Google教你網站被駭緊急搶救術

網站代表了一家企業的外貌與形象，在決定顧客對企業看法上，扮演著關鍵角色，因此許多企業都不惜花費大筆銀子來架設、妝點網站。但在另一方面，許多企業對網站安全的考慮顯然有所不足。駭客輕則藉由置入廣告或不雅訊息，破壞企業形象，重則植入木馬程式，竊取賬號密碼、金融交易資訊等，造成企業巨大損失，甚至走向倒閉收場的悲慘結局。

以前企業對於網站被駭的問題可以充耳不聞，但是在2010年之後，Google為了提供更安全的網頁搜尋，為其搜尋結果追加一項設計：將Google掃描到疑似被駭的網站標上「不安全網站」的標籤。若使用者仍執意點選不安全網站的連結，Google甚至會以一個紅通通的警告網頁，再度提醒瀏覽者這個網站可能被置入了垃圾訊息或惡意程式，避免使用者誤入而遭連帶感染。使用者當然也可以對此警告置之不理，繼續瀏覽該網頁，不過，對於絕大多數的人來說，一旦看到警告網頁，通常就不會再繼續瀏覽了。

此舉一出，對企業網站帶來極大的衝擊。只要你的網站被Google貼上不安全的標籤，透過搜尋引擎而來的客戶就幾乎消失了，而且一旦消息傳開了，使用者對你的網站也就避之唯恐不及。

這項對網頁瀏覽者貼心的安全設計，其實是一把雙面刃，為了維護使用者的安全，勢必就會突顯企業網站的不安全。對網站擁有者而言，這項服務對網站安全帶來很大的考驗，但往好處想，Google這個警告機制倒也是一種免費的安全掃描服務，對於缺乏網站安全警示機制的企業而言，未嘗不是一種折衷的方法，只不過你得付出的代價是，一旦被Google貼上不安全網站的標籤，上門的客戶就會開始減少了。

Google的安全網頁過濾機制上線之後，就有多個知名網站因為被貼上不安全標籤，而引發諸多爭議。網站管理者最困擾的是，無法主動撤除「不安全網站」的警告標籤，因為不知如何向Google提報網站被駭問題已獲得修正，往往只能私下去信請Google協助處理，十分缺乏效率。而Google又是最被廣泛使用的搜尋引擎，網站被列在黑名單上的每一天，企業都要付出形象受損的巨大成本。

終於，Google似乎聽見了網站管理員心中的苦，在今年推出了一套完整的網站被駭緊急處理程序，教導網站管理員如何修復網站，以及提交Google重新驗證的程序。

Google這套方法包括許多網路安全知識與緊急應變指南，包括如何正確將網站下線，如何以備份回覆乾淨網站的操作要點，並且針對常見的網站安全問題，如密碼強度不足、Open Redirect及SQL Injection等，提出建議的修復方法。Google也提供WebMaster線上工具，讓網站管理員可以掃描網頁內隱含的垃圾訊息、惡意程式以及網路釣魚等威脅。

另外，Google也提供了驗證網址，只要網路管理者將復原過的網站送交此網址，並通過驗證，企業就能從不安全網站的列表中除名，瀏覽者日後也再不會從搜尋結果中看到「不安全網站」的標籤了。

多位資安專家都認為，Google這樣的作法有助於提升網路安全，趨勢科技臺灣區技術總監戴燊認為，此方法可以解決基本網站被駭問題，代理F-Secure的翔偉資安科技總經理杜世鵬則表示，這項安全偵測機制對於7成的資安風險是有效的，但是，資安專家也都提醒企業，這個方法對企業而言雖然也算是一種免費的網站安全偵測，但並無法完整涵蓋所有的安全風險。杜世鵬表示，尚有2成是「新型的變種攻擊」以及1成的「APT針對式攻擊」，若Google的資料庫沒有新型攻擊的模式，就無法提出警示，尤其是日益猖獗的APT攻擊，此種作法更是無法有效防範。而中華龍網技術總監陳世育表示，Google的重點在於防止被駭客入侵的網站，在網際網路上造成更大的危害，但是對於一些非透過網站傳播的病毒或攻擊，如中間人攻擊，這種防護機制就力有未逮了。代理G Data的俊端科技技術支援工程師韓宗廷則指出，Google這套方法是手動解決垃圾訊息、惡意軟體及網路釣魚等網站受駭問題，仍仰賴IT人員手動修復網站，所以企業仍必須由IT技術人員協助才有辦法因應。

熟悉網站應用程式安全的專家Alan Lee表示，Google提供的方法能讓網站管理員迅速處理網站被駭問題，並增強管理員對於網站安全的相關知識，但是，想建立更全面，更長久防駭機制的企業，則不能就此打住，而該建置完整的弱點掃瞄系統、入侵偵測系統、版本控制以及網路日誌管理系統，並於平日強化企業內部人員的資安防護意識，才是萬全的防駭之道。