最近我們協助一位客人處理WordPress被植入惡意軟體的問題(網站跳轉到惡意軟體網站)，這是客人網站第二次出現同類問題。經追查後發現問題來自WordPress某一個插件(Plugin)。

現在 tagDiv Composer 最新版本是 5.2，而客戶用的2.6。一般我們的掃瞄工具是可以檢查插件版本，太舊會有警示讓我們通知客戶需要更新。但有兩種情況檢查會不準確：一) 付費的插件 二) 付費主題(theme)附帶的插件，而今次情況屬於後者。

客戶沒有更新插件的原因是主題不能更新(更新後有跑版情況)，而且連主題的開發者也沒有頭緒解決更新問題。遇到這個情況，我們有兩個方案：

1. 把整個WordPress設定成唯讀，連後台也鎖上，可以避免再出現植入惡意軟體。
2. 如果WordPress還是要更新，那主題必需升級，如果沒有辦法升級，唯有更換主題。

WordPress一直有修補跟更新，跟純html的網站不同，WordPress是一個必須不斷維護的網站系統。要一個完全不更新的WordPress十年都不會被入侵或者植入惡意軟體，這個幾乎不可能。所以我們建議WordPress用家，必需定期更新，如果是我們的客戶，也歡迎多加利用我們的WordPress自動更新功能。另外關於付費WordPress主題部份，除了好不好看，功能以外，還有留意一下其他用家評家(一般銷售網站如 themeforest 都有評論能看)。最後更新密度也是重要的選購因素，萬一WordPress有更新，但主題不相容又沒有更新就麻煩了。

PS：一般購買WordPress主題都有包含半年到一年的更新服務，之後需要更新就要付費，如果需要一直有更新就需要一直續費。一般用家對這點其實有點抗拒，但就我們經驗而言，這個是必須的。如果不願意付錢做主題維護，那我們會建議用免費的主題。