WordPress 外掛爆出嚴重漏洞,採用架站系統安全嗎 ?

WordPress & WooCommerce 使用相關問題討論及交流
回覆文章
admin
系統管理員
文章: 274
註冊時間: 2018-01-05, 17:40

WordPress 外掛爆出嚴重漏洞,採用架站系統安全嗎 ?

文章 admin » 2019-03-22, 16:28

https://www.ithome.com.tw/news/129525
這是一個還蠻新的熱門外掛漏洞,如果你有中獎,請盡快更新版本。

在好幾天前,線上觀看了 WordPress 的一個網聚(或是推課大會),來賓是一個叫做安迪,號稱是 WordPress 的專家,要來分享使用 WordPress+WooCommerce 製作一頁式購物的案例,與其說分享,其實是在推銷自己的服務。

廠商推銷自己的服務或產品,並沒有問題,但使用不正確的資訊,欺騙誤導這些對網路資訊相對淺薄的入門商家門,我覺得非常的可惡。

這位來賓為了讓解除大家對 WordPress 架站系統的安全疑慮,舉例美國白官的網站,也是使用 WordPress 所架設,聲稱連美國白宮都選擇了 WordPress,所以大家可以很放心的選用 WordPress 來架設購物網站。

這樣的推銷話術,目地應該是要這些來聽課的人,別再質疑或詢問有關網站系統的安全問題,但是舉白宮也用 WordPress ,所以用 WordPress 架站很安全,這樣的說法並不精確,很容易讓初學者誤以為,只要是使用 WordPress 架設網站,就可以完全不用擔心任何網站安全方面的問題 .... 這並不是很正確。

因為你所架設出來的網站,跟白宮所架設出來的網站,兩者之間可能存在很多很多的差異,不應該直接拿來對比,由於我本人也沒有參與白宮網站的架設,我只能從我十幾年的軟體專案管理經驗的角度,來推測白宮的網站可能與您的網站有那裡的不同,而白宮的網站一定有一群更專業的技術人員在負責,做的事情一定比我所想的還多更多:

1. 會關閉網站用不到的功能或服務,以斷絕漏洞被使用的機會,舉例 XML-RPC 功能,這個 XML-RPC 功能曾經爆發嚴重的安全漏洞 (https://wordpress.blog.tw/disable-xml-rpc/),這只是其一,還有很多其實可以關閉的功能或服務,以降低風險,而你自行架設的 wordpress,您有基於安全考量而關閉了什麼嗎 ?

2. 安裝外掛前會盡可能的測試外掛是否安全,可能有掃描工具檢測是否含有可疑的 code,甚至以人工作業進行 code review 檢視外掛程式碼的內容,有疑慮就不使用,而你在安裝外掛時,有先做過什麼安檢措施嗎?

3. 主系統或外掛,在爆出漏洞時,會在第一時間進行必要措施,進行修補或乾脆移除外掛,而一般人知道自己的 wordpress 有爆出新的安全漏洞,通常是爆出漏洞的好幾週之後了 ...

4. 網站有額外的安全檢測機制,不只是一般的防火牆,甚至以白名單的方式建立可連線的 URL 或參數,只要不是白名單內的,一律 Block 掉,而你的網站,有額外設置什麼連線過濾的機制嗎?

5. 網站檔案比對機制,對更動後的網站檔案進行快照動作,以便可隨時比對網站檔案是否有被不明異動,並觸發通報,而你的網站,或許有安裝了一些加強安全性的外掛,不過通常是免費的外掛,有心要繞,還是可以繞過去的那種。

應該沒有哪一套架站系統是絕對安全的,尤其是外掛的部分,WordPress 也好,OpenCart 也好,都有可能因為你安裝了外掛而增加被入侵的風險,不要以為選了 WordPress 就能高枕無憂,隨時注意官方發佈的公告,適時的更新系統或外掛,不要留戀在你熟悉的舊版本(例如還在安裝 ECShop 或 OpenCart 2.x),才是正確的態度。
OpenCart 購物網站代管及維護 https://www.osec.tw
OpenCart 台灣技術支援 FB 粉絲頁 https://www.facebook.com/ntcart/

回覆文章