現時很多網頁開發者都會採用開源內容管理平台(Content Management System)作為基礎,較為知名的 CMS 平台有 WordPress、Joomla、Drupal或最為複雜的Magento,而當中又以 WordPress 最為多人使用,亦因此成為了駭客攻擊的對象。
根據維基百科資料顯示,截至2016年4月,全球 Top 1000 萬個網站之中,高達 26.4% 正在使用 WordPress,而估計現時全球正在使用 WordPress 的網站高達 6000 萬個,可見網站的基礎開始出現了標準化,而這種標準化,令其被攻擊的機會變得愈來愈高!因為駭客只需要成功針對 WordPress 的漏洞進行入侵,全球數以千萬計的網站就會即時陷入危機!以下就與大家分享一下對 WordPress 安全防禦的概念。
勿更改核心檔案
其實 WordPress 本身的核心檔案(Core)十分安全,皆因全球的開發者日以計夜的貢獻時間,來提升 WordPress 各方面的功能以及修正由用户舉報的漏洞,然而當你決定自行修改 Core 編碼時,便會有機會出現危機!
當 Core 檔案被更改後,用戶便會盡量避免進行更新,因為用戶不希望自已編寫的編碼在更新後全部被移除;另一方面,網絡上每秒都有新的危機出現,無人能保證用戶所編寫的編碼是百分百沒有漏洞。當被發現漏洞後,由於用戶只有一個人,因此修正漏洞的時間絕對不會比數以百計的開源社群編程人員來得快,所以萬一出現漏洞時,用戶的網站將會有一段時間陷入危機之中。
請及時更新 WordPress 及插件
另一個很重要的因素,就是用戶應及時更新 WordPress 以及 WordPress 內的插件。現時新版本的 WordPress 已預設自動進行安全更新!但是,應用在公司的 IT 方案也很少放心地讓其自動進行更新,更何況是網站?於是很多用戶都會於 wp-config 之中加入指令,從而停止其自動更新以避免出現因自動更新而造成的種種問題!如果閣下亦是強制停止了 WordPress 更新的用戶,請謹記要定時登入後台,查看是否有新版本釋出,並及時完成更新,這樣才可避免網站陷入危機之中。
請勿隨意安裝插件
WordPress 與現時的 Android 或者 iOS 一樣,都擁有完善的生態系統,當中亦擁有數以萬計的插件,這些插件能讓你的 WordPress 變成一個更專業的系統!然而這些插件本身是由第三方人士開發,而且 WordPress 本身亦是非牟利機構,因此絕不可能像蘋果 App Store 般有專人針對每一套插件進行審查,所以插件本身很可能是一套惡意插件或者由於開發者經驗不足,採用了風險較高的方式開發插件。當用戶的網站安裝了這些插件後,駭客很容易便可針對這些幾乎是已公開的插件漏洞進行攻擊,因此管理員在安裝插件之前,應先看看前人留下的使用評價!如果能力所及,其實可考慮使用一些收費的插件,那便會相對較為穩妥。
小結
其實 WordPress 的防禦工作有很多很多,今次只分享了最為入門的一些事項,稍後我們將會再進一步分享對 WordPress 安全方面的建議,請繼續留意我們的文章。