如何檢測可能給網站帶來風險的廢棄WordPress外掛

每每收拾房屋，您總會發現一大堆不需要或者被你遺棄的各種各樣的小東西。

這就是被遺棄的 WordPress 外掛的遭遇。

我們安裝它們是有原因的，但隨著時間的推移，它們被遺忘了。如果不加以控制，被遺棄的外掛就會成為安全隱患，使您的網站面臨潛在威脅。

讓我們來發現並刪除它們。

什麼是廢棄外掛？

哦，對了，首先，我們還是需要了解一下廢棄外掛到底是什麼 。

廢棄外掛是指其開發者不再維護或更新的 WordPress 外掛 。如果一個外掛超過兩年沒有更新，WordPress 就會將其視為廢棄外掛 。

這類外掛可能與最新的 WordPress 版本不相容，從而導致潛在的安全漏洞和功能問題。

為什麼廢棄外掛是個大問題

被遺棄的外掛就像 WordPress 網站的定時炸彈。2023 年，97% 的 WordPress 新漏洞源自外掛，而 WordPress 核心本身僅佔 0.2%。這意味著影響 WordPress 網站的幾乎所有安全問題都來自外掛和主題，而不是核心軟體。

SolidWP 的 WordPress 漏洞報告每日更新任何新的 WordPress 生態系統漏洞。您幾乎總能看到針對外掛的新漏洞，但很少看到針對 WordPress 核心的新漏洞。

這就是成千上萬的企業主所面臨的問題：

• 網站停機期間的收入損失。
• 客戶資料受損。
• 聲譽受損，失去信任。
• 谷歌將其網站列入“潛在危害”黑名單。
• 花費數小時（或數天）收拾殘局。

當開發人員放棄他們的外掛時，他們就會停止修補安全漏洞–為駭客創造完美的入口。

想想吧：

• 沒有安全更新 = 將您的網站暴露在已知漏洞之下。
• 不進行 WordPress 新版本的相容性測試 = 功能被破壞。
• 沒有漏洞修復 = 可能危及網站的意外行為。

現在，Wordfence 的 WAF 在 2023 年上半年就阻止了來自約 14,000 個 IP 的 300 萬次針對外掛漏洞的攻擊。

但假設你很幸運，你所擁有的被遺棄的外掛完全可以安全使用。

我們仍然需要處理效能問題。

每一次 WordPress 的更新都會提高速度，減少系統中的冗餘，在增加更多功能的同時讓整個網站感覺更加迅捷。

但如果被遺棄的外掛導致網站癱瘓，這些速度上的改進可能永遠不會被注意到，人們很容易認為 WordPress 是罪魁禍首（儘管它從來都不是）。

此外，外掛還很有可能與 WordPress 的新版本發生衝突，導致網站崩潰。

不幸的是，當被遺棄的外掛出現這種情況時，你就只能靠自己了。沒有開發人員回答問題，沒有社羣支援，沒有文件更新。在所有易受攻擊的外掛中，有 15.7%因為被遺棄而從 WordPress 外掛庫中完全刪除。

這使得網站所有者在不知情的情況下執行著過時、未打補丁的軟體，駭客可以利用這些軟體。

簡而言之 – 儘快遠離此類外掛。

如何識別被遺棄的外掛

現在是時候拿起你比喻的放大鏡，開始尋找線索，揭示在 WordPress 儀表板中積滿灰塵的外掛。

以下是一些有助於識別網站上是否有被遺棄外掛的方法。

1. 最後更新日期

最明顯的紅旗就隱藏在眾目睽睽之下。

在 WordPress 儀表板中，轉到外掛>已安裝外掛 。

然後單擊“檢視詳情”開啟外掛詳情，您將看到“最後更新”日期。

UpdraftPlus 是一款廣受歡迎的外掛，更新頻率很高。截至本文撰寫之時，該外掛兩週前剛剛更新過，由於開發工作還在進行中，因此保留它是安全的。

但您的網站上可能仍有一個較舊的外掛，就像下面這個九年前更新的外掛：

任何超過一年未更新的外掛都值得您關注，而那些兩年未更新的外掛則屬於 WordPress 官方的“廢棄”類別，應儘快從您的網站上刪除。

如果有些頁面仍在使用該外掛的功能（也許它是一箇舊的表單外掛，而你仍有一些表單），請儘快用更新的外掛替換這些功能。

2. 在外掛搜尋中檢視更新日期

假設你正在尋找安裝下一個 WordPress 外掛。您還想在搜尋結果中檢視最後更新日期。

讓我們以上面的例子中同樣被遺棄的外掛為例。如果你進入外掛>安裝新外掛 並搜尋它，你會看到下面的介面：

請注意，它會在搜尋結果中顯示最後更新日期，這樣您就可以選擇是否安裝該外掛。

如果您不在 WordPress 儀表板上，而是在 WordPress 外掛目錄中查詢外掛，您可以點選任何外掛，檢視右側資訊面板上的版本和“最後更新”日期。

這應該能為您提供足夠的資訊來決定該外掛是否值得考慮。

3. 檢視支援工單

假設您看到一個最近更新的外掛，但只有幾個有效安裝。如何確定該外掛是否正在開發中？

支援票據可以讓您一目瞭然。

在 WordPress 外掛目錄頁面，進入您正在考慮的任何外掛，點選下載按鈕下方的支援連結。

在此頁面上，您將看到 WordPress 使用者提出的所有支援工單。

如果您發現開發人員積極回應和解決詢問，甚至應要求新增新功能，您就可以放心地試用該外掛。

但有時，您可能會發現幾個星期都沒有回覆查詢，而且外掛也沒有實際開發。這時候，最好遠離該外掛，尋找更活躍的外掛。

4. 關注儀表板的警告

WordPress 就像你團隊中那個聰明的技術人員，他能讓你的一切都處於受控狀態。

如果 WordPress 核心、外掛或主題過期，出現新的漏洞，或者可能存在衝突，它會向您傳送提示、通知和錯誤資訊，清楚地說明這一點。

您可以選擇忽略這些警告，繼續執行您計劃採取的操作，但我們建議您聽取這些警告。

5. 執行自動安全檢查

確保 WordPress 網站安全的方法有很多。最簡單的方法是隻安裝一個安全外掛，如 Wordfence、Patchstack、Sucuri 等，然後讓它來判斷某些東西對你的網站是否有利。

Source

這些外掛會跟蹤每一個安全漏洞、廢棄或過時的外掛以及任何 WordPress 核心問題。如果您的網站出現與這些問題相匹配的跡象，外掛會立即通知您。

它們還會執行自動後臺掃描，以檢測是否有惡意行為者試圖利用過時或廢棄的外掛對您的網站進行未經授權的訪問，或識別出已被感染的先前安全的外掛。

6. 人氣測試

最後，如果您不想擔心技術問題，那就交給群眾吧。最好的 WordPress 外掛也是擁有最多活躍安裝量的外掛。

在 WordPress 外掛目錄中搜尋外掛時，點選外掛資料下的高階檢視選項卡（即我們看到“最後更新”日期的部分）。

高階檢視會顯示所有使用者正在使用的外掛版本統計資訊，以及外掛的日下載量、周下載量和總安裝量。

如果外掛的活躍安裝量不斷減少（低於 1,000），下載量呈下降趨勢，或持續出現差評，那麼這些外掛可能即將被放棄，或者已經被放棄。

在大多數情況下，如果你堅持使用被很多人積極使用的頂級 WordPress 外掛，一般都不會有問題。這是因為開發人員和精通技術的使用者都會留意程式碼中的問題，並在問題出現時加以解決。

發現被遺棄的外掛？該怎麼做

您在 WordPress 網站上發現了被遺忘的聖誕樹外掛。現在該怎麼辦？

以下是您的分步救援計劃，可在不破壞網站的情況下安全地消除這些安全隱患。

Step 1：尋找替代品

在接觸任何東西之前，先找一個替代品。搜尋能提供與您放棄的外掛類似功能的活動外掛。

最好的替代品應具備

• 最近 3 個月內更新
• 與您的 WordPress 版本相容
• 較高的評分（4顆星以上）
• 響應迅速的開發者社羣
• 良好的文件

注：有時，完美的替代品根本不是外掛！許多曾經需要外掛才能實現的功能現在都內建於 WordPress 核心或主題中。

Step 2：建立完整備份

備份是網站的安全網。不要省略它！

建立 WordPress 網站的完整備份，包括檔案和資料庫。

您可以使用外掛或主機的備份工具，但請確保您知道如何在需要時從備份中恢復。

希望備份不是必需的，但如果出現問題，它將是救命稻草。

Step 3：在暫存環境中進行測試

對於業務關鍵型網站，在躍進之前先進行測試。如果有條件，將網站克隆到暫存環境中，先在那裡替換廢棄的外掛。

如果網站出現故障，您需要先在暫存環境中調查出錯的原因以及如何修復， 然後再 開始在即時網站上執行。

這個環境將成為新外掛的自由發揮空間，以便在特定設定下進行正確測試。

Step 4：仔細更換外掛

現在是重頭戲。下面是如何更換那些被遺棄的外掛。

1. 首先啟用新外掛，先不要停用舊外掛。
2. 配置新外掛，使其與舊外掛的設定相匹配。
3. 在兩個外掛都啟用的情況下，驗證功能是否符合預期。
4. 停用（但不要刪除）廢棄的外掛。
5. 徹底測試網站，確保沒有任何故障。

確定一切正常後，刪除舊的 WordPress 外掛。

Step 5：替換後檢查

更換後，對網站進行徹底檢查。檢查網站的前端和後端是否有任何問題。

查詢視覺故障、功能問題或錯誤資訊。特別注意依賴於被替換外掛的功能。

您是否應該保留被遺棄的外掛？

面對現實吧–有時你需要一個你的網站絕對依賴的廢棄外掛。

也許它能處理一種獨特的功能（如特定的結賬推薦系統） ，而其他外掛無法與之匹配，或者您已經圍繞它建立了自定義整合。

那麼，您可以（而且應該）保留它嗎？嗯……這很複雜。

保留一個被遺棄的外掛是有風險的。只有 在以下情況下，您才 應該考慮保留它

• 該外掛具有關鍵功能，沒有可行的替代品。
• 您的業務工作流程依賴於它提供的自定義功能。
• 外掛相對簡單，程式碼面積最小（您可以讓開發人員在 GitHub 上審查外掛程式碼）。
• 您已經在當前的 WordPress 版本上進行了全面測試，並且執行良好。

如果所有這些要素都符合要求，您可以考慮保留該外掛。但我們還是建議您在開發人員的幫助下找到維護程式碼的方法，或者儘快將其刪除。

必須採取的額外安全措施

如果你決定繼續使用那個被遺棄的外掛，你就需要在它周圍建造一個堡壘。

• 建立外掛專用防火牆：使用 Wordfence 或 Sucuri 等安全外掛建立自定義防火牆規則，專門針對被遺棄外掛中的潛在漏洞。這些規則是您抵禦針對已知漏洞攻擊的第一道防線。
• 實施定期程式碼審計：聘請一名開發人員定期檢查外掛的程式碼是否存在安全漏洞。是的，這需要花錢，但這比處理被駭客攻擊的網站及其後果要便宜得多。
• 設定強化監控：配置與外掛相關的任何異常活動警報。早期發現意味著小問題與導致整個網站癱瘓的全面安全漏洞之間的區別。
• 儘可能隔離：如果可行，在單獨的子域或環境中執行被遺棄的外掛，限制其訪問主網站的敏感資料和功能 – 將其視為隔離區。

控制外掛健康的積極步驟

老生常談，預防勝於治療。

下面介紹如何建立一個健康的外掛生態系統，以保證 WordPress 網站的安全和最佳效能。

安排定期外掛審計

將此視為網站的季度檢查。

在日曆上標註每三個月進行一次徹底的外掛審計。在這些稽覈中，評估每個外掛的近期更新歷史、相容性狀態以及您是否仍然需要它。

這種例行維護可在外掛出現問題之前就加以預防，並使網站保持精簡。

選擇有良好記錄的外掛

並非所有外掛都是一樣的。在為您的網站新增新工具時，請注意這些健康指標：

• 定期更新（至少每季度一次）
• 龐大、活躍的使用者群（10,000 個以上安裝使用者）
• 響應迅速的開發人員支援（檢視問題得到答覆的速度）
• 詳細的文件和清晰的開發路線圖

採用“少即是多”的理念

您的 WordPress 網站不是一個外掛收集展示臺。每個外掛都會增加程式碼、複雜性和潛在的安全問題。

問問自己：這個外掛能解決我現在遇到的實際問題嗎？

如果不能，它就不屬於你的網站。儘量減少實現目標所需的外掛數量。

設定自動更新通知

無需不斷檢查儀表板，即可隨時瞭解最新資訊。透過主機工具或管理外掛配置可用外掛更新的電子郵件提醒。

這些電子郵件提醒可幫助您跟蹤任何重要的安全補丁或相容性更新，即使您忙於經營業務也不例外。

考慮WordPress託管解決方案

有時，最好把事情交給專業人士處理，這樣你就可以專注於自己的業務。

專業的 WordPress 託管服務可以處理 WordPress 的大部分維護工作，包括安全監控和更新，還可以在出現故障時提供幫助。

小結

就像家裡那些被遺忘的小玩意一樣，被遺棄的外掛可能曾經為您提供過很好的服務，但它們的時代已經過去了。您不能拿這些被遺棄的外掛來威脅 WordPress 網站的安全和效能。

但是，並不是每個人都有時間或技術專長來監控外掛是否有被遺棄的跡象。

如果您是一位懶人站長，則可以選擇專業的 WordPress 託管伺服器幫您解決這個問題。它可以自動處理 WordPress 核心更新、安全補丁和網站備份，並提供每日自動備份、內建快取和全天候 WordPress 專業支援。

這意味著，您可以專注於建立內容和經營業務，而 WordPress 託管服務則可以讓您放心，因為您的網站得到了很好的維護。