網頁設計專欄
回上一頁
首頁 網頁設計專欄 常見的資訊安全議題有哪些?網站建置應該要注意哪些資訊安全?

常見的資訊安全議題有哪些?網站建置應該要注意哪些資訊安全?

目次

7-1

資訊安全的定義

事實上資訊安全的定義非常廣泛:確保資訊內容可於正確的時機取用正確的內容
這跟大家想聽的資安不太一樣,大眾認為的資安都只有在防駭的部分,其實只要網站當機、資料上架錯誤、備份不完全,都算是資訊安全的範疇。

但當機和上架錯誤比較好理解,以下由取得ISO27001LA資格專業網頁設計公司-愛貝斯網路,針對防駭(不正確時機取得資訊)的部分做深入解說。

網站常見的漏洞有哪些?

SQL Injection(SQL 注入攻擊)

最普遍、危害最深的網站漏洞之一。 當網站的輸入欄位(如搜尋框、登入表單)未對使用者輸入做充分過濾,駭客便可植入惡意的 SQL 語法,直接對資料庫下指令——輕則讀取所有會員個資,重則刪除整個資料庫,甚至竊取訂單、付款紀錄等敏感商業數據。

XSS 跨站腳本攻擊(Cross-Site Scripting)

讓駭客的程式碼出現在你的頁面上。

XSS 攻擊是指駭客將惡意的 JavaScript 程式碼注入網站頁面中,當其他使用者瀏覽時,該惡意腳本便會在受害者的瀏覽器執行。常見手法包括:竊取登入 Cookie、偽造表單騙取帳密、甚至自動跳轉至釣魚網站。

CSRF 跨站請求偽造(Cross-Site Request Forgery)

CSRF 攻擊是指在使用者已登入某網站的狀態下,誘騙其點擊惡意連結,使瀏覽器在不知情的情況下,以使用者身份向目標網站發出請求。例如:在使用者登入銀行帳戶期間,點擊了一封釣魚郵件中的連結,背後可能已悄悄觸發轉帳操作。

老舊套件與未更新的第三方元件

現代網站高度依賴各種開源套件、CMS 外掛與第三方函式庫。一旦這些元件被發現安全漏洞,若未及時更新,就等於在網站上留了一扇沒有上鎖的窗。根據統計,大量成功入侵案例都源於使用已知有漏洞的舊版元件。

檔案上傳漏洞(File Upload Vulnerability)

若網站允許檔案上傳功能,但未對上傳的檔案格式、副檔名、內容做嚴格驗證,攻擊者便可上傳偽裝成圖片的 PHP/ASP 惡意腳本,在伺服器端執行取得控制權,後果相當嚴重。

 

其實網站的漏洞並非彼此獨立,真實的駭客攻擊往往是多種手法的組合拳:先透過 XSS 竊取 Cookie、再利用 CSRF 執行操作、最後以 SQL Injection 撈走資料庫。這也是為什麼資安防護必須從「程式開發」、「主機環境」到「人員管理」三個層面全面佈局,缺一不可。

 

延伸閱讀:想更深入了解全球網站面臨的資安威脅的話,可參考OWASP Top 10:全球網站十大高風險漏洞清單

有感的駭客攻擊手法有哪些?

網路攻擊的型態繁多,但真正讓企業主「有感受損」的,通常集中在以下幾種高頻手法:

  1. 首頁遭竄改(Homepage Defacement)

    你的官網變成駭客的佈告欄。

    駭客入侵網站後,直接將首頁替換成帶有政治主張、勒索訊息或挑釁內容的畫面。對企業而言,首頁被改不僅重創品牌形象,更可能在 Google 索引快取中留下記錄,影響長期 SEO 信譽。

    常見發生原因:管理後台密碼過弱、FTP 帳號遭竊取、CMS 版本過舊。

  2. 植入惡意程式(Malware Injection)

    你的網站在你不知情的情況下,正在攻擊你的訪客。

    駭客在取得網站存取權後,悄悄在程式碼中植入惡意腳本,可能的目的包括:

    • 挖礦劫持(Cryptojacking):偷用訪客電腦的運算資源挖加密貨幣
    • 重新導向(Redirect):將訪客自動轉至詐騙或色情網站
    • 釣魚頁面植入:在合法網站內嵌偽造登入頁,騙取帳密
    • 後門程式(Webshell):留下遠端控制入口,方便日後隨時回來

    這類攻擊最危險之處在於肉眼幾乎無法察覺,網站看起來運作正常,實際上已淪陷多時。

  3. 資料庫遭竊(Database Breach)

    會員個資、訂單紀錄、商業機密,被打包帶走。

    透過 SQL Injection 或取得主機權限後,駭客可直接匯出整個資料庫。這是對企業損害最深的攻擊之一,受害範圍不只是企業本身,還涉及所有被洩漏個資的使用者。一旦個資外流至暗網販售,企業將面臨:

    • 《個人資料保護法》的法律責任
    • 大規模客戶信任危機
    • 競業情報外洩的商業損失

    高風險對象:電商平台、醫療系統、會員制網站、任何儲存個資的後台。

  4. 檔案遭竊取(File Exfiltration)

    原始碼、合約文件、內部資料,通通不翼而飛。

    除了資料庫,網站伺服器上的實體檔案同樣是駭客覬覦的目標。常見被竊取的內容包括:設定檔(含資料庫帳密)、未公開的產品設計圖、合約文件,乃至整個網站原始碼。取得原始碼後,駭客等同於掌握了網站的所有邏輯漏洞,後續攻擊難度大幅降低。

  5. 帳密暴力破解(Brute Force Attack)

    針對網站後台登入頁、FTP、SSH 等入口,駭客使用自動化程式搭配常見密碼字典表(如 admin/123456user/password),對登入介面進行高速嘗試。只要網站沒有限制登入失敗次數或缺乏驗證機制,往往數分鐘內即可破解弱密碼帳號。

    高風險帳號類型:未更改預設密碼的 CMS 管理員帳號(如 WordPress 的 admin)、多年未換密碼的 FTP 帳號。

    防範重點:強制複雜密碼政策、啟用 MFA 多因素驗證、設定登入失敗封鎖機制(IP Ban)。

  6. DDoS 阻斷服務攻擊(Distributed Denial of Service)

    DDoS 攻擊是透過大量受感染的殭屍電腦(Botnet),同時向目標網站發送海量請求,使伺服器資源耗盡、無法正常回應真實訪客的請求。其目的不一定是竊取資料,而是透過「讓你的網站掛掉」來:

    • 勒索贖金(付錢才停止攻擊)
    • 打擊競爭對手的業務運作
    • 轉移資安團隊注意力,掩護同步進行的其他滲透攻擊

    攻擊類型:流量型(頻寬耗盡)、協議型(耗盡伺服器連線資源)、應用層型(針對特定 API 或頁面發動精準攻擊)。

    防範方式:部署 CDN 流量清洗服務(如 Cloudflare)、設定速率限制(Rate Limiting)、搭配 WAF 主動式防火牆過濾異常請求。

  7. 社交工程釣魚

    最高端的駭客技術,往往不攻擊系統,而是攻擊「人」。

    社交工程釣魚是所有攻擊手法中最難用技術手段防禦的一種,因為它的突破口不是程式漏洞,而是人性的信任、疏忽與好奇心。

    常見釣魚手法包括:

    • 偽造官方信件(Email Phishing):偽裝成主機商、Google、銀行等單位寄送警告信,要求點擊連結「重新驗證帳號」,實為竊取登入憑證
    • 假冒客服來電(Vishing):電話假冒 IT 技術支援人員,以「系統維護」為由索取後台帳密或要求開放遠端存取權限
    • 惡意檔案夾帶(Spear Phishing):針對特定目標精心設計,寄送看似正常的報價單、合約 PDF,實則夾帶木馬程式
    • 免費工具陷阱:以破解版軟體、免費外掛、實用小工具為誘餌,誘使管理員下載含有後門的安裝檔
    • 假冒登入頁面:建立與真實網站幾乎一模一樣的釣魚頁面,透過 LINE、簡訊或廣告誘導點擊,騙取帳號密碼

有感的駭客攻擊手法:被改掉首頁、植入惡意程式、撈走資料庫、撈走檔案、帳密破解、阻塞攻擊、釣魚

要特別講一下「釣魚」,這不是網站本身的漏洞,而是網站管理員被詐騙後,間接提供駭客管理帳號密碼導致入侵。釣魚詐騙的手法不外乎是透過信件、免費軟體下載、奇怪的中獎網頁等。只要是網站頁面上需要你填寫帳號密碼的,一律都要小心是不是有必要,且網站來源都是正當無誤的。

 

以上7種手法並非各自獨立運作,真實的駭客攻擊往往是複合式、分階段進行的:

先用暴力破解取得後台帳號 → 植入 Webshell 建立持久控制 → 悄悄撈走資料庫 → 最後發動 DDoS 轉移注意力

這也意味著,單點防禦永遠不夠,唯有從程式層、主機層、人員層三個維度同步建立縱深防禦,才能真正降低被攻擊得手的風險。

資安防駭是一場軍備競賽

我們先從一個問題開始思考:你找室內設計師幫你設計一個美麗的家而且生活功能都幫你想好,接下來設計師詢問了預算給了幾個選擇,幫你配了一個大門。當有一日家裡被闖了空門,門被破壞了,這樣會是誰的問題? 
我想不是你的問題,也不是設計師的問題,也不是小偷的問題,是的問題。

那麼要怎麼防盜防止被偷? 
裝內外銅門、防火 + 好幾道厲害的鎖 + 防盜窗(最好防霾透氣)、裝監視器、保險箱、請保全,試想這一個月須要花多少錢做防盜?
回歸基本需求面,你的網站裏面有沒有值錢的東西,值得你花這麼多錢做保護呢?

7-3

資安應該要保護那些網站資料?

這個答案很簡單:值錢的資料

駭客要來攻擊你的網站也需要耗費時間成本,如果你的網站沒有值錢的資料,自然不會成為主要的目標。當然有些駭客也專挑知名企業,攻破防護系統,贏得一份成就感。
因此只要是知名企業的網站,或是網站內有消費個資、證件資料、訂單等,都應該針對這些站台內的資料作加強防護。
 

網站要做哪些資訊安全防護?

網站資安可以涵蓋的範圍很廣,粗略可分為三個面向做防護的思考點:

  1. 程式防護
  2. 主機環境防護
  3. 人員防護

 

面相 說明

程式防護

程式是直接面對了駭客與消費者,其運作邏輯可視為第一道防線。
工程師必須在開發過程就有駭客思維,針對機敏資料模擬可能被盜取的路徑,並且加以防範。

常見的方式是定期將自己寫的程式送第三方資安單位作弱點掃描、滲透測試等。確保作品沒有高風險漏洞存在。
除此之外,若是有後台資料庫的網站,可以考慮將資料庫儲存的內容加密,也同時加強後台的權限管理機制、防暴力破解帳密等功能,不然就算程式碼沒問題,帳密或權限被猜到,也是功虧一簣。

 

作為注重資訊安全與程式防護的專業網頁設計團隊,愛貝斯網路的核心程式碼皆定期進行檢測,確保延伸使用的客戶不會曝光在高風險之下。

主機環境

主機環境是資訊安全最重要的一個環節,訪客透過與程式的互動,會進入主機讀取對應資料。

駭客也同樣是透過此路徑進入竊取資料,因此建議需要添購主機常見的資安設備,如WAF、IPS等工具來過濾、紀錄訪客行為。


愛貝斯網路選擇擁有ISO27001資安證照的機房與主機管理員做為合作夥伴,確保客戶主機管理環境的基本安全。

人員管理

 網站管理人員是資訊安全議題內最容易遺漏的環節,就算程式與主機環境防護再怎麼嚴密,只要管理人員稍不注意,如被釣魚竊取系統帳密、將匯出的個資隨處放置(桌面、USB等),駭客即可透過正常管道取得敏感資訊。
因此管理人員的道德操守與資安知識也相當重要,建議業主應加強資安宣導,向內部管理員說明資安常見漏洞與駭客攻擊手法,提高警覺。

 

常見的資訊安全產品

防護範圍 資安產品

資料傳輸

  1. SSL憑證

    將傳送資料切割成數個封包,每個封包都經過加密,就算被監聽攔截也難以破解內容

網頁程式

  1. 源碼檢測 (SonarQube)

    將網頁程式碼放入掃描軟體內後,掃描軟體會逐行檢視是否有語法錯誤,如拼錯字、使用到沒有效率的寫法。
    缺點:源碼檢測並非模擬駭客,無法正確發現網站是否有被入侵的可能性,比較像是文法檢查工具。
     

  2. 網站弱點掃描(Acunetix、Rapid7、OWASP ZAP)

    使用軟體自動針對網站內所有的URL內容,模擬駭客攻擊手法測試網站是否可被破解。
    缺點:軟體機器檢測難免有誤判狀況。
     

  3. WAF主動式防火牆

    因網頁不可能每天都做掃描,會影響存取效能,費用也極高,因此搭配加裝WAF可即時過濾訪客行為,若偵測到是駭客行為,會立即封鎖。
    缺點:WAF提供商良莠不齊,沒有經過調教或定期更新規則,則無法正確發揮WAF效果,一般會搭配弱點掃描結果做規格調整,建議選可出每月報告的廠商。

主機環境

  1. 一般防火牆

    限制進入Port與封鎖IP用
     

  2. 主機弱點掃描(Nessus)

    透過軟體針對主機整體環境做問題掃描,如Port、SSL加密版本、作業系統版本等
     

  3. 防毒與事件監測分析 (趨勢科技DS)

    整合防毒軟體與LOG分析工具,判斷隱藏的攻擊行為
     

  4. 端點防禦 (Sophos)

    預防駭客加密勒索,加強電腦端點防護

綜合

  1. 滲透測試

    組合弱點掃描與主機弱點掃描內容,以駭客思維採用人工方式找出網站漏洞
     

  2. 紅隊演練

    資安專家到場實際查看人員使用資訊的狀況,並設計對抗與防守方式,補足傳統滲透測試容易忽略之邊界防禦,以及基於人為疏失之佈署盲點,利用公開資訊、社交網路、暗網等搜集目標情資、結合資訊安全專家之專業知識、攻防技術及駭客工具資料庫,對於雙方所約定之攻擊目標與組織,採取無所不用其極的方法進行入侵演練,同時可驗證防守方(藍隊)的偵測與回應能力。

 

沒有100%的資安

資安是一件永無止僅的工作,網路是由各種交錯複雜的系統組織而成,只要其中一個供應商、軟體、線路、工程團隊出了問題,風險就接踵而來。原本A、B、C系統邏輯獨立都沒有問題,但只要透過網路串連整合,就有可能會出現未知的漏洞。
而且駭客的技術更是日新月異,許多組織都擁有大量自動化的工具作系統的破解,尋找未知的網路漏洞。因此並非把設備買齊就可以有100%的資安,但可著實增加被破解的難度。

網路世界充滿各種不確定性,並非把設備買齊就可以有100%的資安,但可著實增加被破解的難度。身為具備企業級資安防護經驗的網站設計公司,我們能依據企業的預算與營運規模,量身規劃最務實、且符合政策要求的資安防禦網。

 

🔒 您的官網正在面臨未知風險嗎?別等網站出事才補救!

網頁可以有美感,但資安絕對不能骨感。愛貝斯網路自研的智慧 CMS 系統內建高規格防護,並提供 WAF 防火牆、弱點掃描等一站式代管服務。

立即與愛貝斯資安顧問聯繫,為您的企業網站打造牢不可破的數位堡壘!

常見名詞解釋

OWASP:國際非營利組織,會不定期整理公布目前全球最多網站被攻擊的手法排名,常聽到的OWASP TOP10,10項高風險也是由此而來,許多風險的分級評估也會以OWASP為參考依據。

 

網站設計專欄
網站運作的原理 企業官網真的重要嗎?帶你了解網站存在的關鍵價值 架設網站前必讀:網站建置流程、報價行情、改版SEO問題等知識解析 【2026 網站架設指南】企業、餐飲、飯店、購物網站規劃的必備清單與案例 建置網站需要準備哪些資料?怎麼跟網站設計公司溝通? 從流量到轉化:網站經營的 5 個核心任務與網路行銷佈局 舊網站改版需要注意哪些項目?7個改版建議讓網站變成行銷利器 網站主機介紹,網站設計不同種類的主機挑選建議! ESG 網頁設計如何規劃?企業關鍵績效就從永續網站開始 UTM 是什麼?UTM 產生教學及作用說明 什麼是RWD響應式網頁?讓網站自動適應各種裝置螢幕尺寸的技術
SEO經營指南
SEO是什麼?SEO行銷知識懶人包,了解SEO優化的基礎 第二章:影響SEO排名的因素有那些?掌握13個關鍵因素讓SEO優化變簡單 第三章:搜尋引擎的運作原理,了解Google如何替網站排名 第四章:頁面內容優化 (On-Page-SEO) - SEO網頁設計優化技術詳解 第五章:如何寫出符合SEO結構的文章?想做好SEO先搞懂文章怎麼寫 第六章:SEO關鍵字排名研究-如何找到有效高流量SEO關鍵字? 第七章:一次搞懂SEO反向連結、錨點文字,透過建立連結創造高流量 第八章:網頁設計對SEO非常重要,選對網頁設計公司,讓SEO事半功倍 第九章:SEO必不可少的工具,免費關鍵字分析工具大解析! 第十章:答案引擎優化(AEO)是什麼?藉由 AEO 提升品牌曝光的六個步驟 AI SEO(GEO)是什麼?一次搞懂 GEO、AEO、AIO 與傳統 SEO 的差異 掌握搜尋意圖:讓你的SEO內容命中使用者需求! 2026 最新 7 家 SEO 公司推薦,選對 SEO 公司幫你快速提升網站排名
Web Design Article
更多網頁設計相關文章
更多網頁設計相關文章

  • AMP(Accelerated Mobile Pages)是什麼?本篇帶你了解AMP網頁原理、優缺點、與RWD差異及對SEO排名的影響,幫助網站新手判斷是否適合導入AMP,提升網站速度與搜尋表現。

  • PHP(Hypertext Preprocessor)是一種應用廣泛的程式語言,常用於網站後端開發。當用戶輸入網址並按下Enter鍵時,PHP會在伺服器上處理請求、查詢資料庫如MySQL,並將結果生成HTML傳回用戶端。儘管新技術層出不窮,PHP仍支撐著七成以上的網站架構,其主要原因包括:強大的開源社群資源、跨平台相容性、低開發成本與高主機支援度。

  • MVC(Model-View-Controller)是一種軟體開發架構,將系統分成三個部件:Model負責管理資料和邏輯,與資料庫溝通執行CRUD操作;View則轉換資料為使用者介面,專注呈現而不含邏輯;Controller作為Model與View之間的橋樑,處理使用者請求並選擇適合的View呈現結果。MVC的設計原則基於關注點分離,讓程式碼結構清晰易於維護,避免像「義大利麵條式程式碼」般難以管理。這種架構適用於需要伺服器端路由的Web應用和API開發,提供標準化結構和高重用性,在UI設計師和工程師間的協作尤其有利。當發生功能異常時,MVC架構可幫助快速定位問題所在。

  • AI 影片生成已成為品牌與內容行銷的關鍵工具。 本篇整理 2026 年常見 AI 影片生成工具重點比較,包含 KLING、海螺 AI、Google Veo、Sora 等,從功能特色、適合族群到實務應用,協助企業與創作者選對 AI 影片製作工具。