全球 6000 萬網頁危機！如何提高 WordPress 安全性？

如果大家有接觸過網頁開發，便會知道現時很多開發者都會採用開源內容管理平台（Content Management System）作為基礎，繼而再按客户需要而作進一步的創作。現時較為知名的 CMS 平台有 WordPress、Joomla、Drupal 又或者最為複雜的 Magento，而當中又以 WordPress 最為多人使用。

根據維基百科資料顯示，截至 2016 年 4 月，全球 Top 1000 萬個網站之中，便有高達 26.4% 正在使用 WordPress，而估計現時全球正在使用 WordPress 的網站高達 6000 萬個，可見網站的基礎都開始像很多 IT 方案一樣，出現了一種標準化，而亦正正是這種標準化，令其被攻擊的危機變得愈來愈高！事關駭客只需成功針對 WordPress 的漏洞進行入侵，全球數以千萬計的網站亦會即時陷入危機！

筆者自第一版本開始已在使用 WordPress 進行開發工作，近日在與開發者討論項目的過程中想到了有關 WordPress 的安全性相關事宜，於是便借機撰寫文章與大家分享一下個人對 WordPress 安全防禦的一些想法及概念。

1. 請勿更改核心檔案

其實 WordPress 本身的核心檔案（Core）是十分安全的，事關全球數以百計的開發者日以計夜的貢獻出自己時間，來提升 WordPress 各方面的功能以及修正由用户舉報的漏洞，然而當你決定自行修改 Core 編碼時，便會有機會出現危機！

事關當你更改了 Core 檔案後，每次更新你絕對是會避免進行的，因為你總不會希望自已編寫的編碼在更新後全部被移除；另一方面，網絡上每秒都有新的危機出現，誰敢保證你所編寫的編碼是百分百沒有漏洞？當被發現漏洞後，由於你只有一對手，因此修正漏洞的時間絕對不會快得過數以百計的開源社群編程人員，所以萬一出現漏洞時，你的網站將會有一段時間陷入危機之中。

2. 請及時更新 WordPress 及插件

另一個很重要的，就是用户應及時更新 WordPress 以及 WordPress 之中的插件。現時新版本的 WordPress 已預設會自動進行安全更新！但試問，應用在公司之中的 IT 方案，有多少人能放心讓其自動進行更新？更何況是網站？

於是很多用户都會於 wp-config 之中加入指令，從而停止其自動更新以避免出現因自動更新而造成的種種問題！而如果你亦是強制停止了 WordPress 的更新，請緊記要定時登入後台，查看是否有新版本釋出，並及時完成更新，這樣才可避免網站陷入危機之中。

3. 請勿隨意安裝插件

WordPress 與現時的 Android 又或者是 iOS 一樣，都擁有完善的生態系統，當中亦擁有數以萬計的插件，這些插件能讓你的 WordPress 變成一個更專業的系統！然而這些插件本身是由第三方人士開發的，而且 WordPress 本身亦是非牟利機構，因此絕不可能像蘋果 App Store 般有專人針對每一套插件進行審查，所以插件本身很可能是一套惡意插件又或者是開發者經驗不足，而採用了風險較高的方式開發插件。

當你的網站安裝了這些插件後，駭客很容易便可針對這些幾乎是已公開的插件漏洞進行攻擊，因此管理員在安裝插件前，應先看看前人的一些使用評價！而如果能力所及，其實可考慮使用一些收費的插件，那便會更為穩妥。

小結

其實 WordPress 的防禦工作有很多很多，今次我只分享了最為入門的一些事項，稍後我將會再進一步分享我對 WordPress 安全方面的一些個人見解及想法，請勿錯過稍後的介紹了！

待續……