Category: 網頁開發及設計

The Plus Addons for Elementor 存在Critical zero-day漏洞: 能以管理員注冊及登陸

2021年3月8日，Wordfence威脅情報團隊意識到Elementor的The Plus Addons中存在”critical zero-day 零日漏洞或零時差漏洞”通常是指還沒有修補程式的安全漏洞。 該插件是一個高級付款插件，Wordfence估計有超過3萬個安裝量。3月8日早上，寄存公司Seravo向WPScan報告了這個漏洞。該漏洞使得攻擊者有可能在易受攻擊的網站上創建新的管理員賬戶，如果用戶註冊被啟用，同時以其他管理員身份登錄。 The Plus Addons for Elementor Lite，即同一開發商的免費版本，反而並沒有受到這個漏洞的影響。 Wordfence Premium客戶在2021年3月8日收到了一個規則，以防止主動利用這個漏洞。仍在使用免費版的Wordfence用戶將在2021年4月7日收到保護。 如果您正在使用The Plus Addons for Elementor插件，Wordfence強烈建議您完全停用並刪除該插件，直到該漏洞被修補。免費版本如能夠滿足您的需求，您可以暫時切換到該版本。如果您的網站功能依賴於此插件，我們建議完全刪除插件添加的任何註冊或登錄小工具，並禁用您網站上的註冊。在此發布之時，還沒有打過補丁的版本。 “The Plus Addons for Elementor “是一個插件，旨在添加幾個額外的小部件供Elementor使用。其中一個小部件增加了向Elementor頁面添加用戶登錄和註冊表格的功能。不幸的是，這個功能配置不當，允許攻擊者作為管理員註冊，或作為現有的管理員登錄。 需要注意的是，即使你沒有使用該插件創建的活動登錄或註冊頁面，這個漏洞仍然可以被利用。這意味著，任何運行該插件的網站都容易被入侵。 目前，由於這是一個被積極利用的漏洞，Wordfence發布的細節非常少。我們可能會在未來決定發布更多的細節，但與此同時，我們建議你採取適當的措施來保護你的網站。 漏洞的指標 目前，Wordfence掌握的洩密跡象非常有限。然而，Wordfence認為攻擊者正在根據該漏洞如何創建用戶賬戶的方式添加用戶名作為註冊的電子郵件地址，並在某些情況下安裝了標有wpstaff的惡意插件。我們強烈建議檢查您的網站是否有任何不認識的管理員或您沒有安裝的插件。 Wordfence及EBuildHost將在了解更多信息後更新本篇文章內容。 Wordfence 應對時間表 結論 在今天的帖子中，我們詳細介紹了The Plus Addons for Elementor尚未修補的安全漏洞，該插件可讓未經身份驗證的攻擊者提升其在易受攻擊的WordPress注冊管理員權限。這可以令您的WordPress網站被完全接管或破壞。截至今天早上，此漏洞當前仍未修復，因此，我們強烈建議您停用並刪除該插件，直到發布補丁為止。 當Wordfence有新一步進展我們亦會盡快更新部落格 原始資料：https://www.wordfence.com/blog/2021/03/critical-0-day-in-the-plus-addons-for-elementor-allows-site-takeover/

何謂「靜態網頁」「動態網頁」?

好多時候都會聽到有靜態網頁及動態網頁，到底是什麼來的？現在讓我們為你簡單解釋一下兩者的差別 靜態網頁 　　比較常見的靜態網頁一般都是建基於HTML(HyperText Markup Language), HTML是屬於開發網站的基礎技術，需要與CSS與Javascript(JS)配合成一個適合觀看的網頁，讓瀏覽器去讀取，網頁副檔名為html或htm皆為靜態網頁不需要與伺服器及數據庫共同運作的。效能方面靜態網頁遠比起動態網頁好，如只是需要做產品介紹、形象網站…等等EBuildHost都建議透過HTML、CSS、JS架構。靜態網頁的另一個優勢為容易為搜尋引擎所接受。所以亦有些人會將動態網頁轉變成靜態方式，就是所謂的【偽靜態網頁】來提高搜尋引擎的友善度達到排名優化的成效。　　靜態頁面的缺點是不能隨時更新，因此偽靜態頁面的主要作用就是讓搜尋引擎把自己的網頁當做靜態頁面來處理，有利於SEO，同時又能動態更新網站內容。 動態網頁 動態網頁是一個對所有動態生成與動態更新的網頁的統稱。與傳統的靜態網頁相反，它會因為變數的改變而產生不同的網頁。這既可能是伺服器端生成的網頁，也可能是使用者端生成的網頁，或是兩者的混合。　　比較常見的實現方式有PHP、CGI、ASP。在伺服器指令碼執行完畢後，生成的網頁是一個標準的HTML頁面。　　動態網頁是搭配伺服器與數據庫共同運作，主要是使用大量編譯的地方，例如有會員功能、購物車、討論區等等可以與網頁做互動網頁，動態網頁的內容隨著用戶的輸入和互動而有所不同。 靜態網頁和動態網頁主機該如何選擇？ 　　靜態網頁我們測試過用傳統硬碟伺服器(HDD)就已經足夠，因為靜態網頁不需要數據庫來處理編譯，HTML讀取後亦能夠做一些快取動作，無需要使用昂貴的固態硬碟伺服器(SSD)　　動態網頁由於需要做編譯及不斷讀寫數據庫來確保資料最新，一律建議使用固態硬碟伺服器(SSD)

WooCommerce vs Magento vs PrestaShop vs OpenCart 熱門eCommerce CMS大比較

隨著時代變遷好多店鋪都開始轉型為線上商店，但市場有大量不同的eCommerce CMS到底應該如何選擇好呢？ 今次我們來比較下WooCommerce、Magento、PrestaShop、OpenCart這四款比較熱門的自架eCommerce CMS。 WooCommerce 介紹 Magento 介紹 PrestaShop 介紹 OpenCart 介紹 對新手的友好程度 模板及設計 SEO 產品客制化 安全性 優點和缺點 結論 WooCommerce 介紹 WooCommerce是屬於WordPress的開源電子商務插件。對於渴望基於WordPress部落格或網站建立線上商店的店鋪而言，這是一個很好的工具。設置完成後，它可以讓您出售從虛擬產品，訂閱服務，等的各種商品。 Magento 介紹 Magento是流行的開源電子商務平台之一。這是因為它為開發線上商店提供了最高級別的控制和靈活性。它可以幫助您解決折扣，定期付款等問題。該平台還具有高度可擴展性，可幫助您立即習慣該平台。 PrestaShop 介紹 PrestaShop在此類開源電子商務平台中是一個相當新的平台。它算是比較易於使用，不需要全面的Web開發專業知識。其精美的界面使您可以有效地處理報告，產品管理，商店管理等。 OpenCart 介紹 OpenCart是一個輕量級的電子商務平台，可以輕鬆地根據您的業務需求進行設定。它可用於從一個管理面板管理無限的類別，產品，付款方式等。 對新手的友好程度 (1分最低 – 5分最高) WooCommerce : 👍👍👍👍👍 Magento : 👍👍👍PrestaShop : 👍👍👍👍👍OpenCart : 👍👍👍👍 WooCommerce – 可以稱讚它是一個高度友好的平台，因為它只是一個WordPress的插件。它亦具有簡單而直接的精靈，僅需五個步驟即可完成每個關鍵要素。 Magento – Magento1.0算是比較辛苦去熟用的工具，隨著2.0的發佈，該平台變得容易使用。為了最大限度地利用它，最好花一些時間來學習它的基礎知識，這使其比WooCommerce更加難使用。 PrestaShop – 由可定制的前台和十分容易使用的後台組成。這些功能使平台非常人性化。此外，它提供了數十個附加模塊來改善其內部功能。加上時尚的界面，可以快速訪問所有商店績效設置和信息。 OpenCart […]

黑客常用的WordPress漏洞

　我們上一篇文章 您絕對需要知道的加強WordPress網站安全性１１種方法 提供了１１種方法去加強您的WordPress網站安全性，今次我們來談討比較常見的WordPress漏洞及應對方案！ 1. SQL資料隱碼攻擊 (SQL injection) 通過將惡意代碼注入易受攻擊的SQL請求中來執行SQL資料隱碼攻擊。黑客透過在網站發送到數據庫的消息中添加特製的請求。 成功的攻擊將會修改數據庫的查詢，以便它將返回攻擊者所需的信息，而不是網站期望的信息。依情況將會返回管理員的帳戶及密碼給黑客。 SQL資料隱碼攻擊不僅是偷偷摸摸的，而且如果黑客設法將其註入您的站點也可能非常危險。通常，這些注入是通過您用於從站點訪問者收集信息的Web表單進行的。 如果您沒有對Web表單上的所有字段提交必要的約束，則黑客將能夠插入代碼，這些代碼反過來又使他們能夠入侵您的數據庫並竊取任何可用的機密信息。 為了保護您的網站免受這些攻擊，您要做的就是永久使用參數化查詢。您的網站將具有特定的參數，以防止黑客訪問您的數據並輸入其惡意代碼。 2. 跨網站指令碼 (Cross-site scripting) 跨網站指令碼（英語：Cross-site scripting，通常簡稱為：XSS）是一種網站應用程式的安全漏洞攻擊，是代碼注入的一種。它允許惡意使用者將程式碼注入到網頁上，其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端手稿語言。 XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript，但實際上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。攻擊成功後，攻擊者可能得到更高的權限（如執行一些操作）、私密網頁內容、對談和cookie等各種內容。 為防止XSS攻擊，請確保訪問者沒有特權（或機會）在您網站的任何位置插入JavaScript或腳本標籤。 3. 暴力破解 暴力破解是一種利用嘗試和錯誤嘗試進入網站，是最常見的黑客手段。黑客使用自動化軟件將大量請求發送到目標。對於每個請求，該軟件都會嘗試猜測獲得訪問權限所需的信息，例如密碼或PIN碼。這些工具將能夠使用不同的IP地址和位置來偽裝，從而使目標系統難以識別和阻止這些可疑活動。 如果並沒有任何會員系統的WordPress網站最理想的做法就是開啟 2FA (Two-factor Authentication) 功能。 但一產需要會員系統的網站怎麼辦，為免令用戶體驗降低可以參考： 每三個月至少更改一次密碼並且密碼使用隨機密碼產生器去隨機產生16位包含英文大小寫、數字及符號的密碼 (記得存放到安全的位置)密碼產生器可以使用EBuildHost的 隨機密碼產生器 結論： 以上３款是比較常見的漏洞及修補方法，除了上面的當然還有其他的漏洞，雖然WordPress開發團隊不斷更新及修補漏洞，但總會有一些漏網之魚的來不及修補，所以使用者都需要注意網路安全。 如果你喜歡這篇文章，請記得分享給你的好友，或是用電子郵件訂閱本網站，有新教學文章發佈時，我們會在第一時間通知你，也別忘了到我們的粉絲專頁幫我們點個讚。

您絕對需要知道的加強WordPress網站安全性１１種方法。

眾所周知，WordPress是各地黑客最喜歡的產品，因為即使您並沒有任何相關網站知識，你都能夠建立一個網站或部落格出來，如果您不想網站被黑客做壞壞的事情，立即參考以下的１1種方法重新設定您的WordPress網站吧！！ 1. 使用複雜安全性高的密碼 不要再用純英文，純數字的密碼！！最好是用隨機密碼產生器去產生一個密碼存放到安全的地方，如果不想用密碼產生器？那請按這個格式去建立密碼吧！*(８至１４位字元、包含大小寫英文、數字及符號)*如果想更加安全？可以使用我們EBuildHost的小工具 隨機密碼產生器 去隨機生成密碼吧 2. 更改WordPress的後台登陸URL 大部份的WordPress網站都使用預設的登陸網址從而大大增加網站被撞密碼的機會。馬上更改做自定義的URL吧！ 可以透過 Lockdown WP Admin 插件更改。 3. 減少使用常見的管理員帳戶及管理員權限 還在使用admin、root、user、cs、域名這樣的管理員帳戶?我們建議馬上到網站後台裹「帳號」立即新增一個新的「管理員」權限帳號，再把原本的管理員帳號刪掉。 以及請勿使用後台管理員做文章作者，因為只要作者鏈接被發現就能夠繞過網站後台直接登陸，輕則幫您刪刪文章，重則整個網站掛掉也是有可能的，建議將文章寫手獨立一個帳戶及權限調整做【作者】 4. 盡量保持WordPress、主題、插件都在最新版本 當然全部保持最新版本於安全性來看是最好的，但為什麼要說盡量？因為我們都知道更新了的話有可能插件A與插件B或主題產生相容性問題，養成一個習慣！做任何更新時先確定網站有備份再做任何改動吧！ 5. 不要用來歷不明的插件或主題 有時候您可能會看到有一些原本需要付款的主題或插件，現在於不明來歷的網站可以免費下載，這麼好的東西我要立即下載！！！！NO！千萬不要這樣做，因為你不知道你所下載的東西是否安全，盡量選擇公信力高的網站去下載或購買吧，絕對會相對安全很多。 6. 安裝reCaptcha插件 我們推薦這個 reCaptcha 插件，這個插件免費功能已經支援很廣能夠支援到： 注冊頁面 登陸 重設密碼 文章留言 聯絡表格 評價 自定義表格 亦能夠自行選擇用Google reCaptcha那一個版本，我們比較建議是使用v3。 7. 安裝安全防禦插件 我們建議使用 wordfence ，它的免費版功能已經很廣足夠保護好您的網站。 Wordfence包括專為保護WordPress而構建的端點防火牆和惡意軟件掃描程序。Wordfence的威脅防禦源使用最新的防火牆規則，惡意軟件簽名和惡意IP地址為已被登陸到Wordfence數目庫中及以確保您的網站安全可以通過2FA和一整套附加功能去保障您的網站，Wordfence算是最全面的WordPress安全解決方案。 8. 安裝限制登陸次數插件 為免被暴力攻擊請安裝一些能夠限制登陸錯誤次數的插件，我們推薦 Loginizer 這款”免費”插件是一款防止黑客暴力破解密碼的插件，它能夠在對方 IP 嘗試登陸錯誤一定的次數時限制該IP位置登陸，可以有效地改善被暴力破壞密碼的情況。 雖然Wordfence也有類似的功能，但專業版的Loginizer亦具有Wordfence沒有的功能： 禁用XML-RPC 重命名XML-RPC 防止Pingback […]

收到Composer detected issues in your platform該怎麼辦？

有時候我們的WordPress網站會突然有一天無法正常顯示網站只顯示出 主要原因就是因為您的WP或插件自動升級了而你的PHP版本不支援，那應該怎麼辦呢？ 其實好簡單就可以完成修復。 方案１：聯絡主機供應商協助升級PHP版本 這個方案是最簡單直接的，如果主機供應商無法協助就可以參考方案２ 方案２：登陸cPanel自行修改PHP版本 (只限供應商提供了cPanel的情況) 登陸了cPanel後於Software 進入MultiPHP Manager 進入後就會見呢這個畫面我們來講解一下1跟2吧1. 是系統為每個網站預設的PHP版本2. 是你的網站現時正在使用的PHP版本 至於如何去更改呢，只需要選擇您的域名(３)之後就去(４)的位置選擇您想要的PHP 版本 Apply之後就可以去再次檢查網站是否能夠正常開啟呢。 如果這兩個方案都無法解決您的問題，歡迎直接聯絡我們EBuildHost專員協助您 😉😉