WordPress架站到底安不安全？網站設計公司沒告訴你的秘密

在討論WordPress安全與否以前，想分享一下最近二刷了德魯納酒店，一個結合穿越、愛情與鬼神傳說的優質戲劇，社長張滿月在歷史的長河中被憎恨折磨，卻只因為當年的自己沒有看清楚，也不知道事情的真相，才會被鎖在月靈樹數千年。

我們面對人生中的很多事情，不也是如此嗎？可能因為一次的感情失敗，就認為世界上沒有好男人，喝了一瓶不對味的久，就對該種酒類抱持成見，古有一朝被蛇咬，十年怕草繩的傳說，告訴我們往往因為錯誤的成見，讓我們對世界上許多事情擁有了錯誤的認知！

WordPress不安全？對也不對！

這個討論議題行之有年，最大的論述在於「開源」，不過開源是否影響安全這要看事情如何看！

有一方的論述是，因為開源，所以大家都能看見程式碼，所以很容易被攻擊，所以要選用「封閉」的程式碼。事實真的是「封閉」就是安全嗎？先不說網站，以作業系統來說，微軟屬於封閉的基底程式，蘋果則是建立在相對開放的系統下，經歷史的驗證，究竟誰容易中毒呢？

另一方的論述是，開源意味你有許多工程師！這樣的論述其實也沒有錯！WordPress以開源的姿態進入市場，想要讓網路的世界更加美好，讓更多人能夠以更輕鬆的方式擁有自己的網站，分享自己的內容，讓網路世界的資訊更加豐富。

全世界有這樣一大群人共同維護這樣的市場，經過幾年的發展，WordPress已經成為許多人經營商業行為的工具，在維持開源的同時，發展出了獨特的生態系，成為目前世界上最成功的開源工具打造出營利生態系的案例。

於是全世界有許多人為此開發了套件，也有一大群人共同守護這個社群，守護這個套件的安全性，於是當我們利用WordPress架網站，等於同時擁有了來自世界各地的工程師，為你守護網站安全！

那麼，WordPress究竟是安全還是危險的呢？

WordPress資安：維護很重要

要讓WordPress安全，維護就很重要，這也是許多WordPress架站服務，往往把主機跟網站維護、代管放在一起的原因，有很多人說，都用WordPress了，或是網站都做好了，為什麼還要收我一筆維護費用？

WordPress跟外掛每幾天就一個更新，這都是世界各地工程師或是服務開發者為了效能、安全性等，與時俱進的提供更新，安全性的更新就是因為世界上某一個WordPress網站發現有安全性漏洞，於是才推出更新，讓大家或是客戶用戶都能不被這個漏洞侵害。

於是，別人都把維護好的東西放到你面前了，還不更新嗎？那麼難道更新就是按按鈕，就沒事了？那可不一定！

更新不是按按鈕就好

其實很多網站維護的費用，都像是買保險一樣，在正常的狀況下，更新可能沒有什麼問題，按按鈕等更新跑完就結束了！但是某些時候，更新可能會造成相容性的問題，也可能造成網站壞掉、前端設計跑版等等，這時候工程師就必須查看問題，即時的因應解決。

但是很多人可能不知道這些問題，也可能聽到某工程師說，更新可能有問題，不要更新，所以解約之後，由於沒有維護的人員，用戶自己也不敢貿然更新，也或者根本沒有下放權限，客戶根本不知道那些外掛要更新，或是根本無法更新，就造成網站暴露在風險之中。

因此，維護是WordPress網站很重要的經營工作之一，讓所有的外掛跟主程式都保持在最新的狀態，就能讓網站保持在一個相對安全的狀況下。

其實就算不是用WordPress架設的，純程式碼也是一樣，只是純程式碼的網站就更需要仰賴架站的工程師了，因為整體的設計架構，只有架站的工程師或是公司知道，維護、安全性等事情，就真的只能仰賴工程師了！

站長必知資安概念 網站沒有絕對的安全

那麼更新維護做好，就安全無虞了？那可不一定！現在越來越多人注意到了網站的資安問題，於是也會加強許多東西，例如隱藏後台、安裝安全性防火牆外掛等等，這些都能為安全性達到一些加強的作用，但真的安全嗎？

其實所有的站長都必須要有一個認知，只要放上網站的東西就沒有安全的！

曾經聽過一個客戶案例，糾結在安全性這塊很久很久，從質疑主機到質疑主程式，質疑所有的外掛，就因為曾經自己的WordPress被綁架過。讓後來協助架站的工程師不勝其擾。

沒有不能被破解被駭客入侵的網站

其實不管是不是WordPress，當網站的資料以網站的形式呈現，那麼就不是絕對的安全，只要有心有技術，幾乎沒有不能被破解被駭客入侵的網站。差別就是南難易度，跟防堵漏洞的反應時間差異而已。

就跟我們作業系統一樣，我們安裝了一堆防毒，就能保障電腦的資料沒有風險？如果我們不管安全性，任意安裝執行有問題的程式，那就等於是請君入甕，自己把木馬引進城內屠自己的城。

於是，站長能做到的，除了更新、安裝安全性防火牆外掛，找一個能夠防堵攻擊的主機服務之外，就是不要亂安裝外掛，之後也不能保證完全不會被攻擊被綁架，所以我們要做的就是，事情發生之後我們該如何補救？

網站中毒了怎麼辦？

當我們的網站出問題，就跟電腦一樣，重灌是最快的方式，有時候駭客只需要在檔案插入幾行程式碼就能綁架，於是我們必須重灌，把資料全部清空重新回復，變成完全乾淨的資料，然後改密碼同時檢測是哪裡出現問題。

那麼這些資料哪裡來？備份！

備份資料不是因為怕自己搞壞，是在維護過程或是當遭受到攻擊時，讓我們有資料可以重灌。現在也有許多備份軟體支援異地備份，就是把網站的資料備份到網站以外的地方，這樣就算無法存取網站資料了，也能夠利用外部資料回復網站內容。

總而言之，網站的安全性其實跟是否使用WordPress沒有太過於直接的關係，通常都是工程師或是使用者自己，把自己的網站推向了危險的懸崖邊而不自知，其實只要保有一定的資安概念，時時刻刻做好備份，那麼網站被攻擊就不是那麼可怕的事情了！