「我的網站太小,不會被攻擊」——這是錯的
很多中小企業主有一個根深蒂固的誤解:駭客只攻擊大型企業。
事實恰好相反。
大多數的網站攻擊是自動化的掃描和攻擊——機器人程式持續掃描網路上所有網站,尋找已知漏洞,一旦找到就自動發動攻擊。
你的網站大小不重要,有沒有漏洞才重要。
WordPress 網站因為用戶量龐大,是最常被攻擊的平台。每天有數以百萬計的 WordPress 網站受到嘗試性攻擊。
你的官網可能面對的威脅
1. 惡意登入嘗試(Brute Force Attack)
使用自動化工具,嘗試大量的帳號密碼組合來取得你的後台登入權限。
防禦方式:
- 啟用登入失敗次數限制(超過 X 次鎖定 IP)
- 使用強密碼(至少 12 位,包含大小寫、數字、特殊符號)
- 啟用兩步驟驗證(2FA)
- 將登入頁面改為非預設 URL(WordPress 預設是 /wp-admin)
2. SQL 注入(SQL Injection)
駭客在你的網站表單中輸入惡意的 SQL 指令,試圖直接操作你的資料庫。
防禦方式:
- 使用有輸入驗證的框架(例:Next.js 的 API routes 有更好的安全設計)
- 避免直接將使用者輸入拼接進 SQL 查詢(使用 Prepared Statements)
- 定期更新你的 CMS 和所有外掛
3. 跨站腳本(XSS)
駭客在你的網站注入惡意 JavaScript,讓訪問你網站的用戶受影響。
防禦方式:
- 對使用者輸入的內容做適當的 HTML 轉義
- 設定正確的 Content Security Policy(CSP)HTTP 標頭
4. 外掛/第三方腳本的漏洞
如果你的網站使用 WordPress,每一個外掛都是潛在的攻擊面。未更新的外掛是最常見的入侵入口。
防禦方式:
- 定期更新所有外掛和主題
- 停用並刪除不用的外掛
- 只從可信來源安裝外掛
5. DDoS 攻擊
大量流量短時間內打到你的網站,讓伺服器撐不住、網站掛掉。
防禦方式:
- 使用 Cloudflare 的免費 DDoS 防護
- 選擇有 DDoS 基準防護的主機服務商
立即可做的安全防護清單
無論你用什麼技術的網站:
- [ ] 確認 SSL 憑證有效(HTTPS)
- [ ] 登入後台的密碼不是預設或簡單密碼
- [ ] 啟用兩步驟驗證(如果你的後台支援)
- [ ] 確認你知道你的網站在哪個主機商,登入資訊是否安全儲存
如果你用 WordPress:
- [ ] WordPress 核心版本更新到最新
- [ ] 所有外掛和主題更新到最新版本
- [ ] 刪除不用的外掛(不只是停用)
- [ ] 安裝安全外掛(Wordfence 或 Hide My Login 等)
- [ ] 設定每日備份(Updraft Plus 或主機商的備份功能)
如果你用 Next.js 或自架技術:
- [ ] 定期更新 npm 套件(npm audit 檢查已知漏洞)
- [ ] API 路由有做適當的輸入驗證
- [ ] 環境變數(API 金鑰等)沒有暴露在前端或公開的程式碼庫
備份是最後一道防線
就算你做了所有防護,有時候還是會出問題。
備份原則:
- 至少每天自動備份一次
- 備份儲存在與主機分開的地方(Google Drive、S3、本地硬碟)
- 定期測試備份是否可以正常還原
資安不是一次性設定,是持續的維護工作。