WordPress 文件管理器 (File Manager) 外掛驚爆安全漏洞 – 問題與解決辦法

近日，WordPress 社群廣泛使用的文件管理器外掛驚爆安全漏洞 – “零時差漏洞”。實際上，在本月初有數百萬的 WordPress 網站成為網路資訊攻擊的受害者。

外掛程式：文件管理器

在今年九月初，WordPress 文件管理器外掛，版本 6.4 發現有安全漏洞，但該版本已經被廣泛使用。此外掛被作為類似 FTP 傳輸功能，用來將媒體內容上載到 WordPress 網站上。 該安全漏洞源於最初用於開發目的，該程式碼不小心被新增到軟體中。此漏洞可能導致未經驗證的使用者可以在網站上執行命令，從而取得完全控制權。我們今天寫下這篇指南就是為了要提供您一些相關的自我保護措施以及安全建議，讓您可以有效地保護並安心使用您的 WordPress 網站。

即時反應並迅速採取行動

面對這個潛在的威脅，我們提供下列幾個步驟：

• 檢查您是否有安裝文件管理器 (File Manager)

要確認您是否有安裝此外掛，請先到您的 WordPress 的管理介面，接著到左手邊選單中的 « 外掛 » 頁面裡。

• 如果您沒有安裝此外掛，您將不會受此安全漏洞的影響。

• 如果您有安裝此外掛，請立即將此外掛更新至最新版本。

最新的文件管理器 6.9 版已解決此安全漏洞。這些更新可以直接在 WordPress 的管理界面中的 “外掛” 選單中檢視。一旦安裝最新版本的外掛，您的 WordPress 將不再受到此安全漏洞的威脅。

然而，有鑑於 WordPress 網站的普及，以及多種可供您使用的外掛選擇，此類型的安全漏洞很普遍，甚至還有上升的趨勢。為預防這種情況的發生，我們邀請您參考下列的最佳作法，並針對您的網站建立定期性的安全檢查。

最佳作法

1/ 在選擇 WordPress 的外掛時要保持機警

WordPress 的一大優點就是它幾乎可以無限制的安裝外掛，但是這些外掛並非沒有風險。

• 請確認您所使用的外掛皆為最新版本，並諮詢發佈者的網站或其它專業網站去檢查這些外掛最近是否有安全漏洞的問題。

• 定期更新外掛。

• 不要在您的 WordPress 上安裝您不需要的外掛。因為這將不利於網站的安全性，因此可能會間接影響您的 SEO 排名。因此，請把不需要的外掛從您的網站上刪除。

2/ 在您的網頁代管主機 (Simple Hosting) 上啟用快照功能

快照功能可以使您主機中的檔案回復到先前狀態。當您的網站發生問題且必須回復到先前狀態時，這個功能將會有很大的幫助。
您可以登入至 Gandi 帳戶的管理介面中的 Simple Hosting 的頁面裡免費啟用這項功能（ https://www.gandi.net/zh-Hant/simple-hosting?pk_campaign=iThome_news ）。

閱讀更多快照功能的相關資訊：https://docs.gandi.net/zh-hant/simple_hosting/common_operations/snapshots.html?pk_campaign=iThome_news 。

提醒您，快照會被儲存在與您的網站相同的位置。 因此，它們不會取代真正的遠端備份和相關安全策略。

3/ 對整個 WordPress 虛擬主機進行定期備份

無論使用何種網頁代管方案，在遠端裝置上完整備份您的資料都是件相當重要的事。舉例來說，在工作裝置上備份網站是有好處的。為了更加有效，備份應該要包含兩種要素：

• 資料庫：

在 WordPress 中，有使用 MySQL 資料庫有關。您需要完整地匯出資料庫。可以從您的 PhpMyAdmin (為管理您的 Simple Hosting 的 MySQL 資料庫) 介面中執行。PhpMyAdmin 在 Simple Hosting 介面中的 « 管理頁面 » 裡。在預設情況下，匯出名為 “localhost.sql” 的文件，您可以將其儲存在您的電腦中。

為了讓您輕鬆無負擔，此導出可以設定為每天自動導出數據庫。

了解如何匯出 MySQL 資料庫：https://docs.gandi.net/zh-hant/simple_hosting/database_management/mysql.html?pk_campaign=iThome_news#id7 。

• 您網站中的檔案：

請記住，需定期透過 sFTP (例如 FileZilla) 從您的網站上複製資料。

了解如何透過 sFTP 連結至您的 Simple Hosting：https://docs.gandi.net/zh-hant/simple_hosting/connection/sftp.html?pk_campaign=iThome_news 。

4/ 隨時掌握您所使用之工具的安全訊息

為了能對安全性的相關問題做出即時處理，大多數的軟體發行者都設有專門的訊息管道。如果某些工具對於您的網站或客戶的網站來說變得不可或缺，那麼即時回報潛在問題是非常重要的。

您可以透過 WordPress 官網以了解相關訊息；或是追蹤我們的 Twitter（ https://twitter.com/gandi_asia?pk_campaign=iThome ）或是 Facebook（ https://www.facebook.com/gandiasia/?pk_campaign=iThome ）專頁，以隨時掌握最新訊息。

原文連結：https://news.gandi.net/zh-hant/2020/09/wordpress-file-manager-vulnerability-actions-and-advice/?pk_campaign=iThome_news