網頁危機?提高 WordPress 安全性?

如果大家有接觸過網頁開發,便會知道現時很多開發者都會採用開源內容管理平台(Content Management System)作為基礎,繼而再按客户需要而作進一步的創作。現時較為知名的 CMS 平台有 WordPress、Joomla、Drupal 又或者最為複雜的 Magento,而當中又以 WordPress 最為多人使用。

全球 Top 1000 萬個網站之中,便有高達 26.4% 正在使用 WordPress,而估計現時全球正在使用 WordPress 的網站高達 6000 萬個,可見網站的基礎都開始像很多 IT 方案一樣,出現了一種標準化,而亦正正是這種標準化

勿更改核心檔案

WordPress 本身的核心檔案(Core)是十分安全的,事關全球數以百計的開發者日以計夜的貢獻出自己時間,來提升 WordPress 各方面的功能以及修正由用户舉報的漏洞,然而當你決定自行修改 Core 編碼時,便會有機會出現危機!

事關當你更改了 Core 檔案後,每次更新你絕對是會避免進行的,因為你總不會希望自已編寫的編碼在更新後全部被移除;另一方面,網絡上每秒都有新的危機出現,誰敢保證你所編寫的編碼是百分百沒有漏洞?當被發現漏洞後,由於你只有一對手,因此修正漏洞的時間絕對不會快得過數以百計的開源社群編程人員,所以萬一出現漏洞時,你的網站將會有一段時間陷入危機之中。

及時更新 WordPress 及插件

另一個很重要的,就是用户應及時更新 WordPress 以及 WordPress 之中的插件。現時新版本的 WordPress 已預設會自動進行安全更新!但試問,應用在公司之中的 IT 方案,有多少人能放心讓其自動進行更新?更何況是網站?

於是很多用户都會於 wp-config 之中加入指令,從而停止其自動更新以避免出現因自動更新而造成的種種問題!而如果你亦是強制停止了 WordPress 的更新,請緊記要定時登入後台,查看是否有新版本釋出,並及時完成更新,這樣才可避免網站陷入危機之中。

勿隨意安裝插件

WordPress 與現時的 Android 又或者是 iOS 一樣,都擁有完善的生態系統,當中亦擁有數以萬計的插件,這些插件能讓你的 WordPress 變成一個更專業的系統!然而這些插件本身是由第三方人士開發的,而且 WordPress 本身亦是非牟利機構,因此絕不可能像蘋果 App Store 般有專人針對每一套插件進行審查,所以插件本身很可能是一套惡意插件又或者是開發者經驗不足,而採用了風險較高的方式開發插件。

當你的網站安裝了這些插件後,駭客很容易便可針對這些幾乎是已公開的插件漏洞進行攻擊,因此管理員在安裝插件前,應先看看前人的一些使用評價!而如果能力所及,其實可考慮使用一些收費的插件,那便會更為穩妥。

 

 

 

 

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。