WP Theme(主題)的安全問題


最近我們協助一位客人處理WordPress被植入惡意軟體的問題(網站跳轉到惡意軟體網站),這是客人網站第二次出現同類問題。經追查後發現問題來自WordPress某一個插件(Plugin)。

現在 tagDiv Composer 最新版本是 5.2,而客戶用的2.6。一般我們的掃瞄工具是可以檢查插件版本,太舊會有警示讓我們通知客戶需要更新。但有兩種情況檢查會不準確:一) 付費的插件 二) 付費主題(theme)附帶的插件,而今次情況屬於後者。

客戶沒有更新插件的原因是主題不能更新(更新後有跑版情況),而且連主題的開發者也沒有頭緒解決更新問題。遇到這個情況,我們有兩個方案:

  1. 把整個WordPress設定成唯讀,連後台也鎖上,可以避免再出現植入惡意軟體。
  2. 如果WordPress還是要更新,那主題必需升級,如果沒有辦法升級,唯有更換主題。

WordPress一直有修補跟更新,跟純html的網站不同,WordPress是一個必須不斷維護的網站系統。要一個完全不更新的WordPress十年都不會被入侵或者植入惡意軟體,這個幾乎不可能。所以我們建議WordPress用家,必需定期更新,如果是我們的客戶,也歡迎多加利用我們的WordPress自動更新功能。另外關於付費WordPress主題部份,除了好不好看,功能以外,還有留意一下其他用家評家(一般銷售網站如 themeforest 都有評論能看)。最後更新密度也是重要的選購因素,萬一WordPress有更新,但主題不相容又沒有更新就麻煩了。

PS:一般購買WordPress主題都有包含半年到一年的更新服務,之後需要更新就要付費,如果需要一直有更新就需要一直續費。一般用家對這點其實有點抗拒,但就我們經驗而言,這個是必須的。如果不願意付錢做主題維護,那我們會建議用免費的主題。

發佈留言