WordPress 網站被駭資安防護示意:駭客入侵網站與資安防禦的概念畫面

WordPress 網站被駭怎麼辦?止血 SOP、外掛漏洞防護、備份與 SSL 憑證完整指南

恆遠數位編輯團隊16 分鐘閱讀
複製引文

先講一個週末我們自己遇過的畫面。某個星期六早上,我們協助維運的一個客戶用 LINE 傳來一張截圖:他的公司官網首頁被換成一整片阿拉伯文,中間插了一個賭博站的跳轉。這是他花錢請人架的 WordPress 網站,平常沒人動,結果就這樣被人接管了。老闆劈頭沒問「怎麼被駭的」,反倒問了我一句更實際的:「我等一下要拿這個網址寄報價單給客戶,現在該怎麼辦?」

這才是老闆真正的痛。網站被駭對工程師來說是一個技術事件,對老闆來說是一場信任危機:客戶點進來看到賭博站、Google 在搜尋結果幫你標上紅色的「這個網站可能有害」、業務正在談的案子瞬間變得很難解釋。更麻煩的是,多數老闆平常根本沒在管網站,網站是外包給某一家廠商顧的,事發當下你連「該打給誰」都不確定。

這篇文章寫給付錢請外包、但網站被駭時得自己扛責任的中小企業老闆。我們會把三件事講清楚:被駭時怎麼快速止血、平常該怎麼防,以及一個常被忽略卻最要命的細節,網站的 SSL/HTTPS 憑證。WordPress 撐起了全世界超過四成的網站,W3Techs 的統計顯示它占了全球約 42.4% 的網站、在有使用 CMS 的網站中市占約 59.8%。用的人最多,被盯上的機會自然也最高。

WordPress 網站被駭資安防護示意:駭客入侵網站與資安防禦的概念畫面
WordPress 網站被駭資安防護示意:駭客入侵網站與資安防禦的概念畫面

網站被駭的常見症狀:老闆自己就能先判斷

被駭最可怕的地方是「你常常最後一個知道」。攻擊者掛馬、灌垃圾內容、偷偷開後門,這些操作往往刻意避開首頁、避開電腦版,專門對搜尋引擎和手機用戶動手,就是為了讓網站管理者晚點發現。所以與其等廠商通知,老闆自己先學會看幾個訊號更實際。

以下是我們處理過與業界公開案例裡最常見的幾種被駭徵兆:

症狀

你看到什麼

通常代表

首頁被竄改(Defacement)

首頁變成陌生語言、駭客署名、政治或宗教訊息

攻擊者已取得後台或檔案寫入權限,屬於高調型攻擊

被導向賭博/色情站

手機點進來被跳轉,電腦版看起來正常

植入了條件式轉址惡意碼,專挑行動裝置與外部來源流量下手

被掛馬(惡意程式植入)

防毒軟體警告、瀏覽器擋下你的網站

頁面被注入惡意 JavaScript,會攻擊訪客的電腦

SEO 垃圾內容注入

Google 搜尋你公司名,跑出賣藥、名牌包、博弈關鍵字

Japanese SEO spam 這類手法,暗中新增大量垃圾頁面偷你的排名權重

Google 標記危險網站

搜尋結果或點進去時出現紅色「這個網站可能會損害您的電腦」

Google Safe Browsing 已把你列入黑名單,流量幾乎歸零

寄件被列黑名單

公司信開始被退信、進垃圾郵件匣

主機被拿去當跳板大量發垃圾信,IP 已被信譽系統封鎖

後台登不進去 / 多出陌生管理員

自己的帳號失效,使用者列表出現沒看過的 admin

攻擊者已建立自己的後門帳號,準備長期潛伏

這裡有個判斷原則值得記住:最危險的攻擊往往最安靜。首頁被塗鴉雖然難看,但你馬上會發現、也馬上會處理;真正拖垮公司的是那種潛伏三個月、天天偷發垃圾信、偷灌賭博頁面的攻擊,等到 Google 把你整站降權、客戶的信都收不到,損失早就擴大了。根據資安服務商 Sucuri 的網站被駭年度報告,在他們清理的受駭網站中,WordPress 長期占了九成以上,這不代表 WordPress 特別不安全,而是它用得最廣、外掛生態最龐雜,攻擊者的投資報酬率最高。

別以為公司小就不會被盯上。現在的攻擊高度自動化,是機器人在全世界無差別掃描弱點,不挑對象。趨勢科技統計指出,2024 年約九成的目標式勒索攻擊鎖定的是中小企業;Check Point 的報告也顯示台灣平均每週遭受的網路攻擊次數居亞太之冠。加上台灣個資法修法後,企業若因未善盡安全維護導致個資外洩,最高可罰到 1,500 萬元,被駭早已不只是「網站掛掉」這麼單純的技術問題。

⚠️被駭當下先別急著自己刪檔

很多老闆第一反應是叫工讀生把可疑檔案刪一刪、把首頁改回來,這是最常見的錯誤。攻擊者通常留了不只一個後門,你刪掉看得到的那個,看不到的那幾個還在,過兩天又被改回去。正確順序是先保留現場、確認入侵範圍,再清除。下一段的止血 SOP 會照步驟講。

被駭後的止血 SOP:老闆該怎麼指揮外包廠商

網站被駭跟公司資料被勒索、機房失火一樣,本質上都是一種「營運中斷事件」,處理邏輯是相通的:先止血、再調查、後復原。我們在 資料備份與災難復原完整指南 裡談過企業層級的 BCP 與 3-2-1 備份法則,那篇是這篇的底層地基;這裡我們把鏡頭拉近到「WordPress 網站被駭」這個具體情境,給老闆一套可以直接照著指揮廠商的行動順序。

圖表載入中…

第一時間:保全現場、隔離網站

發現被駭的第一步是「別動手清、先保存證據」。請廠商先把整站檔案與資料庫完整打包一份(含被駭的狀態),這份髒備份是後面查入侵點的關鍵。接著把網站切到維護模式或暫時下線,避免惡意碼繼續攻擊訪客、繼續拿你的主機發垃圾信,你的網站每多開一分鐘,Google 黑名單和 IP 信譽的坑就挖得更深。

換掉所有密碼與金鑰,假設全部外洩

被駭之後要用一個前提來處理:所有跟這台網站有關的密碼都已經外洩。WordPress 後台管理員、FTP/SFTP、資料庫、主機控制台、甚至串接的金流與 API 金鑰,全部重設。同時檢查使用者清單,把陌生的管理員帳號刪掉。這一步做不徹底,等於你剛清完屋子又把鑰匙留在門口。

找出入侵點:沒補漏洞的清除都是白做

這是最容易被外包廠商跳過的一步,也是網站「清完又被駭」的主因。要請廠商回答一個問題:駭客是從哪裡進來的?是某個沒更新的外掛漏洞?佈景主題的破洞?還是被暴力破解了弱密碼?WPScan 與 Patchstack 的漏洞資料庫的統計一致指出,絕大多數 WordPress 入侵的破口都在過時或有漏洞的外掛與佈景主題,很少是攻破 WordPress 核心本身。核心其實相當安全,麻煩幾乎都出在第三方外掛。找不到入侵點就重上線,形同把門補好卻沒發現牆上還有個洞。

復原:有乾淨備份就是天堂,沒有就是地獄

到了復原階段,你會非常真實地體會到「有沒有事先備份」的差別。有一份被駭前的乾淨備份,廠商可以直接還原,幾小時內恢復;沒有備份,就得在被感染的檔案堆裡逐一比對、清除惡意碼,動輒好幾天,還不保證清乾淨。這也是為什麼下面會用一整個段落講備份,它在資安裡是主角級的存在,被駭之後你能多快站起來,幾乎完全取決於它。

最後一哩:解除 Google 黑名單、恢復信任

網站乾淨了不代表結束。如果曾被 Google 標記,要到 Google Search Console 的「安全性問題」提出重新審查,通常需要一到數天才會解除紅色警告。同時檢查寄信網域有沒有被列入黑名單。這段等待期對業務最煎熬,所以最好的止血從來都在事前,把防護做好,讓你根本不用走到這一步。

ℹ️我們做過這件事

老實說,資安事件應變、滲透測試這類服務不在恆遠的服務範圍內,我們不會假裝自己是資安顧問公司。但我們每天實際在做的,是幫企業把網站與系統「一開始就架得穩」,WordPress 諮詢、客製化網站與系統開發都是我們的本業,也累積了 40+ 企業客製案落地。我們公司內部同時跑著 20+ 個 AI 流程,其中就包含自動監控網站健康與異常告警的機制,所以這篇講的東西,都是我們自己每天在顧的事。如果你也在想「我這個外包廠商到底有沒有把資安基本功做好」,很樂意 聽你聊聊現在網站的實際狀況,一起看看哪些地方該補。

事前防護的第一道牆:外掛與佈景主題的漏洞管理

既然大多數入侵都從外掛與佈景主題進來,防護的第一優先就是管好它們。這件事聽起來很技術,但老闆其實不需要自己會改程式,你只需要會「問對問題、要求對的紀律」,就能逼外包廠商把基本功做好。

外掛與佈景主題的資安紀律,可以濃縮成四條:

紀律

具體做法

老闆怎麼要求廠商

少即是安全

只裝真正用得到的外掛,停用的直接刪除不要留著

定期請廠商列出外掛清單,問「這個還在用嗎」,沒用的砍掉

持續更新

核心、外掛、佈景主題都保持最新版,重大漏洞當天就更新

把「安全性更新」寫進維運合約,明訂多久更新一次、緊急漏洞多快處理

只用有維護的來源

只裝官方目錄或信譽良好開發商的外掛,別用來路不明的破解版

禁止使用盜版付費外掛(nulled plugin),這是最常見的自帶後門途徑

淘汰廢棄外掛

開發者已停止維護、超過一年沒更新的外掛要換掉

請廠商標記哪些外掛已無人維護,排程汰換

每年被揭露的 WordPress 生態漏洞數量正在快速膨脹。Patchstack 的 2025 年 WordPress 資安報告指出,光是一年內就新增了超過 1.1 萬個 WordPress 相關漏洞,比前一年再增加約四成,其中約 96% 出在外掛、只有極少數在核心本身。這意味著「裝了就不管」的網站,等於每天都在累積新的破口。而 Sucuri 的資料也顯示,相當高比例的網站在被感染的當下,版本其實早就過期沒更新。盜版外掛尤其危險。很多老闆為了省授權費,讓廠商裝了破解版的付費外掛,這些破解版有極高比例被植入後門,你以為省了幾千塊,實際上是自己開門迎賊。

🚨盜版外掛與佈景主題是自帶後門的頭號來源

如果你的網站用了破解版的付費外掛或佈景主題(常見於貪便宜的外包),請假設它可能已經被植入惡意碼。這是業界反覆驗證的模式,不是危言聳聽。正版授權費相對於被駭後的清理、停業與商譽損失,便宜太多了。要求廠商全面改用正版或有維護的免費替代方案。

守住後台大門:登入防護與最小權限原則

外掛漏洞之外,第二大入侵途徑是「大門沒鎖好」,弱密碼被暴力破解、後台登入頁毫無防護、每個人都用同一組 admin 帳號。這幾件事修起來成本很低,防禦效果卻很高,是 CP 值最高的一段。

登入頁的四層基本防護

一個顧得好的 WordPress 後台,至少要有這四層防護:

  • 強密碼 + 密碼管理器:禁用 admin、123456 這類密碼,改用長且隨機的密碼並用密碼管理器保存。暴力破解攻擊每天都在自動掃描全世界的登入頁,弱密碼撐不過幾秒。

  • 兩步驟驗證(2FA):後台登入加上手機驗證碼或驗證 App,就算密碼被猜到,攻擊者也進不來。這是投報率最高的一道防線。

  • 限制登入嘗試次數:同一個 IP 連續登入失敗幾次就暫時封鎖,直接讓暴力破解無效。

  • 隱藏或改名登入路徑:預設的 wp-admin、wp-login.php 是全世界機器人第一個敲的門,改個路徑能過濾掉大量自動化攻擊。

最小權限原則:不是每個人都需要 admin

我們看過太多中小企業的網站,全公司五個人共用一組管理員帳號、密碼還寫在便利貼上。這是資安災難。WordPress 內建了角色分級(管理員、編輯、作者、貢獻者、訂閱者),正確做法是給每個人剛好夠用的權限就好:只負責寫文章的行銷同事給「編輯」就夠,不需要能改外掛、改佈景的最高權限。

這個「最小權限」的觀念,跟企業帳號治理是同一套邏輯。我們在 企業單一登入 SSO 完整指南 裡談過,員工離職時的權限回收、帳號的分級管理,是企業資安的基本盤。網站後台只是這套治理的一個縮影:帳號分級、離職即撤權、不共用帳號,這三件事做到,就擋掉了一大半的內部風險。

再往外一層:WAF 網站應用防火牆

如果說前面幾層是把自家門窗鎖好,WAF(Web Application Firewall,網站應用防火牆)就是在你家外面再架一道保全崗哨。它擋在網站與外界之間,過濾掉惡意流量、阻擋已知的攻擊手法、扛住暴力破解與 DDoS。像 Cloudflare、Sucuri 這類服務都提供雲端 WAF,設定門檻不高,對中小企業來說是很划算的一層保險。對外包老闆的實際意義是:你可以直接問廠商「我們的網站前面有沒有 WAF」,如果答案是沒有,這就是一個該補的洞。

網站資料異地備份與伺服器機房情境:WordPress 網站備份還原策略的場景
網站資料異地備份與伺服器機房情境:WordPress 網站備份還原策略的場景

網站備份策略:被駭之後決定你能不能站起來的關鍵

前面止血 SOP 講到,有沒有乾淨備份,決定了你是幾小時復原還是好幾天。但備份這件事,八成的中小企業都做錯,不是完全沒做,就是「以為主機商有幫我備份」,真的要還原時才發現備份是壞的、或根本不存在。備份的價值不在於你有備份,而在於你能成功還原。

該備份什麼:檔案 + 資料庫,缺一不可

WordPress 網站的完整備份要包含兩個部分,很多人只備了一半:

備份對象

包含什麼

漏掉的後果

網站檔案

WordPress 核心、外掛、佈景主題、上傳的圖片與附件

還原後圖片全破、版面跑掉、功能失效

資料庫

文章內容、頁面、設定、使用者、留言、訂單資料

還原後只剩空殼,所有內容與資料消失

設定與金鑰

wp-config.php、.htaccess 等組態檔

還原後連不上資料庫、網站白畫面

頻率、異地、還原演練:3-2-1 法則怎麼落地

備份策略的黃金準則是 3-2-1 法則:至少 3 份備份、存在 2 種不同媒介、其中 1 份放在異地。套用到 WordPress 網站上,具體就是:

  • 頻率跟著更新頻率走:內容天天變的電商或部落格,至少每天自動備份一次;一個月才改一次的形象站,每週一次也可接受。原則是「你最多能接受重做幾天的資料」,那就是你的備份間隔上限。

  • 一定要異地:備份不能只存在同一台主機上,主機被駭或機房出事,備份跟著陪葬。至少要有一份存到主機以外的地方,例如雲端儲存或另一個帳號的空間。

  • 最重要的是還原演練:這是最多人跳過、卻最致命的一步。定期實際拿備份還原到一個測試環境,確認它真的能還原成功。沒演練過的備份,等於薛丁格的備份,不打開你永遠不知道它是活的還是死的。

我們處理過的求助裡,最讓人扼腕的就是「有備份,但還原失敗」。有的是備份檔案損毀,有的是只備了資料庫沒備檔案,有的是備份排程半年前就悄悄停了沒人發現。這也呼應 資料備份與災難復原完整指南 裡談的 RPO/RTO 概念:你能接受掉多少資料(RPO)、能接受停機多久(RTO),這兩個數字應該先講清楚,再回推備份頻率與方式。

ℹ️給老闆的一句話:把備份寫進外包合約

備份最怕「大家都以為別人在做」。跟外包廠商簽約時,直接把備份寫成白紙黑字的條款:多久備一次、備份存在哪、保留幾份、多久做一次還原演練、還原目標時間(RTO)是多少。這幾行字,可能就是你未來被駭時能不能全身而退的分界線。

SSL/HTTPS 憑證:為什麼沒有它,網站等於裸奔

談完被駭與備份,還有一個更基礎、但常被中小企業忽略的東西:SSL/HTTPS 憑證。你可能沒聽過這個名詞,但你一定看過它的樣子,網址列開頭是 https 而不是 http,前面有個小鎖頭,那就是 SSL 憑證在運作。它做的事很單純:把訪客瀏覽器和你網站之間傳輸的資料加密,讓中間有人竊聽時只看到亂碼。

為什麼一定要有:不只是加密,還是信任與 SEO

SSL 憑證對中小企業的實際意義有三層:

面向

沒有 SSL 會怎樣

有 SSL 的好處

資料安全

登入密碼、表單填的個資、信用卡號在傳輸中可被竊聽

全程加密,中間人攔截也只看到亂碼

瀏覽器信任

Chrome、Safari 在網址列標「不安全」,嚇跑訪客

顯示鎖頭,訪客安心,表單願意填、單願意下

SEO 排名

Google 明確把 HTTPS 列為排名訊號,HTTP 站吃虧

符合 Google 要求,不因協定被扣分

Google 從很早就把 HTTPS 列為搜尋排名的訊號之一,Chrome 更是直接把所有 HTTP 網站標記為「不安全」。HTTP Archive 的年度統計顯示,到 2025 年已有約 88% 的網站啟用 HTTPS、Chrome 使用者超過 99% 的瀏覽時間都花在加密頁面上。換句話說,今天還在跑 HTTP 的那一成多網站,不只資料在裸奔,還在流量和信任上雙重失血。這件事在 網站搬家不掉 SEO 的七步驟 裡也強調過,換主機、換網址時,HTTPS 與 301 轉址沒設好,排名會直接崩。

Let's Encrypt vs 付費憑證:中小企業該選哪個

最常見的問題是:憑證要花錢買嗎?答案是對絕大多數中小企業來說,免費的 Let's Encrypt 就完全夠用。Let's Encrypt 是由非營利組織營運的免費憑證服務,目前保護全世界超過 7 億個網站、市占約六成,加密強度跟付費憑證完全一樣,差別只在於它是 DV(網域驗證)等級、不含企業身分背書,也沒有付費客服。你每天在用的大型網站,很多也是它在保護的。

憑證類型

驗證什麼

適合誰

費用

Let's Encrypt(DV)

只驗證你擁有這個網域

絕大多數中小企業、形象站、部落格、一般電商

免費

付費 DV 憑證

同上,但含保固與客服

想要有廠商支援與保固的企業

OV(組織驗證)

驗證網域 + 公司真實存在

希望顯示公司身分、提升信任的企業站

EV(延伸驗證)

最嚴格的公司身分審查

金流、金融、大型電商等高信任需求

簡單的判斷原則:如果你只是要讓網站有加密、有鎖頭、不被標不安全,Let's Encrypt 免費版就是最佳解,別多花錢。只有當你的業務涉及金流、需要向客戶展示經過驗證的公司身分(例如網址列顯示公司名稱),才需要考慮 OV 或 EV 付費憑證。

SSL HTTPS 憑證與網址列綠色鎖頭示意:網站加密憑證與安全連線的畫面
SSL HTTPS 憑證與網址列綠色鎖頭示意:網站加密憑證與安全連線的畫面

紅色鎖頭、憑證過期與混合內容:三個常見地雷

有了憑證不代表一勞永逸,SSL 有三個很常見、也很好認的故障訊號,老闆看到要立刻反應:

  • 憑證過期(紅色警告頁):訪客點進來看到整頁紅色「您的連線不是私人連線」,這通常是憑證到期沒續約。Let's Encrypt 憑證效期只有 90 天,靠的是自動續期,一旦自動續期壞了又沒人監控,到期那天全站就掛紅字。

  • 混合內容(Mixed Content):網址是 https 但鎖頭卻不完整、或出現「不安全」提示,多半是頁面裡還有圖片、腳本用 http 載入。這在網站從 http 升級到 https 時特別常見,要把站內所有連結一併改成 https 才會乾淨。

  • 憑證與網域不符:憑證發給 A 網域卻裝在 B 網域上,瀏覽器會直接擋。常發生在多網域、加了 www 或子網域卻沒把憑證涵蓋進去的情況。

自動續期:設定好就別再手動管

因為 Let's Encrypt 只有 90 天效期,手動續約幾乎注定會忘記,正確做法是設定自動續期。多數主機商與代管服務都內建了自動續期機制(背後跑的是 ACME 協定的 certbot 之類工具),設定一次之後就會在到期前自動更新。對外包老闆的重點是:問清楚廠商有沒有幫你設自動續期、有沒有到期監控。我們看過不少網站就是憑證自動續期某天默默失效、又沒有告警,直到客戶反映「你網站怎麼紅紅的」才發現。

與其被駭後補救,不如一開始就架得對

讀到這裡你會發現,被駭止血、外掛管理、備份策略、SSL 續期,這些事單獨看都不難,難的是「有沒有人在持續顧」。從「網站能上線」到「網站被顧得穩」之間,通常差了一層維運紀律,把更新排程、備份演練、憑證監控、權限管理真正落實下去。少了這一層,網站就只是一個等著被駭的靜態靶子;有了這一層,它才會是能安心承載業務的資產。

這也是為什麼我們一直主張:與其事後花大錢清理被駭現場,不如在架站與選型階段就把地基打對。如果你正在評估要繼續養 WordPress、還是走客製化開發,可以參考 WordPress 還是客製化系統?老闆判斷指南Next.js vs WordPress 技術對比,這兩篇能幫你從長期維護成本與資安風險的角度做決策。至於主機層的資安基礎,WordPress 虛擬主機推薦清單 也整理了選主機時該看的資安條件。

WordPress 網站資安自檢 checklist 下載

我們把這篇的重點整理成一份可以直接照著打勾的《WordPress 網站資安與備份自檢清單》,涵蓋外掛更新、登入防護、備份頻率、SSL 續期、外包合約該寫的條款,適合老闆拿去逐項質問你的外包廠商。同主題的《資料備份與災難復原指南》裡也附了 3-2-1 備份與 RPO/RTO 的實作範本,可以搭配一起用:前往資料備份與災難復原完整指南

ℹ️我們怎麼看

WordPress 的資安問題不會消失,但方向是清楚的:攻擊會越來越自動化,靠 AI 大規模掃描弱點、大規模掛馬,中小企業「規模小所以不會被盯上」的僥倖心態會越來越不成立,因為攻擊者根本不挑對象,是機器人在無差別掃。我們的判斷是,三年後決定一個網站安不安全的,不會是它用了哪個資安外掛,而是背後有沒有一支願意持續維運的團隊,更新、備份、監控這些不性感的紀律,才是真正的護城河。對中小企業老闆來說,現在該做的其實很簡單,先別急著買一堆資安工具,而是先問自己一句:我這個網站,到底有沒有人在天天顧它?如果答案含糊,那就是最該先補的洞。

Q我的 WordPress 網站被駭了,第一步該做什麼?

第一步請先忍住刪檔或改回首頁的衝動,改成先請廠商完整打包一份現況備份(保全證據),再把網站切到維護模式或下線,避免惡意碼繼續攻擊訪客、繼續用你的主機發垃圾信。接著假設所有密碼都已外洩,重設後台、FTP、資料庫、主機的所有密碼,並刪除陌生的管理員帳號。最關鍵的是要找出入侵點(通常是過時外掛漏洞),沒補漏洞就重上線,很快又會被駭。

QWordPress 真的比較容易被駭嗎?

WordPress 撐起全球約四成網站,在受駭網站清理案例中長期占九成以上,但這主要是因為它用得最廣、外掛生態最龐雜,不是核心特別脆弱。實際上絕大多數入侵的破口都在過時或有漏洞的第三方外掛、佈景主題以及弱密碼,很少是攻破核心本身。核心保持更新、外掛管好、密碼加上兩步驟驗證,WordPress 可以很安全。

Q網站備份多久做一次才夠?

跟著內容更新頻率走。天天有新內容的電商或部落格,至少每天自動備份一次;一個月才改一次的形象站,每週一次可接受。判斷原則是「你最多能接受重做幾天的資料」,那就是備份間隔的上限。更重要的是遵守 3-2-1 法則(3 份備份、2 種媒介、1 份異地),並定期實際做還原演練,沒演練過的備份不能算數。

QSSL 憑證一定要花錢買嗎?

對絕大多數中小企業來說不用。免費的 Let's Encrypt 憑證加密強度跟付費憑證完全一樣,足夠讓網站有 HTTPS、有鎖頭、不被瀏覽器標記為不安全。只有當你的業務涉及金流、或需要在網址列向客戶展示經過驗證的公司身分時,才需要考慮 OV 或 EV 付費憑證。

Q為什麼我的網站突然出現紅色警告或憑證過期?

最常見原因是 SSL 憑證到期沒有續約。Let's Encrypt 憑證效期只有 90 天,靠自動續期維持,一旦自動續期機制壞掉又沒人監控,到期那天全站就會顯示紅色警告。解法是確認廠商有設定自動續期與到期監控。另一個常見狀況是混合內容(頁面裡還有資源用 http 載入),會讓鎖頭不完整。

Q我是把網站外包出去的老闆,該怎麼確認廠商有把資安做好?

你不需要懂技術,只要會問幾個問題:外掛與核心多久更新一次、緊急漏洞多快處理?有沒有用盜版付費外掛?後台有沒有兩步驟驗證?備份多久一次、存在哪、有沒有做過還原演練?網站前面有沒有 WAF?SSL 有沒有設自動續期與到期監控?把這些寫進維運合約,就是最好的保障。

看到這裡,如果你也在想「我這個網站到底有沒有被好好顧著」,或是正在評估要不要重新架一個更穩的網站,我們很樂意 聽你聊聊現在網站的實際狀況,一起看看資安與維運上哪些地方該先補。網站架設與後續維運的整體規劃,也可以直接把你的情況丟過來,我們陪你看從哪一塊開始最划算。想從最基礎的地方著手,也歡迎先看看我們的 客製化網站與系統開發服務,或直接 跟我們聊聊

分享文章

AUTHOR

恆遠數位編輯團隊

查看作者頁

留言(0)

尚無留言,成為第一個留言的人吧!

需要網站系統架設或軟體開發?

無論是品牌官網、客製化系統還是應用程式,我們的團隊擁有豐富經驗,歡迎聯繫我們,讓專業為您的事業加分。