WordPress 資安風險管控-5 件一般使用者就可以做的項目

WordPress 資安風險管控-5 件一般使用者就可以做的項目

裝了 WordPress 安全性外掛後,網站就沒事了嗎?看看下列這幾項不懂程式就可以執行的操作,讓你的網站安全性更上一層!1.升級核心,但不一定要最即時 2.外掛的慎選以及升級 3.安全防護外掛及其設定 4.帳號密碼意識與管控 5.具有資安意識:釣魚信件、連結、防毒軟體、電腦帳號安全

DATE 2022-09-05

WordPress 資安風險管控-5 件一般使用者就可以做的項目

Sep 05, 2022

搜尋 WordPress 安全性,映入眼簾的會是一堆 X 個方法提昇 WordPress 網路安全性、WordPress 弱點等結果,佔據世界網站 30% 的網站架構,究竟是「安全」的,還是「不安全」的這點還是有待爭論。

即便從 WordPress.com 中也不難找到官方推薦指南中,對於安全性的建議要點,大致上可以分為幾個方向:

  1. 從網站架構、備份著手
  2. 密碼與兩階段驗證
  3. 密碼的選用原則
資料來源:https://wordpress.com/zh-tw/support/security/

密碼與資安意識的重要性在網站中更須注重

上述要點〈2〉密碼與兩階段驗證、〈3〉密碼的選用原則,其實很容易做到,簡單來說記得密碼在設定時,要使用高強度密碼(或以工具輔助產生複雜密碼),幫網站建立兩階段驗證機制(尤其是 admin 權限之使用者),使用完畢記得登出(尤其電腦不是隨身攜帶時)。

確切落實以上步驟,某種程度上就可以杜絕取得最高使用者權限後的侵擾,當你的管理者權限流落在外時,外部駭客可以任意更改網站中所有資訊、資料庫、程式,最終即便要修復、復元,處理起來難度也大幅提高。故除上述密碼使用原則外,不明連結、不明信件之附件等等都需要特別注意。

網站架構中,一般使用者,就可以調整來安全性的操作

  • 核心定期升級至最新版
  • 謹慎使用外掛,並且升級至最新版本
  • 養成備份的好習慣
  • 安全性外掛安裝
  • 電腦中的防毒軟體

核心與外掛升級至最新版本:

WordPress 由 Automatics 維護,其實也是業界頂尖工程師,但因為使用的人數實在太多了,不同版本中,勢必存在著一些安全性的更新(就像是你的 Windows、手機 iOS 作業系統也需要定期更新一樣),才能補上之前的一些漏洞。

  • 外掛的使用還要比核心升級更為謹慎,因為:
  • 外掛開發者的意圖是怎樣?
  • 外掛是否有維護
  • 外掛是使用什麼系統建置而成
  • 外掛是否具有不當/過高的系統權限

若是選用了不當的外掛,系統可能的漏洞就在外掛身上,進而竄改整個資料庫等的情況也不是沒有。遵循以下幾個選用外掛原則,大致上可以避免掉 90% 以上的問題:
選用知名/有信任度之外掛開發商
找有維護(最好是有支援最新版本或三個月內有更新)之外掛
不裝設來路不明之外掛(尤其只有檔案)

網站因應功能需求,裝設大量外掛是常見的事情(當然能避免是最好),如何去升級這些外掛保持最新版本、又不相衝突、確保功能都可以正常運作就是相對困難的事情,若不具備 debug 的能力,建議作法是一次僅升級一個外掛,然後做好下一個步驟的注意事項:『備份』。

備份你的網站:

電腦備份在以往非常重要,Mac 中使用時光機(Time Machine)備份也相當簡單(甚至你感覺不到他存在,重點就是在發生問題時,可以達到(1)快速還原(2)具有重要資料保存的功能

備份保存盡可能與主機位置錯開,做異地備份,才不會有狀況時備份資料也被污染。另外要注意的是備份頻率(通常會關係到空間或是備份之價格),若你的網站是純資料網站,就看文章更新的頻率去設定;若網站是隨時會有訂單或更新資料的電商、平台等,每小時或一天數次的備份就顯得相當必要。

 

 

安全性外掛與防毒軟體:

防毒軟體的重要性,太多文章說明,這裡就不多提,但要注意選用的防毒軟體不要是「假防毒,真駭客」的雞肋程式。

WordPress 安全性外掛存在的目的其實是整合一些安全性設置,讓不熟悉程式的人也能某種程度管控網站的權限,市面上有名的像是 Wordfence、iTheme Security 都可以安裝,通常裝完之後,會有幾個重點功能:

  • 網站掃描,檢查是否有問題或風險的檔案
  • 啟用網站層級之防火牆或相關阻擋設定,一般來說用次數限制,最後讓同 IP 或帳號被阻擋、進到黑名單是基礎層級的防護
  • 提供兩階段驗證功能
  • 觀看網站 404 或其他安全性的紀錄
  • 進階細分使用者群組(限制管理階層的權限等)
  • 黑/白名單設置

上面的項目都完成了,然後呢?

複習一下管控 WordPress 資安風險,一般 User 可以做到的事情:

  1. 升級核心,但不一定要最即時
  2. 外掛的慎選以及升級
  3. 安全防護外掛及其設定
  4. 帳號密碼意識與管控
  5. 資安意識:釣魚信件、連結、防毒軟體、電腦帳號安全

進階問題交給專業程式/服務商,讓網站有強力後盾

根據專業防護公司 Sucuri 報告指出,超過一半的 CMS (內容管理後台),沒有將系統升級至最新版,其中舊版本潛在的安全性漏洞,就是駭客著手的目標。

每次更新核心、更新外掛總是忐忑不安?或是不確定更新的時機、備份應如何進行嗎?CTK Pro 也維護多個客戶的網站,包含電商網站的為運、更新,除了低風險的更新外,我們也會協助將更新後的問題修正。當有相衝或更新 bug 時,若僅需幾行 code 可以解決的問題,我們會盡量協助客戶的外掛版本更新到最新。

除此之外 CTK 還會在主機端幫客戶多上一層保險,例如用上 WAF、Sucuri 等主機層級的安全防護,雖然在費用上可能會多一些,但防護的效力絕對不是等到 Hack 進到主機後才能保護的外掛能夠比擬。有網站安全相關需求,歡迎聯絡我們

下面列出部分我們協助客戶執行的項目,希望能夠幫助到所有使用 WordPress 架站的 user:

  • 調整使用者權限、關閉部分user的編輯權限
  • 表單類別增加 reCaptcha
  • 關閉自動更新(避免更新後的網站功能失效,由 CTK Pro 協助測試後手動更新)
  • 密碼建議與管理建議
  • 將部分機敏檔案調換位置
  • 確認資料夾、檔案權限
  • 若不需要留言或相關欄位,關閉之
  • 從主機端有快照之備份+第三方備份
  • 關閉 XML-PRC
  • 弱點掃描及相關修正

WordPress 安全性 專案管理

更多文章