WordPress 資安風險管控－5 件一般使用者就可以做的項目

搜尋 WordPress 安全性，映入眼簾的會是一堆 X 個方法提昇 WordPress 網路安全性、WordPress 弱點等結果，佔據世界網站 30% 的網站架構，究竟是「安全」的，還是「不安全」的這點還是有待爭論。

即便從 WordPress.com 中也不難找到官方推薦指南中，對於安全性的建議要點，大致上可以分為幾個方向：

上述要點〈2〉密碼與兩階段驗證、〈3〉密碼的選用原則，其實很容易做到，簡單來說記得密碼在設定時，要使用高強度密碼（或以工具輔助產生複雜密碼），幫網站建立兩階段驗證機制（尤其是 admin 權限之使用者），使用完畢記得登出（尤其電腦不是隨身攜帶時）。

確切落實以上步驟，某種程度上就可以杜絕取得最高使用者權限後的侵擾，當你的管理者權限流落在外時，外部駭客可以任意更改網站中所有資訊、資料庫、程式，最終即便要修復、復元，處理起來難度也大幅提高。故除上述密碼使用原則外，不明連結、不明信件之附件等等都需要特別注意。

WordPress 由 Automatics 維護，其實也是業界頂尖工程師，但因為使用的人數實在太多了，不同版本中，勢必存在著一些安全性的更新（就像是你的 Windows、手機 iOS 作業系統也需要定期更新一樣），才能補上之前的一些漏洞。

若是選用了不當的外掛，系統可能的漏洞就在外掛身上，進而竄改整個資料庫等的情況也不是沒有。遵循以下幾個選用外掛原則，大致上可以避免掉 90％以上的問題：
選用知名/有信任度之外掛開發商
找有維護（最好是有支援最新版本或三個月內有更新）之外掛
不裝設來路不明之外掛（尤其只有檔案）

網站因應功能需求，裝設大量外掛是常見的事情（當然能避免是最好），如何去升級這些外掛保持最新版本、又不相衝突、確保功能都可以正常運作就是相對困難的事情，若不具備 debug 的能力，建議作法是一次僅升級一個外掛，然後做好下一個步驟的注意事項：『備份』。

電腦備份在以往非常重要，Mac 中使用時光機（Time Machine）備份也相當簡單（甚至你感覺不到他存在，重點就是在發生問題時，可以達到（1）快速還原、（2）具有重要資料保存的功能。

備份保存盡可能與主機位置錯開，做異地備份，才不會有狀況時備份資料也被污染。另外要注意的是備份頻率（通常會關係到空間或是備份之價格），若你的網站是純資料網站，就看文章更新的頻率去設定；若網站是隨時會有訂單或更新資料的電商、平台等，每小時或一天數次的備份就顯得相當必要。

防毒軟體的重要性，太多文章說明，這裡就不多提，但要注意選用的防毒軟體不要是「假防毒，真駭客」的雞肋程式。

WordPress 安全性外掛存在的目的其實是整合一些安全性設置，讓不熟悉程式的人也能某種程度管控網站的權限，市面上有名的像是 Wordfence、iTheme Security 都可以安裝，通常裝完之後，會有幾個重點功能：

複習一下管控 WordPress 資安風險，一般 User 可以做到的事情：

根據專業防護公司 Sucuri 報告指出，超過一半的 CMS （內容管理後台），沒有將系統升級至最新版，其中舊版本潛在的安全性漏洞，就是駭客著手的目標。

每次更新核心、更新外掛總是忐忑不安？或是不確定更新的時機、備份應如何進行嗎？CTK Pro 也維護多個客戶的網站，包含電商網站的為運、更新，除了低風險的更新外，我們也會協助將更新後的問題修正。當有相衝或更新 bug 時，若僅需幾行 code 可以解決的問題，我們會盡量協助客戶的外掛版本更新到最新。

除此之外 CTK 還會在主機端幫客戶多上一層保險，例如用上 WAF、Sucuri 等主機層級的安全防護，雖然在費用上可能會多一些，但防護的效力絕對不是等到 Hack 進到主機後才能保護的外掛能夠比擬。有網站安全相關需求，歡迎聯絡我們。

下面列出部分我們協助客戶執行的項目，希望能夠幫助到所有使用 WordPress 架站的 user：

數位行銷工具應用者。從企劃、網站規劃、文案、社群、網路行銷工具無所不包。大腦如果和網路資料庫連結，多少可以緩解資訊焦慮症狀。