原本只是想抓著年前的尾巴,隨手分享一下最近一個處理事項的記錄,後來又想到一些存在已久、見怪不怪的現象,就順便簡單合併寫寫好了。
維護、資安疑慮案例
年前維護一個,自 2021 年 12 月以來,Elementor 有資安疑慮的網站:
“1 vulnerability found.
這種一定要靠有系統的回報機制,不可能只靠人工手動來得知。
Elementor v3.2.5
Elementor < 3.4.8 – DOM Cross-Site-Scripting”
實際採行作法摘要
- 因可能影響前台視覺與載入體驗,故藉由另建一個完整測試站 (Staging) 的方式來進行;畢竟是 Elementor ,不是一般的外掛,而且是有流量也有做監測與維護的網站。
- 經測試發現直接更新到最新版本 3.5.2 時,會有捲動頁面後,頁面突然往上跳回去一下的問題。
- 降版本回安全疑慮報告建議的 3.4.8 後,即無頁面捲動問題,整體正常。
- 在正式網站環境裡,重複上述操作後,亦無頁面捲動問題,整體正常,安全疑慮也已解除。
有興趣可由此參考該資安疑慮:https://wpscan.com/……/fbed0daa-007d-4f91-8d87……
那,跟標題裡的「使用付費外掛建置網站」有啥關聯呢?
情境舉例
以這個有前手建置過,到最後呈現先保持正常運作,待時機適當再整個全新重建的網站案例來看,常見於一些 Elementor 網站建置案中,可能因為建置方有它的作風、市場取向、圖方便,也可能因為委託方要的很多、預算太少、常有需要改動的想法。
導致會用到不只 Elementor 、Elementor Pro ,還有一些算附屬 Elementor 生態圈在發展的付費外掛/佈景主題,但雙方在實際的成案內容與驗收,都沒有把這些年費項目與「後續怎麼辦」考量進來,包括後續更新的問題。
沒人買授權 + 沒人做網護 = 惡性循環
沒人付費也沒取得授權 -> 無法對付費外掛進行更新 -> 放很久 -> 積越久整體越複雜越高風險 -> 沒事就繼續放著不管好了 -> 炸彈養太大了、怕麻煩、怕花錢,算了 -> ∞
使用付費外掛建置網站對於日後維護的可能影響「之一」
所以,實際上,委託方/業主有真的理解到,付費外掛及其授權是有價有成本的、由自己或由廠商處理 (不論最終以什麼型式包裝) 嗎?還是最後其實兩邊都放生掉這件事…嗯,這很常見。
當然,懂得善用工具並且有把服務包裝規劃好的廠商不少,有意願追求好的規劃、不只是愛用不適宜標準在賭成本達標,或者本身沒亂比較的無辜業主,也很多。
我個人的觀念是:業主不懂是正常的,有做功課或有經驗而懂也是正常的。
話說回來,市場上這類狀況,總是必然的存在,所以才大幅提高這篇記錄分享文的實現機率。
如何自己維護 WordPress 網站?
通用、簡單一點來說,可以參考這篇文章:
如何做 WordPress 與外掛的維護、備份、更新 – 觀念與實作 WP 5.4 ~ 5.8 各版本皆適用 – Ke2B 刻刻網業
網站維護時機?
有錢沒錢、有閒沒閒,趕個維護好過年!
但如果不確定足夠了解、沒足夠把握,當然私下建議別在休假尤其年假前,以為要動的操作沒幾步沒風險沒處理機制的需要,就隨便去按了呀XD
新年快樂,世界和平
希望可以早日又能看到,不需要口罩遮敝的人們。
