全世界有超過 35% 網站使用 WordPress,做為最流行、最多人使用的開放原始碼內容管理系統(CMS),當然要有更高的安全性,WordPress 核心檔案確實非常安全,至少這麼多年幾乎沒看到任何大規模的漏洞或問題出現,但很多時候弱點都是出現在佈景主題或外掛程式,尤其是一些過時、來路不明的程式碼,可能會讓你的網站暴露於危險中。很多站長並不知道問題嚴重性,直到網站被植入惡意代碼,尋求解決方案為時已晚。

俗話說「預防勝於治療」,這個觀念在 WordPress 也適用,但我們可能很難馬上意會到自己的 WordPress 網站有沒有潛藏問題,透過一些第三方工具可以更快找到答案。

本文要介紹的「WordPress Security Scanner」是一個免費的 WordPress 安全掃描工具,搜尋引擎採用 WPScan(一個由 Automattic 贊助的開放原始碼掃描器專案),可以檢測某個 WordPress 網站是否有安全上的疑慮。在網站上輸入要檢測的網址就能開始掃描,顯示幾個檢測結果:WordPress 版本、掃描到的外掛數量、控制台是否會被看到、弱點、有沒有被加入黑名單和 HTTPS

更重要的是 WordPress Security Scanner 能顯示該網站使用的 WordPress、佈景主題或外掛程式版本是否過時,有沒有潛藏已知的漏洞,這對於網站管理者來說非常有用,特別是你可能因為某些原因而必須讓程式停留在某個舊的版本,如果可以預先知道該版本有沒有已知的危害,或許就能提早更換佈景主題或外掛,或是找尋其他更安全可靠的替代方案。

WordPress Security Scanner
https://gf.dev/wordpress-security-scanner

使用教學

STEP 1

開啟 WordPress Security Scanner 輸入要檢測的網站網址,勾選下方同意使用條款並授權讓掃描器檢測該網址,按下「Scan Site」就能開始進行,要注意的是該工具只能檢查 WordPress 網站是否有已知弱點,如果不是 WordPress 網站就無法取得正確結果。

STEP 2

WordPress Security Scanner 會顯示掃描的 WordPress 網站 IP 位址、時間、託管在什麼主機商,更重要的是底下顯示的 WordPress 版本、檢測到的外掛、控制台、弱點、是否被加入黑名單以及 HTTPS。

如果你有進行一些防護措施,可能 WordPress Security Scanner 就無法掃描到這些資訊,例如程式版本、使用那些 WordPress 外掛等等,最好的情況下就是不被掃描出來,否則就是增加風險。但要注意的是顯示為紅色的項目,可能得做一些必要措施來強化網站的安全性。

舉例來說,在佈景主題或外掛方面會顯示發現的弱點,像是 jQuery 版本過於老舊,或是外掛程式沒有更新等等,若非必要,最好的作法還是盡量將外掛和 WordPress 主程式都更新到最新版本,除了會有更好的效能外,更重要的是可以避免有心人士利用弱點攻擊網站。

STEP 3

隱藏 WordPress 版本或是保護登入頁面、控制台等等我以前已經提過,這部份大家應該也都可以爬文找到不少教學。

我認為 WordPress Security Scanner 最有用的就是掃描一下網站的佈景主題或外掛是否已經過時,例如某個外掛仍停留在舊版本,掃描工具就會列出該外掛的最新版本號,以及該網站目前正在使用過時的版本,雖然有些外掛可能不一定要立即更新,但如果有已知的安全性問題就會列在下方,這些外掛必須要儘快更新到安全版本,否則對網站來說也是一個危害。

值得一試的三個理由:

  1. 免費 WordPress 掃描工具,檢測網站是否有潛藏安全問題
  2. 可檢測 WordPress 版本、外掛數量、控制台和是否有被加入黑名單
  3. 針對已知的核心、佈景主題或外掛特定版本提供弱點警告