WordPress Security Scanner 掃描你的網站是否有已知弱點

最後更新於 2020 年 07 月 07 日

全世界有超過 35% 網站使用 WordPress,做為最流行、最多人使用的開放原始碼內容管理系統(CMS),當然要有更高的安全性,WordPress 核心檔案確實非常安全,至少這麼多年幾乎沒看到任何大規模的漏洞或問題出現,但很多時候弱點都是出現在佈景主題或外掛程式,尤其是一些過時、來路不明的程式碼,可能會讓你的網站暴露於危險中。很多站長並不知道問題嚴重性,直到網站被植入惡意代碼,尋求解決方案為時已晚。

俗話說「預防勝於治療」,這個觀念在 WordPress 也適用,但我們可能很難馬上意會到自己的 WordPress 網站有沒有潛藏問題,透過一些第三方工具可以更快找到答案。

本文要介紹的「WordPress Security Scanner」是一個免費的 WordPress 安全掃描工具,搜尋引擎採用 WPScan(一個由 Automattic 贊助的開放原始碼掃描器專案),可以檢測某個 WordPress 網站是否有安全上的疑慮。在網站上輸入要檢測的網址就能開始掃描,顯示幾個檢測結果:WordPress 版本、掃描到的外掛數量、控制台是否會被看到、弱點、有沒有被加入黑名單和 HTTPS

更重要的是 WordPress Security Scanner 能顯示該網站使用的 WordPress、佈景主題或外掛程式版本是否過時,有沒有潛藏已知的漏洞,這對於網站管理者來說非常有用,特別是你可能因為某些原因而必須讓程式停留在某個舊的版本,如果可以預先知道該版本有沒有已知的危害,或許就能提早更換佈景主題或外掛,或是找尋其他更安全可靠的替代方案。

WordPress Security Scanner
https://gf.dev/wordpress-security-scanner

使用教學

STEP 1

開啟 WordPress Security Scanner 輸入要檢測的網站網址,勾選下方同意使用條款並授權讓掃描器檢測該網址,按下「Scan Site」就能開始進行,要注意的是該工具只能檢查 WordPress 網站是否有已知弱點,如果不是 WordPress 網站就無法取得正確結果。

STEP 2

WordPress Security Scanner 會顯示掃描的 WordPress 網站 IP 位址、時間、託管在什麼主機商,更重要的是底下顯示的 WordPress 版本、檢測到的外掛、控制台、弱點、是否被加入黑名單以及 HTTPS。

如果你有進行一些防護措施,可能 WordPress Security Scanner 就無法掃描到這些資訊,例如程式版本、使用那些 WordPress 外掛等等,最好的情況下就是不被掃描出來,否則就是增加風險。但要注意的是顯示為紅色的項目,可能得做一些必要措施來強化網站的安全性。

舉例來說,在佈景主題或外掛方面會顯示發現的弱點,像是 jQuery 版本過於老舊,或是外掛程式沒有更新等等,若非必要,最好的作法還是盡量將外掛和 WordPress 主程式都更新到最新版本,除了會有更好的效能外,更重要的是可以避免有心人士利用弱點攻擊網站。

STEP 3

隱藏 WordPress 版本或是保護登入頁面、控制台等等我以前已經提過,這部份大家應該也都可以爬文找到不少教學。

我認為 WordPress Security Scanner 最有用的就是掃描一下網站的佈景主題或外掛是否已經過時,例如某個外掛仍停留在舊版本,掃描工具就會列出該外掛的最新版本號,以及該網站目前正在使用過時的版本,雖然有些外掛可能不一定要立即更新,但如果有已知的安全性問題就會列在下方,這些外掛必須要儘快更新到安全版本,否則對網站來說也是一個危害。

值得一試的三個理由:

  1. 免費 WordPress 掃描工具,檢測網站是否有潛藏安全問題
  2. 可檢測 WordPress 版本、外掛數量、控制台和是否有被加入黑名單
  3. 針對已知的核心、佈景主題或外掛特定版本提供弱點警告

 

相關的文章

instant.page 官方 WordPress 外掛程式,在網站頁面產生立即載入效果

我去年曾介紹過一個很有用的網站工具「instant.page 讓你的網頁載入更即時,只需加入一段程式碼」,透過只有 200 行、壓縮後僅有 1 Kb 左右的 JavaScript 程式碼來讓網站速度變得更快,而它的原理也不難懂,利用瀏覽器 prefetch 技術在使用者點選鏈結前預先取得網頁內容,雖然只有幾毫秒差距,但確實有助於改善網頁的瀏覽體驗。現在這項服務也被不少國際知名公司使用。如果你是一般使用者,透過 FasterChrome 瀏覽器擴充功能也能提升瀏覽網頁時的速度。

Duplicator 最強大 WordPress 搬家外掛,將備份匯出為自動化安裝程式

使用 WordPress 架站可能算是同類型開放原始碼程式最簡單的一個,只需要將核心主程式上傳、建立資料庫就能快速安裝,建置出功能強大的 WordPress 網站。在維護網站過程最常遇到的狀況是搬家,也就是將現有的 WordPress 資料移轉到其他主機,通常在網站速度太慢、耗費資源過多或流量太大時會碰到,當然主機費用也是搬家到其他空間的考量,不過很多時候搬家對管理員來說也是一個頭痛的問題。

Jetpack 免費 CDN 自動加速分流 WordPress 圖片外掛教學

六年前寫過一篇「Photon 免費 CDN 圖片分流、加速服務,每個 WordPress 用戶都該開啟的外掛」,後來這項功能成為 Jetpack 網站加速器(Site Accelerator)一部分,另一個加速器功能是 Asset CDN,和圖片 CDN 差別在於一個是針對圖片進行分流,Asset CDN 是加速 WordPress 靜態檔案,例如 CSS 和 JavaScript,兩個功能都很有用,當然也可依照自己的需求開啟。

perfmatters 最強 WordPress 效能外掛推薦,關閉特定功能提高網站速度

遇到想要自行架站的朋友,我都會推薦使用 WordPress,它是目前市占率最高、最多人使用且資源最豐富的內容管理系統,也有非常龐大的佈景主題設計和外掛程式可以選擇,透過 WordPress 建置網站能快速獲得一個穩固安全的平台。WordPress 是開放原始碼(Open Source)專案,不但有世界各地的自願者持續維護更新,也能讓網站採用最新技術,對於管理者來說非常有用。

VaultPress 完整備份你的 WordPress 網站,無痛搬家或回復特定時間點

如果你是使用 WordPress 自架站(Self-hosted)的話,有一個經常被忽略的問題,那就是網站資料備份的重要性,你可能會問:主機商不都有提供每日備份或是異地備援嗎?即使如此,仍看到不少因為硬碟損壞或伺服器遭入侵而無法回復客戶資料的案例,因此最好的方法還是自己進行網站備份比較妥當。WordPress 備份工具非常多,方式也都不盡相同,想省錢還可利用外掛連接你的雲端硬碟備份資料,或是手動將資料壓縮後以 SSH、SFTP 傳輸到其他主機保存,不過這些缺點就是可能會比較耗費資源,要管理備份也不太方便。

回應