社福機構的網站需要 HTTPS 嗎?不做資安的三個代價與五個必備防護

發布日期:2026-07-03 最後更新:2026-07-03

30秒速讀版 (TL;DR)

  • Q 社福機構的網站需要 HTTPS 嗎?
    A 絕對需要,而且是最低門檻。Chrome 瀏覽器會將沒有 HTTPS 的網站直接標示為「不安全」,這對仰賴公眾信任的社福機構是致命的——捐款人看到「不安全」三個字,大概率直接關閉頁面。此外,台灣《個人資料保護法》要求組織保護蒐集到的個資,沒有 HTTPS 加密的網站在法律上已屬防護不足。Google 也將 HTTPS 列為搜尋排名信號,不做等於同時承受信任、法律與曝光三重損失。
  • Q NPO 網站被駭了怎麼辦?
    A 第一步是立即將網站下線停損,避免更多訪客受害。第二步通知您的主機商與資安廠商協助調查入侵途徑。第三步判斷是否涉及捐款人個資外洩,若是,依台灣《個資法》須在 72 小時內通報主管機關。第四步從乾淨的異地備份還原網站。第五步主動公開透明地告知受影響的捐款人,誠實面對比隱瞞更有助於修復信任。
  • Q 非營利組織的捐款頁如何確保安全?
    A 最關鍵的原則是「絕對不要自己儲存信用卡資料」。將金流處理交給通過 PCI DSS 認證的第三方服務商(如藍新、綠界或 Stripe),您的網站只負責將捐款人導向安全的付款頁面。同時確保捐款頁有 HTTPS 加密、金流廠商的安全標章可見、表單有 CAPTCHA 防機器人攻擊。

「我們只是一個小機構,誰會來駭我們的網站?」

這是我在社福圈中聽過最危險的一句話。因為駭客攻擊的邏輯不是「你夠不夠大」,而是「你夠不夠好駭」。一個三年沒更新的 WordPress 網站、一個沒有 HTTPS 的捐款頁面——這些在駭客眼中就是敞開的大門,不需要特別瞄準,自動化掃描工具就能找到。

本文是我們NPO 官網建設完整指南中「SSL 與 HTTPS 安全」段落的深度延伸。我不會用技術規格轟炸您,而是用管理者的語言,讓您理解「不做資安的代價」遠大於「做資安的成本」。

不做資安的三個代價

代價一:捐款人信任崩盤

打開 Chrome 瀏覽器,瀏覽一個沒有安裝 HTTPS 的網站。您會在網址列看到一個醒目的「不安全」警示。

對一般企業來說,這可能只是影響形象。但對一個仰賴公眾捐款的社福機構來說,「不安全」三個字等於在對捐款人說:「請不要在這裡輸入信用卡號。」 一個猶豫的捐款人關掉頁面只需要一秒,而您永遠不會知道自己失去了這筆捐款。

代價二:法律責任

台灣《個人資料保護法》明確要求組織必須對蒐集到的個人資料採取適當的安全維護措施。如果您的官網有蒐集捐款人姓名、電話、地址、信用卡資訊,而網站連基本的 HTTPS 加密都沒有——一旦發生資料外洩,主管機關有權認定您的防護措施不足,組織將面臨罰鍰與損害賠償。

更重要的是:《個資法》要求組織在發現個資外洩後,必須在 72 小時內通報主管機關。這不是建議,是義務。

代價三:搜尋排名持續下滑

Google 在 2014 年就將 HTTPS 列為搜尋排名信號。到了 2026 年,沒有 HTTPS 的網站幾乎不可能出現在搜尋結果的前幾頁。這代表您的官網正在從 Google 搜尋中「慢慢消失」,而搜尋曝光正是NPO 最有價值的免費流量來源

HTTPS 白話解說——它到底在保護什麼?

HTTPS 意指在瀏覽器與伺服器之間建立加密通道的網路傳輸協定,因為沒有加密的 HTTP 就像寄明信片,途中任何人都能讀取內容;而 HTTPS 則像把信放進密封信封,即使被攔截也只能看到亂碼。

技術上,HTTPS 是透過 SSL(Secure Sockets Layer)或它的後繼者 TLS(Transport Layer Security)憑證來實現加密。您不需要理解加密的數學原理,只需要知道:安裝 SSL 憑證就能讓您的網站從 HTTP 升級為 HTTPS。

SSL 憑證該選哪種?

類型驗證方式適合場景費用
DV(網域驗證)只驗證您擁有這個網域資訊型官網、部落格免費(Let’s Encrypt)
OV(組織驗證)驗證組織的合法性有捐款功能的 NPO 官網年費約 NT$2,000-5,000
EV(加強驗證)最嚴格的組織審核大型機構、高安全需求年費約 NT$10,000+

對大多數 NPO 的建議:如果您的網站有捐款功能,建議至少使用 OV 憑證。如果只是資訊展示型官網,Let’s Encrypt 的免費 DV 憑證就足夠了——現在大部分主機商都提供一鍵安裝,不需要任何技術知識。

捐款頁的安全——不只是 HTTPS

HTTPS 保護的是「傳輸過程中的資料」,但捐款頁面的安全遠不止於此。

黃金原則:絕對不要自己存信用卡資料

PCI DSS(Payment Card Industry Data Security Standard)意指國際信用卡產業共同制定的資料安全標準,因為任何處理、儲存或傳輸持卡人資料的組織都必須遵守這套規範,否則可能面臨罰款或被禁止接受信用卡付款。

好消息是:如果您把金流處理完全委託給通過 PCI DSS 認證的第三方服務商(如藍新金流、綠界科技或 Stripe),您的 PCI 合規負擔會降到最低。因為信用卡資料從頭到尾都不經過您的伺服器——捐款人在金流商提供的安全頁面上輸入卡號,您只會收到「付款成功」的通知。關於捐款系統更完整的資安措施規劃,請參考我們的捐款系統資安完整指南

捐款頁安全檢查清單

在您的捐款頁面上,確認以下四項全部到位:

  • HTTPS 鎖頭圖示:網址列有鎖頭,點擊後能查看 SSL 憑證資訊
  • 金流安全標章:頁面上顯示金流廠商的安全認證標誌
  • CAPTCHA 防護:表單有人機驗證,防止機器人攻擊或灌假資料
  • 隱私政策連結:頁面底部有清楚的隱私權政策說明

如果以上有任何一項缺失,請立即聯繫您的網站廠商處理。

💡 💡 顧問小科普

我曾遇過一個社福機構,他們的捐款頁面雖然有 HTTPS,但金流串接的方式是把信用卡資料先傳到自己的伺服器,再轉給金流商——這代表信用卡號曾經「經過」他們的主機,從 PCI 合規的角度來看,他們的合規義務瞬間從最簡單的 SAQ A 升級到複雜得多的 SAQ D。如果您不確定自己的串接方式是哪一種,請直接問金流商:「捐款人的信用卡資料有沒有經過我們的伺服器?」答案應該是「沒有」。

WordPress 網站的五個資安硬化步驟

如果您的官網使用 WordPress(全球約 43% 的網站使用 WordPress),以下五個步驟是防止被駭的最基本配置。不需要資安專家,您的網站維護人員就能完成——關於 WordPress 與其他 CMS 的安全性差異,可以參考我們的建站工具比較指南

步驟一:保持所有東西更新

WordPress 核心、佈景主題和外掛的更新不只是加功能——更重要的是修補已知的安全漏洞。超過 90% 的 WordPress 被駭事件,是因為使用了過時的外掛或核心版本。 如果可以,請開啟自動更新。

步驟二:移除不用的外掛和主題

每一個安裝在網站上的外掛,都是一個潛在的攻擊入口。即使您已經「停用」了某個外掛,它的程式碼仍然在伺服器上——駭客可以利用停用外掛中未修補的漏洞入侵。不用的就刪掉,不要只是停用。

步驟三:管理者帳號啟用雙重驗證(2FA)

強密碼很重要,但還不夠。啟用 2FA 代表即使密碼被盜,駭客仍然需要您手機上的驗證碼才能登入。免費的外掛如 WP 2FA 就能實現這個功能。關於密碼管理與雙重驗證的詳細設定教學,請參考我們的密碼管理與 MFA 實戰教學

步驟四:安裝免費資安外掛

Wordfence 的免費版就能提供防火牆和惡意軟體掃描。安裝後,它會自動阻擋可疑的登入嘗試、掃描已知的漏洞,並在發現問題時通知您。

步驟五:自動化異地備份

備份是最後一道防線。如果前面四步都沒擋住,您至少還能從乾淨的備份中還原。關鍵是異地備份——備份檔案不能只存在網站伺服器上(如果伺服器被駭,備份也會一起被毀)。使用 UpdraftPlus 等免費外掛,設定每週自動備份到 Google Drive 或 Dropbox。

Q.

我們的網站是外包給廠商維護的,這些步驟應該由誰來做?

A.

應該由廠商負責執行,但您必須確認他們有做。建議在維護合約中明確載入以下條款:「廠商須於每月定期更新 WordPress 核心、主題與外掛至最新安全版本,並於每次更新後提供更新報告。」如果廠商無法承諾這一點,這本身就是一個該換廠商的信號。

被駭了怎麼辦?NPO 的急救 SOP

即使做了所有防護,沒有任何系統是 100% 安全的。如果您的網站不幸被駭,以下是按優先順序排列的五步急救流程:

Step 1:立即下線

第一時間將網站暫停對外開放。這不是為了「面子」,而是為了防止更多訪客受害——駭客可能在您的網站上植入了竊取資料的惡意程式碼。

Step 2:通知主機商

聯繫您的主機託管商。告知對方「網站疑似遭入侵」。主機商通常有伺服器層級的日誌可以幫助判斷入侵途徑和影響範圍。

Step 3:判斷是否涉及個資外洩

如果駭客可能接觸到捐款人的姓名、聯繫方式或付款資訊,這就構成了《個資法》定義的個資事故。依法必須在 72 小時內通報主管機關,並採取補救措施。社福機構若有使用個管系統,通報流程可以參考個管系統的資安合規指南中的自動化通報機制。

Step 4:從乾淨備份還原

這就是步驟五(異地備份)的價值所在。如果您有定期的異地備份,可以還原到被駭之前的狀態。還原後,立即更新所有密碼和外掛。

Step 5:公開透明告知

如果有捐款人的資料可能受到影響,主動通知比被動隱瞞好一百倍。一封誠實的說明信——解釋發生了什麼、組織採取了什麼補救措施、以及捐款人可以做什麼自我保護——雖然短期會造成壓力,但長期來看是修復信任最有效的方式。

💡 💡 顧問小科普

台灣國家資通安全研究院(資安院)發布了《資安星際指南》系列手冊,專門為中小企業與非營利組織設計的資安入門教材,內容涵蓋基礎防護到事件應變。建議每個 NPO 至少下載第一冊作為組織內部的資安教育參考。可至資安院官網免費下載。

參考文獻

免費下載《2026 NPO 捐款系統 10 大評估指標檢查表》

還在猶豫該選擇哪一家捐款系統嗎?這份檢核表統整了市面常見平台的「真實手續費」、「CRM 整合度」與「隱藏成本」,幫你少走彎路、不花冤枉錢!

加 LINE 免費索取 PDF 加入後將自動發送下載連結
Jack Kuo

關於作者 Jack Kuo

現任職網軟股份有限公司-業務諮詢顧問,致力將複雜的科技語言轉化為日常的生活經驗、將過往學習到法規的知識與經驗,彙整成淺顯易懂的文章。提供網站架構諮詢、捐款系統導入以及內部科技培訓。

立即預約