在上一篇文章中分享了從登陸就開始保護自家網站的外掛後,這篇要來分享的就從內部進行網站保護的外掛們。若是增加登陸的安全驗證是預防木馬屠城記中的木馬,那麼內部保護則就是要避免自家網站內部出現內奸,正所謂防得了外人防不了內賊,外部保護都做了那麼辛苦了,怎麼能在內部這緊要關頭功虧一簣呢。
通常外部入侵算是比較單純好抓,然內部一但出問題就會是一部部的檢測到底是哪個環節有問題,為此這篇就是透過偵錯、監控、掃描等管理方式,來確保網站不會從內部出事。不過內部最常出問題的就是下載來源不明的外掛,或者是購買超乎尋常便宜的付費外掛,這些外掛中有惡意程式碼,導致了網站出問題,只要避開這個大坑,加上平日謹慎管理,在不遇到惡意攻擊前提下,網路通常都能保持無病無災的安穩狀態。
這邊同樣在感謝 Alex Lion 幫忙協助多款外掛完成本地化,讓我們在使用外掛時有優秀的繁體中文介面可以使用,且 Alex Lion 在本地化外掛時,外掛的品質都會協助篩選,也會測試能不能達到預期目標,因此我在介紹外掛時會以本地化完成的優先介紹,其次才是非本地化的,當然這些都會在文章內註明的。
- 留後路的備份-Wpvivid、UpdraftPlus WordPress Backup Plugin 跟 All-in-One WP Migration
- 網站事件記錄-Error Log Monitor
- 查詢外掛衝突-Health Check & Troubleshooting
- 核心版本降級-WP Downgrade
- 外掛版本降級-WP Rollback
- 掃描網站漏洞- WPScan
- 建立外掛清單-Plugin Report 跟 Plugin List
- 電子信箱設定-Post SMTP Mailer 跟 WP Mail SMTP by WPForms
- 外掛管理外掛-WP Plugin Manager
- 刪除廢棄資料-Plugins Garbage Collector
- 小結-做好網站內部管理,讓網站更安全
留後路的備份-Wpvivid、UpdraftPlus WordPress Backup Plugin 跟 All-in-One WP Migration
備份這件事情,我向來是交付給主機處理。一開始是不知道有備份外掛可以幫忙,雖然後來知道了,不過跟小聚的工程師前輩聊過這類型的話題,那時的結論就是主機能處理就不用在後台備份處理,不用額外增加自家後台負擔。也因為如此,雖然後來知道備份外掛也還是沒起過想用的念頭。
開始使用備份外掛,主要還等到網站要搬遷主機時,那次搬家有一大一小兩個網站,後續還有換過網址,就把三個外掛都試過一輪,當中最推薦的就屬 WPvivid,它不管在下載還是上傳在免費版本沒有大小限制,若是遇到網址更換,免費版也能提供幫助。簡單說就是它融合 UpdraftPlus WordPress Backup Plugin 跟 All-in-One WP Migration 各自免費版的優點於一身,非常好用的說。
雖然 WPvivivd 很好用,唯一可惜的就是它並沒有本地化,也就是它還是英文介面,若希望介面為中文,那麼 UpdraftPlus WordPress Backup Plugin 跟 All-in-One WP Migration 會是比較好的選擇,兩這都完成了本地化,都有繁體中文介面,同時這兩者也是台灣使用者中最多人使用的。
若是自家網站容量比較大,建議使用 Backup Plugin,他們家免費版本沒有檔案大小限制,只要在同一個網址內的話;若是會需要在不同網址內切換還原,那麼會建議使用 All-in-One WP Migration,他們家免費板可以在不同網址傳輸還原備份,只是免費版在上傳時有檔案大小限制。大家可以依照需求擇一使用。
網站事件記錄-Error Log Monitor
Error Log Monitor 的主要功用就是將網站內事件留下記錄。留下記錄的目的在於,當網站發生問題時,透過記錄來回朔曾經做過哪些設定,過去這些動作中哪些是有可能是讓網站掛點的元凶,減少摸索跟努力思考自己幹過甚麼蠢事的時間。
同時若需要請求他人協助,有份記錄清單在,他人要協助也能減省溝通時間,畢竟在網路的世界中,沒有事情是憑空發生的,每個 Bug 的產生一定有原因,透過 Error Log Monitor 監控記錄,來讓盡快抓出問題所在。
相關介紹文章
查詢外掛衝突-Health Check & Troubleshooting
網路掛點最常見的就是外掛衝突,因此在檢測問題時都會來檢查外掛,這時難免會開開關關關外掛,雖說是必要程序,只是這樣一來多少會影響到前台狀態,也會對於訪客造成影響,進而讓訪客有使用體驗不佳的感受。而 Health Check & Troubleshooting 則可以避免這種狀況,它能在不影響前台狀況下,進行外掛的檢測,直到找出問題的問題點在哪。
除此之外,在網站資訊與工具欄位中,我們都可以一目了然外掛的狀態,同時還會給出相關性建議,對於外掛管理非常有幫助。尤其是每次 WordPress 版本升級時一定會出現的大量外掛升級潮,有 Health Check & Troubleshooting 在旁把關協助,就能讓升級不用戰戰兢兢。
相關介紹文章
- [外掛]Health Check & Troubleshooting 快速查看WordPress外掛衝突與主機資源
- 如何使用Health Check & Troubleshooting找出衝突的主題外掛?
核心版本降級-WP Downgrade
當自家網站問題來 WordPress 核心版本時,最簡單的方式就是直接將版本降級來做確認,待問題解決後再升級。只是要降核心版本時,通常會到 FTP 之中來處理,不過應該就會有不少新手朋友,看到 FTP 就頭皮發麻,下意識覺得很難,不過不用擔心,除了在 FTP 中來調控核心版本外 ,還有有個更簡單的解決方案,那就是使用 WP Downgrade 來把核心版本進行調動。
操作上也十分簡單,只要輸入想要會恢復的版本數字後按下確認,就能到 「控制台」 內的 「更新」 找到相對應版本的重新安裝,WP Downgrade 讓原先比較複雜的手續變得簡單,能暫時先快速排除問題,先把網站恢復正常,再來研究到底是哪邊出錯,若是更大範圍的問題,那也能先暫待在舊版本中,等候版本更新。
問題解決之後,要恢復到最新版本也很容易,跟降級同樣的步驟,只是輸入的數字換成最新的即可。
相關文章介紹
外掛版本降級-WP Rollback
有時候會遇到升級後的外掛會跟其他外掛衝突,或者是升級之後某些效果消失了等等之類的 Bug,我自己就曾經遇到 Rank Math 升到最版本後,網站就掛掉了,也有遇到 Qubely 升級後頁面的排版跑掉之類的。由於這些問題主要源自外掛本身,必須等待開發團隊的處理,這通常也非一時半刻就能解決掉,等待期間就是先將該外掛版本降級來度過。
一般來說若是要將外掛版本降級,就是先去該外掛官網下載特定版本的檔案,再將該外掛刪除,然後再手動上傳指定版本外掛,這樣子就完成了外掛版本的降級。只是要這樣做有一個前提,你要能找到想要版本的下載途徑,若是外掛有官網,通常是沒問題,怕就是怕是該外掛沒有官網,那網路架設不熟悉的朋友就會很難找到特定版本的外掛檔案了。
而 WP Rollback 就能直接解決這問題,直接在後台就能選擇想要恢復的版本,不用特別再去下載,且 WP Rollback 的檔案來源都是來自 WordPress.org 目錄中的封存檔案,只要開發者沒有刪除,那麼都會出現在選項中,來源跟選項都是安全安心且可靠。若有需要將外掛調整到特定版本的朋友,WP Rollback 能幫你省下不少時間跟手續。
相關文章
掃描網站漏洞- WPScan
WPScan 是一位專職資安的前輩建議我安裝的,主要用於網站全體的掃描,檢測範圍從帳號、外掛、佈景主題等包含在內,若發現網站漏洞會發電子信件通知。
雖然掃描網站的外掛有不少,不過大多是包含在防火牆外掛之中,單純只做網站漏洞掃描的卻不多,這讓我不用為了掃描功能而得安裝一套重覆性頗多的防火牆外掛。我安裝外掛的習慣是缺什麼就安裝什麼,功能盡量錯開不重覆,以降低對網站的負擔,所以 WPScan 對我而言就很切中需求。
相關討論文章
- Automattic 收購 WPScan,未來可能會被納入 Jetpack
- WP Security Scan – 掃描你的WordPress有沒有漏洞
建立外掛清單-Plugin Report 跟 Plugin List
外掛清單的建立對於自學自架的新手非常重要。因為是自學自架,所以難免有可能遇到外掛衝突的可能,這時候上網求救時,若是能將提供使用的外掛清單,就能讓好心幫忙的前輩們能夠第一時間排除一些問題,網站除錯本就是一件很複雜的工作,當中牽扯到很多可能,若能提供越詳細資料,就越能得到即時且有效的建議與幫助。
因此外掛清單的外掛安裝,建議剛入門的新手們可以先安裝使用,等自家網站穩定下來後,就能視情況斟酌是否刪除掉,這款有點階段性任務的性質,不用長期一直裝著;不過若是經常更改網站的話,就還是裝著比較安全些。
相關討論
電子信箱設定-Post SMTP Mailer 跟 WP Mail SMTP by WPForms
在 〈WordPress 的基礎篇 (上) 〉一文中有講到關於電子信箱的設置重要性,由於有些朋友架設網站並沒有電商的需求,然讓 WordPress 順利寄信這件事情,對網站網站人員來講非常重要的事情,特別是在網站掛點瞬間寄送出的重要救援通知信件。通常裡面都有特殊連結,讓你可以進入已經陣亡的網站後台中進行搶救,因此寄信功能的重要性在於通知網站管理人員網站狀況。
若是使用共享主機,這部分問題可能還不明顯,共享主機在大部分的情況下都是可以收到通知信件的;但若是用虛擬專用主機、雲端主機之類的,就有可能會收不到網站寄來的信件,因此不要想說沒有電商的需求,也不打算寄發電子報,收不到信件也沒差,讓自家信箱收得到網站狀態的通知信件,是非常重要的事情。
外掛管理外掛-WP Plugin Manager
WP Plugin Manager 最大特別之處,就是它是管理外掛的外掛,雖然聽起來有點繞口,然這就是它的主要功能,它能讓外掛功能選擇性在某些頁面狀態選擇是要啟用或是關閉。外掛啟用後,是網站全面都能受到影響,不過有些狀態下,部分外掛我們只在單一或少數頁面有需要而已,若全站啟用對網站來講也是一種負擔,因此這時就能透過 WP Plugin Manager 協助我們關閉用不到的頁面,藉此降低對網站的負荷。
一般來說要讓外掛在特定頁面發會效能,這功效也是能透過撰寫程式達成,然撰寫程式對一般人而言還是有難度,WP Plugin Manager 則能將這門勘大幅降低。在不增加網站負擔下,還能使外掛運用更加彈性靈活。我自己就把 Contact Form 7 的功能在除了有設置的頁面外,其他全都關閉,這步驟之前有前輩分享程式碼來達成,然現在只要動動手指就完成,實在是非常貼心到不行的實用外掛。
如果你有好幾款只為單一或特定少數頁面服務的外掛,那麼 WP Plugin Manager 絕對是你的最佳夥伴。
刪除廢棄資料-Plugins Garbage Collector
網站使用久了,難免會堆積一些資料,理論上我們都會把用不到的刪除掉,但有時只是表面消失,不代表真的完全刪除乾淨。我自己就有遇過我以為已經刪除掉的外掛資料,在安裝 Plugins Garbage Collector 後就讓前輩抓出一堆我都快遺忘的外掛,而這些外掛都還在我的後台之中,當下都傻住了,所以我以為的刪除跟真實上的刪除完全是兩回事。
因此推薦可以安裝 Plugins Garbage Collector 來不定期幫後台大掃除,不過大掃除久久一次,平日沒用到可以選擇將外掛關閉,等到需要時再開啟使用,這樣比較能降低主機耗能。若是不嫌重新下載麻煩,也可以選擇掃除完後就刪除,等有需要再度下載來用也是可以的。
小結-做好網站內部管理,讓網站更安全
比起外部攻擊,網站內部管理才是最多可能性的,一旦發生問題就會很麻煩,若能一開始就做好源頭管理,把問題發生率降到最低,就能讓網站持續運轉。為此這篇才會介紹很多看起來有點冷門的外掛,然它們卻是網站穩定的基石,只是這類型外掛在流量上不太吃香,也因如此相關文章也就不多,實在有些可惜。
希望透過這篇文章的簡單介紹,讓大家知道原來有這些內部管理的工具外掛,讓大家在遇到網站內部問題時,能夠手動解決,若無法解決需要對外求援時,有哪些工具外掛可以讓其他人更快速了解當下狀態,降低彼此溝通的成本,只是能提供足夠資訊,有時候有些資深前輩一看就知道問題在哪了。
雖然我將這些安全管理的外掛分為內外部,然這算是有點粗糙的分法,網站安全是內外一體缺一不可,少了其中一方的通盤思考都會讓資安程度下降,但也不是所謂外掛裝上去後就萬無一失,還是得依照需求周延的去思考可能的漏洞,然後將其補上,沒有完美的安全管理,只有不斷精進的滾動式調整,才能夠應對現在五花八門層出不窮的安全漏洞。
不過最重要的安全管理,就是不要安裝來源不明的檔案,只要做到這點,很大程度就確保了自家網站的安穩,至於其他的問題就是機率問題,真得遇到棘手問題,也能比較心甘情願掏錢找專家來消災了。
相關系列文章
- 15 個關於 WordPress 的基礎概念 (下) | 外掛、SEO 到網址
- 5 種 09 款從登錄就開始保護網站安全 | WordPress 推薦外掛分享清單 01
- 8 種 14 款讓增加訪客體驗好感的外掛 | WordPress 推薦外掛分享清單 03
- 9 種 10 款媒體庫與圖片的管理跟使用 | WordPress 推薦外掛分享清單 04
- 8 款 10 款流量, SEO、流量、社群、廣告外掛清單 | WordPress 推薦外掛分享清單 05
