定自動續約,避免憑證過期
想深入了解 SSL 的運作原理,可以參考HTTPS 與 SSL 完整指南。
項目 2:軟體更新
不管你的網站使用 WordPress、Laravel 還是其他框架,過時的軟體版本是駭客最愛的入口。已知漏洞的修補程式通常在更新中釋出,不更新就等於把大門敞開。
檢查重點:
- CMS 核心版本是否為最新
- 所有外掛與套件是否已更新
- 移除不再使用的外掛(減少攻擊面)
- PHP、資料庫等伺服器軟體版本是否在支援期限內
提醒:更新前務必先做備份。曾有企業直接在正式環境更新外掛,結果網站掛掉又沒備份,損失慘重。
項目 3:密碼強度
弱密碼是最常見的資安破口之一。駭客用「暴力破解」工具可以在幾分鐘內試遍所有常見密碼組合。
檢查重點:
- 所有管理員帳號密碼至少 12 位元,包含大小寫英文、數字與特殊符號
- 避免使用
admin、password123等常見弱密碼 - 不同平台使用不同密碼(避免一個帳號被破,全部淪陷)
- 建議每 90 天更換一次密碼,並使用密碼管理器(如 1Password、Bitwarden)
檢查項目 4-6:備份機制、檔案權限、登入安全
如果前三項是「防禦工事」,這三項就是「保險機制」——就算被攻破,也能把損失降到最低。
項目 4:備份機制
備份是資安的最後一道防線。無論遭遇駭客攻擊、伺服器故障,還是人為誤刪,有備份就有機會恢復。
檢查重點:
- 確認自動備份排程正常運作(每日備份為基本)
- 備份內容是否完整包含資料庫 + 網站檔案
- 是否有異地備份(不同機房或雲端儲存)
- 定期測試備份檔案能否成功還原(備份但無法還原等於沒有備份)
- 保留至少 7-30 天的歷史備份
更多關於網站維護的建議,可參考網站維護完整指南。
項目 5:檔案權限
檔案權限設定不當是許多網站被植入惡意程式的主因。權限設得太寬鬆,等於把家裡鑰匙丟在門口地墊下。
檢查重點:
- 目錄權限建議設為
755,檔案設為644 - 設定檔(如
.env、wp-config.php)設為600 - 上傳目錄絕對不可執行 PHP(防止 webshell 攻擊)
- 絕對禁止任何檔案或目錄設為
777(全開權限)
項目 6:登入安全
後台登入頁面是駭客必攻的目標。加強登入安全可以有效阻擋絕大多數的暴力破解攻擊。
檢查重點:
- 啟用雙因子驗證(2FA),登入時需輸入手機驗證碼
- 設定登入失敗次數上限(例如連續 5 次失敗鎖定 30 分鐘)
- 更改預設後台登入網址(如 WordPress 的
/wp-admin) - 限制特定 IP 才能存取後台(如果辦公室有固定 IP)
檢查項目 7-10:惡意程式掃描、表單防護、錯誤頁面、存取紀錄
這四項檢查屬於「偵測與監控」層面,幫助你及早發現異常,在損害擴大前採取行動。
項目 7:惡意程式掃描
即使做好了前面的防護,仍然有可能透過零時差漏洞或社交工程被植入惡意程式。定期掃描才能確保網站是「乾淨」的。
檢查重點:
- 使用掃描工具(如 Sucuri SiteCheck、VirusTotal)定期檢測
- 檢查網站是否被 Google 標記為「含有惡意軟體」
- 確認網站不在任何黑名單中
- 比對核心檔案是否被竄改(WordPress 可用
wp core verify-checksums)
項目 8:表單防護
網站上的聯絡表單、留言板、搜尋框都是潛在的攻擊入口。駭客可以透過這些輸入欄位進行 SQL Injection 或 XSS 攻擊。
檢查重點:
- 所有表單加入 CAPTCHA 驗證(如 Google reCAPTCHA)
- 後端對所有使用者輸入進行過濾與跳脫處理
- 使用參數化查詢防止 SQL Injection
- 設定表單提交頻率限制,防止垃圾訊息轟炸
想了解更多資安基礎概念,推薦閱讀網站資安入門必修課。
項目 9:錯誤頁面處理
預設的錯誤頁面會洩漏伺服器資訊,例如 PHP 版本、框架類型、檔案路徑——這些都是駭客夢寐以求的情報。
檢查重點:
- 關閉正式環境的 Debug 模式(顯示詳細錯誤訊息)
- 自訂 404、500 等錯誤頁面,不暴露技術細節
- 隱藏 HTTP Response Header 中的伺服器版本資訊
- 錯誤訊息對使用者友善,但對攻擊者無用
項目 10:存取紀錄監控
存取紀錄就像網站的「監視器」。定期審查可以幫助你發現可疑活動,例如異常的登入嘗試或不尋常的流量模式。
檢查重點:
- 定期查看伺服器 Access Log 與 Error Log
- 監控是否有大量來自同一 IP 的異常請求(可能是暴力破解或 DDoS)
- 記錄後台所有管理員的操作行為
- 設定異常流量的即時通知(Email 或 LINE 通知)
建立定期健檢排程
知道要檢查什麼只是第一步,持之以恆地執行才是關鍵。建議依照風險等級,將 10 個項目分配到不同的檢查頻率:
| 頻率 | 檢查項目 |
|---|---|
| 每週 | 備份確認、存取紀錄檢查、網站正常運作 |
| 每月 | SSL 憑證、軟體更新、惡意程式掃描、異地備份還原測試 |
| 每季 | 密碼更新、檔案權限審查、帳號權限盤點 |
| 每年 | 完整資安稽核、滲透測試、災害復原演練 |
實用小技巧:
- 在 Google 日曆設定週期性提醒
- 建立一份 Google 試算表,每次檢查後記錄結果
- 指定一位負責人,確保每次健檢都有人執行
自行檢查 vs 專業稽核
這份清單中的大部分項目,企業主或內部 IT 人員就能自行完成。但有些更深層的安全評估,建議委託專業資安團隊處理:
適合自行檢查的項目:
- SSL 憑證有效性
- 密碼強度與更新
- 備份確認
- 軟體版本更新
- 基本的存取紀錄審查
建議委託專業的項目:
- 滲透測試(Penetration Testing)
- 原始碼安全審計
- 伺服器安全配置優化
- 資安政策與合規性評估
- 事件應變計畫(Incident Response Plan)建立
如果你的網站曾經被駭,或懷疑可能已經被入侵,建議立即參考網站被駭緊急應對指南,採取正確的處理步驟。
選擇一家重視資安的企業網站建置公司,可以從源頭降低資安風險。專業的網站開發團隊在設計階段就會將資安防護納入考量,而非事後補救。
結語:養成資安健檢習慣,防患於未然
資安健檢不是做一次就夠的事,而是需要養成的持續性習慣。就像你不會只做一次健康檢查就覺得一輩子沒問題,網站的資安環境也在不斷變化——新的漏洞不斷被發現、攻擊手法持續演進。
從今天開始,把這份 10 項健檢清單存下來,設定好你的檢查排程。每一次的例行檢查,都是在為你的網站多加一層保護。預防永遠比善後便宜,花 30 分鐘做健檢,勝過花 30 天處理被駭的善後工作。
