如何分辨网站是否被骇客攻击?
個案分享 • 7月, 2018
若发生以下情况,你公司网站有机会已经被骇客攻击。
经常收到匿名电邮
发现公司的电邮被盗用以作邮寄 SPAM 到客户中
常收到由电邮伺服器发出的电邮通知你寄出的电邮不成功
网站被骑劫到不知名的网站
网站速度异常缓慢
更多…
骇客为何特别针对 CMS? 市面网站常用的内容管理系统 Content Management System (简称CMS),超过 70% 为 WordPress, Joomla 和 Durpal;网购系统有多于 20% 用家使用 Magento 和 WooCommerce,因为它们本身是开放源码 (Open-source) 而且比较普及,特别容易受骇客攻击。 若企业的网站使用以上所提及的系统,一般会加上大量 plug-in 功能(如 payment gateway,社交媒体按键等)。简单一个比喻,WordPress 就好像 Windows 作业系统,而 Plug-in 好比不同软件如 Office、Adobe CS 之类。因为整个系统都是 open source 关系,Plug-in 会有机会出现保安漏洞而未有推出定期更新。另一方面网站公司去采购 plug-in 加到你的网站时,大多数因为于在乎是否免费而较忽略长远的保安问题或会否定期提供更新版本。情况就如二十多年前在黄金商场砌电脑的年代,电脑公司会替客人安装一系列不知名的软件,当中随时带有病毒及各种保安漏洞而客户甚至网站公司都不自觉。
再加上,一般企业也未意识到网站需要定期作网站保安检查,最简单如 WordPress 的系统版本更新,一般用家也会忽略。同时当更新系统,其他 plug-in 也常出现容宜性问题,就如更新了 Windows 10 系统但其他软件会出现连续性问题一样。所以公司老板记住每年都要预备预算留来网站维修及更新。
曾有一个医疗公司客人找我们,因为公司网站被骑劫到出现 ISIS 内容,因为问题已出现很久,最后无补于事我们唯有替他从建整个网站。所以若怀疑公司网站受骇客攻击,请与尽快与我们专业团队联络。
如何减少被骇客攻击风险?
定期更新 CMS 系統及其 Plug-in
定期检查网站健康状况
善用各种网上免费检查工具
每年应预留最少 10-20% 预算(以网站成本计算)来维护/更新网站
定期与网站供应商联络