WordPress不安全容易被駭嗎?

在討論WordPress安全與否以前,想分享一下最近二刷了德魯納酒店,一個結合穿越、愛情與鬼神傳說的優質戲劇,社長張滿月在歷史的長河中被憎恨折磨,卻只因為當年的自己沒有看清楚,也不知道事情的真相,才會被鎖在月靈樹數千年。

我們面對人生中的很多事情,不也是如此嗎?可能因為一次的感情失敗,就認為世界上沒有好男人,喝了一瓶不對味的久,就對該種酒類抱持成見,古有一朝被蛇咬,十年怕草繩的傳說,告訴我們往往因為錯誤的成見,讓我們對世界上許多事情擁有了錯誤的認知!

WordPress不安全?

這個討論議題行之有年,最大的論述在於「開源」,不過開源是否影響安全這要看事情如何看!

有一方的論述是,因為開源,所以大家都能看見程式碼,所以很容易被攻擊,所以要選用「封閉」的程式碼。事實真的是「封閉」就是安全嗎?先不說網站,以作業系統來說,微軟屬於封閉的基底程式,蘋果則是建立在相對開放的系統下,經歷史的驗證,究竟誰容易中毒呢?

另一方的論述是,開源意味你有許多工程師!這樣的論述其實也沒有錯!WordPress以開源的姿態進入市場,想要讓網路的世界更加美好,讓更多人能夠以更輕鬆的方式擁有自己的網站,分享自己的內容,讓網路世界的資訊更加豐富。

全世界有這樣一大群人共同維護這樣的市場,經過幾年的發展,WordPress已經成為許多人經營商業行為的工具,在維持開源的同時,發展出了獨特的生態系,成為目前世界上最成功的開源工具打造出營利生態系的案例。

於是全世界有許多人為此開發了套件,也有一大群人共同守護這個社群,守護這個套件的安全性,於是當我們利用WordPress架網站,等於同時擁有了來自世界各地的工程師,為你守護網站安全!

那麼,WordPress究竟是安全還是危險的呢?

維護很重要

要讓WordPress安全,維護就很重要,這也是許多WordPress架站服務,往往把主機跟網站維護、代管放在一起的原因,有很多人說,都用WordPress了,或是網站都做好了,為什麼還要收我一筆維護費用?

WordPress跟外掛每幾天就一個更新,這都是世界各地工程師或是服務開發者為了效能、安全性等,與時俱進的提供更新,安全性的更新就是因為世界上某一個WordPress網站發現有安全性漏洞,於是才推出更新,讓大家或是客戶用戶都能不被這個漏洞侵害。

於是,別人都把維護好的東西放到你面前了,還不更新嗎?那麼難道更新就是按按鈕,就沒事了?那可不一定!

其實很多網站維護的費用,都像是買保險一樣,在正常的狀況下,更新可能沒有什麼問題,按按鈕等更新跑完就結束了!但是某些時候,更新可能會造成相容性的問題,也可能造成網站壞掉、前端設計跑版等等,這時候工程師就必須查看問題,即時的因應解決。

但是很多人可能不知道這些問題,也可能聽到某工程師說,更新可能有問題,不要更新,所以解約之後,由於沒有維護的人員,用戶自己也不敢貿然更新,也或者根本沒有下放權限,客戶根本不知道那些外掛要更新,或是根本無法更新,就造成網站暴露在風險之中。

因此,維護是WordPress網站很重要的經營工作之一,讓所有的外掛跟主程式都保持在最新的狀態,就能讓網站保持在一個相對安全的狀況下。

其實就算不是用WordPress架設的,純程式碼也是一樣,只是純程式碼的網站就更需要仰賴架站的工程師了,因為整體的設計架構,只有架站的工程師或是公司知道,維護、安全性等事情,就真的只能仰賴工程師了!

站長必知資安概念

那麼更新維護做好,就安全無虞了?那可不一定!現在越來越多人注意到了網站的資安問題,於是也會加強許多東西,例如隱藏後台、安裝安全性防火牆外掛等等,這些都能為安全性達到一些加強的作用,但真的安全嗎?

其實所有的站長都必須要有一個認知,只要放上網站的東西就沒有安全的!

曾經聽過一個客戶案例,糾結在安全性這塊很久很久,從質疑主機到質疑主程式,質疑所有的外掛,就因為曾經自己的WordPress被綁架過。讓後來協助架站的工程師不勝其擾。

其實不管是不是WordPress,當網站的資料以網站的形式呈現,那麼就不是絕對的安全,只要有心有技術,幾乎沒有不能被破解被駭客入侵的網站。差別就是南難易度,跟防堵漏洞的反應時間差異而已。

就跟我們作業系統一樣,我們安裝了一堆防毒,就能保障電腦的資料沒有風險?如果我們不管安全性,任意安裝執行有問題的程式,那就等於是請君入甕,自己把木馬引進城內屠自己的城。

於是,站長能做到的,除了更新、安裝安全性防火牆外掛,找一個能夠防堵攻擊的主機服務之外,就是不要亂安裝外掛,之後也不能保證完全不會被攻擊被綁架,所以我們要做的就是,事情發生之後我們該如何補救?

當我們的網站出問題,就跟電腦一樣,重灌是最快的方式,有時候駭客只需要在檔案插入幾行程式碼就能綁架,於是我們必須重灌,把資料全部清空重新回復,變成完全乾淨的資料,然後改密碼同時檢測是哪裡出現問題。

那麼這些資料哪裡來?備份!備份資料不是因為怕自己搞壞,是在維護過程或是當遭受到攻擊時,讓我們有資料可以重灌。現在也有許多備份軟體支援異地備份,就是把網站的資料備份到網站以外的地方,這樣就算無法存取網站資料了,也能夠利用外部資料回復網站內容。

總而言之,網站的安全性其實跟是否使用WordPress沒有太過於直接的關係,通常都是工程師或是使用者自己,把自己的網站推向了危險的懸崖邊而不自知,其實只要保有一定的資安概念,時時刻刻做好備份,那麼網站被攻擊就不是那麼可怕的事情了!