如果大家有接觸過網頁開發,便會知道現時很多開發者都會採用開源內容管理平台(Content Management System)作為基礎,繼而再按客户需要而作進一步的創作。現時較為知名的 CMS 平台有 WordPress、Joomla、Drupal 又或者最為複雜的 Magento,而當中又以 WordPress 最為多人使用。

根據維基百科資料顯示,截至 2016 年 4 月,全球 Top 1000 萬個網站之中,便有高達 26.4% 正在使用 WordPress,而估計現時全球正在使用 WordPress 的網站高達 6000 萬個,可見網站的基礎都開始像很多 IT 方案一樣,出現了一種標準化,而亦正正是這種標準化,令其被攻擊的危機變得愈來愈高!事關駭客只需成功針對 WordPress 的漏洞進行入侵,全球數以千萬計的網站亦會即時陷入危機!

筆者自第一版本開始已在使用 WordPress 進行開發工作,近日在與開發者討論項目的過程中想到了有關 WordPress 的安全性相關事宜,於是便借機撰寫文章與大家分享一下個人對 WordPress 安全防禦的一些想法及概念。

1. 請勿更改核心檔案

其實 WordPress 本身的核心檔案(Core)是十分安全的,事關全球數以百計的開發者日以計夜的貢獻出自己時間,來提升 WordPress 各方面的功能以及修正由用户舉報的漏洞,然而當你決定自行修改 Core 編碼時,便會有機會出現危機!

事關當你更改了 Core 檔案後,每次更新你絕對是會避免進行的,因為你總不會希望自已編寫的編碼在更新後全部被移除;另一方面,網絡上每秒都有新的危機出現,誰敢保證你所編寫的編碼是百分百沒有漏洞?當被發現漏洞後,由於你只有一對手,因此修正漏洞的時間絕對不會快得過數以百計的開源社群編程人員,所以萬一出現漏洞時,你的網站將會有一段時間陷入危機之中。

2. 請及時更新 WordPress 及插件

另一個很重要的,就是用户應及時更新 WordPress 以及 WordPress 之中的插件。現時新版本的 WordPress 已預設會自動進行安全更新!但試問,應用在公司之中的 IT 方案,有多少人能放心讓其自動進行更新?更何況是網站?

於是很多用户都會於 wp-config 之中加入指令,從而停止其自動更新以避免出現因自動更新而造成的種種問題!而如果你亦是強制停止了 WordPress 的更新,請緊記要定時登入後台,查看是否有新版本釋出,並及時完成更新,這樣才可避免網站陷入危機之中。

3. 請勿隨意安裝插件

WordPress 與現時的 Android 又或者是 iOS 一樣,都擁有完善的生態系統,當中亦擁有數以萬計的插件,這些插件能讓你的 WordPress 變成一個更專業的系統!然而這些插件本身是由第三方人士開發的,而且 WordPress 本身亦是非牟利機構,因此絕不可能像蘋果 App Store 般有專人針對每一套插件進行審查,所以插件本身很可能是一套惡意插件又或者是開發者經驗不足,而採用了風險較高的方式開發插件。

當你的網站安裝了這些插件後,駭客很容易便可針對這些幾乎是已公開的插件漏洞進行攻擊,因此管理員在安裝插件前,應先看看前人的一些使用評價!而如果能力所及,其實可考慮使用一些收費的插件,那便會更為穩妥。

小結

其實 WordPress 的防禦工作有很多很多,今次我只分享了最為入門的一些事項,稍後我將會再進一步分享我對 WordPress 安全方面的一些個人見解及想法,請勿錯過稍後的介紹了!

待續……


 全球 6000 萬網頁危機!如何提高 WordPress 安全性?

 https://www.facebook.com/hkitblog