近年來，網路犯罪手法不斷推陳出新，劊客（Cracker）們持續尋找網站漏洞，以竊取個人資訊牟利。近期，資安業者SlashNext發現一款名為PhishWP的惡意WordPress外掛，專門針對電子商務網站發動攻擊，其精巧的設計和高度的自動化，使它成為劊客們的最新利器。

WordPress的惡意外掛PhishWP是什麼

PhishWP是一款惡意的WordPress外掛，可以輕易地偽裝成Stripe等知名的支付管（閘）道，當用戶在購物網站上進行結帳時，PhishWP會攔截付款流程，並將使用者導向一個偽造的付款頁面。這個偽造頁面與真實的付款頁面幾乎一模一樣，甚至可以支援3D安全驗證（3DS）等安全機制，讓使用者難以分辨真偽。

一旦使用者在偽造的付款頁面上輸入信用卡號、有效期限、信用卡三碼等敏感資訊，PhishWP會立即將這些資料傳送到劊客控制的Telegram頻道。此時劊客就可以在第一時間獲取受害者的支付資訊，並迅速進行盜刷或轉售；此時，您的電子商務站也將爆發被盜刷的新聞，破壞您的品牌商譽。

防範WordPress惡意外掛PhishWP的重點

首先，您必須了解：並非WordPress外掛都是安全的，儘管是官方的外掛，也並非百分之百安全；因此如果您是一位新手或是還沒跟WordPress當上好朋友，建議您可以加入一些社團或論壇，多參與討論及提出問題詢問資深的WordPress專業人士。

而以下幾項，是平時管理WordPress網站必要的工作：

• 定期更新WordPress核心程式、主題和外掛：即時更新WordPress核心程式、主題和外掛，都能有效降低被攻擊的風險。
• 定期備份網站：選用一個適合自己習慣的備份外掛，以新禾為例，新禾幫客戶代管的網站，會使用最簡單易用的「WPvividBackupPlugin」備份外掛。定期備份網站資料，以便在發生意外時能快速復原。
• 使用Web應用防火牆（WAF）：WAF可以有效阻擋常見的網路攻擊，包括SQL注入、跨站腳本攻擊（XSS）等，同時，新禾也推薦您可以考慮使用「Wordfence」安全防護外掛。

推薦閱讀：WordPress自動備份教學！新手也能輕鬆搞定WordPress備份、還原、搬家

結語

PhishWP的出現再次提醒我們，網路安全形勢日益嚴峻。如果不熟悉WordPress網站，您很容易被劊客盯上！主要是因為現在WordPress網站市佔率太高，例如美國白宮網站就是WordPress架設的，且又是開放源代碼，因此還是建議管理公司網站的您具備專業的知識，可以降低網站被入侵的機會。

消息來源出處：PhishWPPlug-inHijacksWordPressE-CommerceCheckouts

想了解更多關於WordPress架站或是維護等資訊，歡迎隨時與新禾數位行銷聯絡。