五月中旬 WordPress 漏洞修補清單,網站老闆先做這 5 項資安檢查
- 最後更新日期:
🚀 讀者專屬工具
立即開啟 →
在開始閱讀前,先用 AI 自動生成您的網站架構圖?
這幾天最危險的 WordPress 網站,往往不是流量最高的那一個,而是以為自己還沒出事的那一個。外掛一久沒定期更新、管理員帳號太多、備份不能還原,攻擊者就會先進門。
到了 2026 年 5 月中旬,WordPress 漏洞修補的風險重點很清楚,先看外掛,再看核心,接著查帳號、權限、主機環境。你不用先成為技術人員,因為這份清單就是給老闆負責網站安全性、站長和維護人員直接照做的。
關鍵要點
- 先備份再更新:確認備份能還原後,按順序更新 WordPress 核心、高風險外掛(如 ACF Extended、WPStatistics),再處理主題,避免白畫面或回頭工。
- 清查管理員與外掛:刪除陌生或不需要的管理員帳號,啟用 MFA;移除停用或 abandoned 外掛,這些是攻擊者常見入口。
- 收緊權限與開啟防護:檢查 uploads 目錄無 PHP 檔、PHP/MySQL 版本最新,並啟用 WAF、CDN、安全外掛,防暴力登入與自動化掃描。
- 監控日誌與立即反應:定期查異常登入、檔案變更、流量,若見後台多陌生管理員或 Google 惡意警告,馬上進入事件響應模式。
- 優先 P1 風險:從核心、外掛、帳號開始,搭配安全外掛掃描,定期維護讓網站進入堅固防禦狀態。
先看今天最該警戒的 WordPress 風險
近期公開的漏洞公告裡,最需要注意的不是單一事件,而是「可被自動化掃描放大」的那一類問題。像 ACF Extended 這類外掛曾出現高風險漏洞,甚至可讓未登入者建立管理員帳號;另一些常見外掛也曾被報告有 XSS 攻擊、SQL 注入等風險,這些高風險漏洞通常以 CVE 編號追蹤。WordPress 核心本身也不能放著不管,因為小版本修補常常就是在堵這些缺口,進行 WordPress 漏洞修補。
只要一個高風險外掛沒更新,前面做的防護就可能被繞過。
如果你想先照順序打勾,可以直接對照這份 加固檢查清單 2026,把登入、防火牆、權限和備份一起檢查。那份清單很適合拿來當內部維護表。你也可以用安全外掛來輔助辨識這些問題。
下面這張表,先幫你把風險優先級排好。
| 優先級 | 要檢查的項目 | 你先看什麼 | 有問題時怎麼做 |
|---|---|---|---|
| P1 | WordPress 核心 | 是否停在舊版 | 先備份,再升級到最新版 |
| P1 | 高風險外掛 | 是否有 ACF Extended、WPStatistics、WP Meta SEO、LiteSpeed Cache 等 | 先查官方修補版本,沒有就停用或替換 |
| P1 | 管理員帳號與 MFA | 是否有陌生管理員 | 刪除不需要的帳號,開啟多因素驗證 |
| P2 | 檔案權限 | uploads 底下有沒有 PHP 檔 | 收緊權限,掃描可疑檔案 |
| P2 | PHP / MySQL 版本 | 是否已過舊支援期 | 升級到主機商仍支援的版本 |
| P2 | WAF / CDN | 是否有 WAF 防火牆基本攔截能力 | 開啟防火牆與登入防護 |
這張表的重點很簡單,先處理會直接開門的漏洞,再處理會讓攻擊擴散的設定。順序對了,修補速度也會快很多。
WordPress 漏洞修補的正確順序
先把修補順序排好,再動手更新,會少掉很多回頭工。
如果你現在只有半天時間,請直接照這個流程走。這比想到哪裡修到哪裡安全得多。
- 先備份,而且要確認能還原。
只做資料備份不試還原,等於沒有資料備份。你要把網站檔案、資料庫、上傳檔都存好,然後抽查一次還原流程。萬一更新後白畫面,這一步會救你。 - 先定期更新 WordPress 核心,再更新外掛與主題,最後更新佈景主題。
核心小版本通常優先修安全問題的修補程式,所以定期更新不要拖。外掛與主題更新前,先看發行說明和官方公告,特別是有漏洞編號、修補版本號的項目。若你看到不熟的版本說明,先停一下,別急著按更新。定期更新能避免許多潛在風險。 - 把停用和 abandoned 外掛刪掉。
停用不等於安全。只要程式還在主機上,就可能被掃到。你如果三個月沒用到它,就該問自己,真的還需要它嗎?很多網站的漏洞,不是來自正在用的功能,而是來自「早就忘了存在」的外掛。 - 檢查管理員帳號,順手開啟雙重驗證。
管理員人數越少越好。把離職員工、外包、測試帳號全部清掉。接著開啟雙重驗證,讓密碼外洩也不會立刻失守。登入頁若有大量錯誤嘗試,再加上限速、雙重驗證和驗證碼。 - 確認檔案權限與上傳目錄。
wp-content/uploads/正常不該出現可執行的 PHP 檔。檔案上傳權限要檢查清楚,網站主頁檔、設定檔、上傳資料夾的檔案上傳權限也要合理,不要為了方便把整站放得太開。權限太鬆,攻擊者會比你更快找到入口。 - 檢查 PHP 與 MySQL 版本,以及 WordPress 版本。
舊版本常見的不是新功能問題,而是安全修補跟不上。定期更新 WordPress 版本、PHP 與 MySQL,主機商如果還在支援較新的 WordPress 版本,盡快升級。升級前先在測試站跑一次首頁、表單、結帳與寄信功能,避免更新後影響營運。 - 打開 WAF、CDN、安全外掛和防暴力登入。
這一層是門口警衛。WAF 能先擋掉一部分惡意請求,CDN 也能減輕異常流量壓力。登入保護則是防機器人一直撞密碼。對中小企業網站來說,這些設定往往比事後清毒便宜得多。
如果你已經掃到可疑檔案,或懷疑後台被動過,先用安全外掛進行漏洞掃描,再對照這份 漏洞掃描與修復教學,決定是清除、回復,還是重建。
伺服器與日誌也要一起看
很多老闆只看網站能不能開,卻沒看後台發生了什麼事。這是危險習慣,因為攻擊成功後,網站不一定會立刻壞掉。它可能只是多了一個後門,或在某個資料夾裡多放了一個奇怪的檔案,裡面藏有惡意程式碼。
你至少要看這幾件事,作為網站防禦的一部分:
- 異常登入紀錄,是否有深夜大量失敗登入。這是入侵偵測的重要指標。
- 檔案變更紀錄,是否有不該改的 PHP 或設定檔。建議執行惡意軟體掃描來確認。
- 流量異常,是否出現短時間暴增的請求。這也能幫助入侵偵測。
- 郵件發送紀錄,是否有你沒寄出的信件。
- 資料庫變動,是否有不明帳號、文章或訂單被改動。搭配惡意軟體掃描更全面。
只看前台正常,不代表後台安全。很多入侵都是先藏著,過幾天才爆出來。
如果你是主機有權限的人,也要順手檢查主機商的安全通知,還有 PHP 錯誤紀錄。這些日誌審核是安全性最佳實務。若你沒有伺服器權限,就把這些項目列成維護商每週回報的固定內容。沒有紀錄,等於沒有查。
什麼情況代表你要立刻處理
有些訊號一出現,就不要再拖。進入事件響應模式,先停更,先查清楚,再做後續動作。
- 後台多出你不認識的管理員,這可能是帳戶接管。
- Google 或瀏覽器跳出惡意網站警告,代表可能感染惡意程式碼。
- 會員反映被改密碼,或收到不明信件。
- 網站首頁被換圖、被加廣告、被跳轉,這是惡意程式碼注入的跡象。
- 外掛更新後馬上出現白畫面或登入失敗,攻擊者可能透過小漏洞進行權限提升。
這時候不要先改版面,也不要先想行銷排程。先處理網站安全性,再談營運。若情況已經失控,改成完整清毒與回復流程會更省時間,也更省損失。
常見問題
WordPress 漏洞修補該按什麼順序做?
先做完整備份並測試還原,接著更新核心再外掛與主題,最後刪除停用外掛。同時清查管理員帳號、收緊檔案權限,並開啟 WAF 等防護。這順序能先堵大洞,避免更新過程出問題。
什麼是高風險外掛,怎麼處理?
像 ACF Extended、WPStatistics、WP Meta SEO 等有 CVE 漏洞記錄的外掛,易被自動化掃描利用。先查官方修補版本,更新或停用替換;用安全外掛輔助辨識,別讓單一外掛繞過防護。
如何檢查管理員帳號安全?
列出所有管理員,刪除離職、測試或陌生帳號,人數越少越好。馬上啟用雙重驗證(MFA),並加登入限速與驗證碼,防密碼外洩或暴力破解。
網站有什麼異常訊號要立刻處理?
後台多陌生管理員、Google 惡意警告、會員密碼被改、首頁被換圖或跳轉,都是入侵跡象。別先改版面,先停更、掃描清除,或完整回復備份,省時省損失。
如何日常監控 WordPress 安全?
定期審核異常登入、檔案變更、流量與郵件紀錄,搭配惡意軟體掃描。沒伺服器權限就要求維護商每週回報,養成日誌審核習慣,早發現早處理。
結論
5 月中旬這波 WordPress 資安預警,重點不是「又出現了什麼新名詞」,而是你手上的網站有沒有被最新漏洞掃到。WordPress 漏洞修補最怕拖,因為拖延代表風險會被自動化工具放大,建議考慮自動化修補或虛擬補丁等進階概念來強化防護。
先做資料備份,再進行定期更新核心、外掛與主題。接著刪掉沒用的外掛,收緊管理員帳號,補上 MFA,最後把 WAF、權限、版本和日誌一起檢查完。這些 WordPress 漏洞修補動作遵循安全性最佳實務做完整,你的網站才算進入堅固的網站防禦狀態。
如果今天只能做一件事,就先從高風險外掛開始,搭配安全外掛來強化。這一步通常最有差,也最能馬上降低風險。
