我们每天开电脑逛网站，这些看似稀鬆平常的事，是谁让它变得简单呢？你可以想像，在每个网站的背后，其实都有着一群非常认真且敬业的工程师，不分昼夜的辛苦监控网站营运，并随时根据流量变化，即时调整与优化，才能让电脑桌前的你，可以安心浏览网站。

网站并不是上线后就没事，相反的，上线后才是任务的开始，需要定期的维护、时时关心网站健康，就好比我们每天都会收发 Email、喝水吃东西，有些基本的项目，都该列进网站管理者的例行公事，接着就让我们一件件检视，有哪些网站管理的基础守则吧。

一、定时查看网站存取记录

网站存取记录，存放着网站被浏览、被下载、被上传、被存取哪些连结的纪录。举例来说，假如网站是 PHP + MySQL，主机通常就是 Linux + Apache 的环境，会有 access_log、error_log这两个档案，接着直接引範例做说明：

範例一、access_log 通常记录着被浏览了哪些连结，哪个来源 IP 浏览了此网站。网站如果有帐密登入的功能，想观察是否有有心人士在尝试输入帐密，我们可以从 access_log 查询来源 IP 是不是自有，也可以因此做一些防範，例如密码设强一点、定期更换、锁来源 IP 等等。

範例二、error_log 记录着被浏览的连结可能存有的错误讯息，例如 NOTICE 或 ERROR，有 ERROR 就需要注意并修正，否则将影响网站的正常运作。

二、确实检查网页档案及内容

一般网站都会有图片，而图片如何来，一是从网页程式中上传，另一种则是 FTP 上传，无论是用何种方式上传，存放网站图片的目录当它里面出现一个档案 xx.php，你觉得有没有问题呢？肯定是要检查一下！存放网站图片的目录里会有 xx.php ？不是要存 xx.jpg 或 xx.png 等等的档案类型吗？

这里要探讨的是，如果是从网页程式上传，主要原因就是程式没有过滤上传的档案类型，比方说 xx.php 就不应该被上传，如果 xx.php 是恶意程式，一旦被执行了可能网站里所有的资料都可能被看光光，甚至破坏网站、删除资料等，这可是相当严重的漏洞，必须小心。

三、定期更新程式

无论网站是否为外包设计公司製作，大家可能多少都会使用一些常见的套装软体，像 WordPress、phpBB、Joomla 等等，而以 phpBB 为例，常会因为版本过旧没有更新，而被利用漏洞塞了很多垃圾留言，导致资料库的资料量增大，影响程式和资料库的存取，增加主机负载，这时最明显的情况就是网站会变得很慢，因此，网站的程式应该定期检查并更新，让服务随时处于最佳状态。

四、检查 SSL 数位凭证有效性

SSL 数位凭证可视为网站的基础防护，当企业网站具备会员登入功能时，如何才能防止客户输入的资料，遭到第三方窃取并解读呢？这时候就依靠 SSL 数位凭证了，将客户输入的机密资料转换为加密位元，即使遭到拦截，依旧不能完整读取，一方面是保护客户资料安全，提升信任感，另一方面则是防止企业需要承担资安外洩所造成的品牌与财务损失。因此网站管理者需要留意凭证到期日，定期续约，确保凭证可用性。

五、监控网站主机流量变化

通常网站经营一段时间，都会有流量变化的平均曲线，管理者需要确实监控流量变化，避免突然其来的大流量影响网站营运，有时候，短期涌入的超大流量甚至有可能是攻击事件，恶意瘫痪网站，导致服务无法顺利运作，此时便要即时做出防护与资安因应措施，阻挡外来攻击。相反的，若是要主打线上活动，就需要适时增加频宽流量，调配资源以符合活动需求。总之，无论监控项目是什幺，最终目的就是要维护网站的顺利运作。

六、定期修改密码

密码的定时修改，一向都是最基础也最重要的一件事。攻击不分时间，一年 365 天、8760 个小时网站都有可能随时遭受攻击，像是最常见的密码暴力破解。所以就算觉得累、嫌麻烦也一定要定期改密码、更新程式，这才是网站的保命之道。

七、网站基本安全扫描

网路上有一些免费、基本的网站扫描工具，其实大家可以善加利用，为网站做最基础也最省钱的安全把关，确认网站有没有恶意程式，或钓鱼程式等等，而免费的当然提供的资源有限，还是需要多靠工程师的严格把关与确实检核，让网站每分每秒处于安全之下。

以上，或许只是网站维运工作的冰山一角，现实工作中的网站经营维护，远比我们所想的还要多且複杂，但既然架了网站，就还是要花心思与时间，好好关心网站运作状况，在此，也让我们对辛苦维运网站的众多工程师，说声「辛苦了」，有你们的付出，才能让我们每个人都能当个快乐低头族！