一直以來我都是 Cloudflare 的忠實用戶,除了可以做為 DNS 代管,為網站提供更快、更穩定的速度及安全防護功能,後來也變身為網域名稱註冊商 Cloudflare Registrar,直接給出最貼近成本價的域名註冊和續用價格,包括 SSL 憑證、DNSSEC 或 WHOIS 隱私防護等功能在內都是不須額外加價的附加服務。如果你是使用 WordPress 架站,我也寫過 Cloudflare 的 WordPress 外掛教學,只要下載啟用後連接到你的帳戶就能快速整合 Cloudflare 各項功能。
根據 Cloudflare 研究發現他們的用戶每天總共花費四年半時間來等待沒有回應的伺服器傳回錯誤訊息,對使用者來說沒人想看到錯誤頁面,如果在網站無法開啟時依然想看到內容,搜尋引擎提供的「頁庫存檔」功能其實很有用,可以查看搜尋引擎在爬行時索引儲存的頁面內容,當然相較於「新鮮」頁面來說可能會有時間差,不過還是能讓我們看到網頁內容,特別是一些文字資訊就能正常瀏覽,我很常在無法正常開啟的網頁使用這個技巧。
上個月參加台灣第二次 WordCamp Taipei 大會,以往在這些活動上都會聽到一些新東西,或是從沒想過可以這樣做的解決方案,對我來說也算收穫很多,更棒的是還能寫文章分享給更多讀者朋友。因為 WordCamp 是 WordPress 愛好者和開發者聚集的大型聚會,介紹的服務或工具以網站會用到的為主,談到關於網站安全問題就會提到很知名的 Sucuri,以前我曾經使用過 Sucuri 網站加速和防護服務,現在則使用 Cloudflare,兩者某方面有些相似。
如果你是使用 WordPress 自架站(Self-hosted)的話,有一個經常被忽略的問題,那就是網站資料備份的重要性,你可能會問:主機商不都有提供每日備份或是異地備援嗎?即使如此,仍看到不少因為硬碟損壞或伺服器遭入侵而無法回復客戶資料的案例,因此最好的方法還是自己進行網站備份比較妥當。WordPress 備份工具非常多,方式也都不盡相同,想省錢還可利用外掛連接你的雲端硬碟備份資料,或是手動將資料壓縮後以 SSH、SFTP 傳輸到其他主機保存,不過這些缺點就是可能會比較耗費資源,要管理備份也不太方便。
想知道瀏覽的網站安全與否,各家掃描引擎都有自己的黑名單,最有名的就屬 Google Safe Browsing,而這份名單除了 Google 搜尋會使用,也提供給 Google Chrome 和各家瀏覽器業者,因此能在發現問題網站時立即阻擋封鎖以避免使用者前往。不過有時候也會遇到已經被回報但還未處理的惡意鏈結,最常見的像是釣魚網站、首頁綁架、安裝惡意程式等防不勝防,只能在每次打開網站前再三確認真偽。
去年在 WordCamp Taipei 活動中分享經營網站多年的心得,其中我認為最重要、也不斷重複提及的是「速度」,這兩個字說來簡單,要認真鑽研必須耗費不少時間,如何兼顧速度和使用者體驗確實有相當難度。網站速度一直是我努力的方向,但也深知所有事物都有極限,除了使用近年比較熱門的 Google AMP 技術,網站速度就像一道難以跨越的高牆,許多人努力許久依然徒勞,很難突破的就屬 Time to First Byte(TTFB)。
SSL 憑證如同網域名稱會有一定的過期時間,通常大部分以一次一年為計費方式,依照每次續約時間延長使用期限,無論何者只要忘記續費都會造成網站中斷、無法運作,因此對網站經營來說是相當重要的一個環節。網域名稱大部分會設定為自動續約狀態,交由域名註冊商在網址到期前自動扣款,而 SSL 憑證亦能自動續用,但比較容易因為一些情形而替換,所以憑證管理就顯得特別重要,至少不要放到過期才發現忘記續費。
我在 WordCamp Taipei 2018 分享這幾年經營免費資源網路社群的經驗,當中也提到我選用的工具服務和理由,作為一個樂於分享的使用者,其實沒有什麼不可告人的「秘方」,反倒很希望能夠將自身經驗拋出來讓大家參考,獲得更多回饋,通常在交流過程中可以使自己學習很多。雖然沒有任何作法可以 100% 符合所有網站需求,但我還是希望透過文章傳遞一些你可能會用到、足以解決問題的觀點,當然這些不應太過複雜,至少要能讓大家願意閱讀,我寫的文章才會有所用處。
從今年七月 Google Chrome 68 開始所有未使用 HTTPS 協議的網站都會在網址列被標視為「不安全」,儘管 Google 已提倡 SSL 很長一段時間,但仍有很多網站尚未使用此協定,其實 SSL 有很多好處,包括改善網頁載入效能、對於搜尋引擎最佳化有幫助、提昇安全性與可信賴度,現在也有免費 SSL 憑證可以選用,例如透過 SSL For Free 快速獲取 Let’s Encrypt 憑證。
