網站做好上線那天,很多老闆心裡想的是「終於搞定了」。但對網站來說,上線才是風險真正開始的那一天。你不去管它,不代表沒人在動它——全世界每天有大約 13,000 個 WordPress 網站被駭,絕大多數受害者不是被針對,只是剛好「沒在維護」,被自動化程式掃到漏洞而已。這篇我們把網站維護講成一件具體、可照做的事,而不是嚇你花錢。
本文你會學到
- 為什麼「沒在維護」的網站,被駭只是時間問題(附實際數據)
- 網站當機一小時,到底會燒掉多少錢
- 一張可以直接照做的維護檢查清單:備份、更新、監測、資安
- 不會寫程式,也能用 AI 工具幫網站做資安健檢
網站上線那天,才是風險的開始
把網站想成一間實體店面,大概就懂了。店開了,不代表你從此不用管——門要鎖、燈要換、貨要補、招牌掉漆要重漆。網站一模一樣,差別只在於它的「破窗」你平常看不到,要嘛是版面某天突然跑掉,要嘛是某天直接打不開,再不然就是被植入了你完全不知情的東西。
台灣中小企業最常見的劇本是這樣:找人做了一個漂亮的 WordPress 網站,上線後就放著,密碼從沒換過、外掛從沒更新過,直到某天客人打電話來說「你網站怎麼跳出一堆奇怪的廣告」,才驚覺出事。這時候通常已經晚了,因為被駭的網站,往往是被當成跳板拿去做別的壞事,連 Google 都會在搜尋結果幫你掛上「這個網站可能有害」的警告。
維護不是出事才做的補救,而是讓你「不要走到那一步」的日常。下面先用幾個數字,讓你感受一下現在的網路環境到底有多危險。
先看一個會讓你睡不著的數字
根據 Patchstack 與多家資安機構 2025 年的統計,光是這一年就揭露了 11,334 個 WordPress 相關漏洞,比前一年暴增 42%。更關鍵的是,這些漏洞裡高達 91% 來自外掛(plugin),WordPress 核心本身全年只有 6 個。換句話說,真正讓你網站破洞的,幾乎都不是 WordPress 本身,而是你裝上去那一堆外掛。
而這些破洞有沒有人在利用?答案是天天都有。業界估計每天約有 13,000 個 WordPress 網站被入侵,其中 61% 的受害網站都還在跑過時的舊版本。再補一個更刺眼的:研究發現 約 52% 的 WordPress 漏洞,是來自那些站長明明可以更新、卻一直沒更新的舊外掛。也就是說,超過一半的災難,本來只要按一下「更新」就能避免。
這不是恐嚇。這些攻擊絕大多數是自動化的——駭客不會坐在電腦前一個個挑你,而是放出程式在網路上不停地掃,看到哪個網站有已知漏洞就下手。你的網站規模大小、有沒有名氣,根本不在他們考慮範圍內。
被駭不是「會不會」,是「什麼時候」
很多老闆會想:「我網站又沒什麼流量,駭客幹嘛理我?」這個想法剛好就是最危險的地方。前面說過,攻擊是自動化的,它不挑對象,只挑「有沒有洞」。
速度更是嚇人。資安報告指出,一個漏洞從公開揭露到被大規模利用,中位數只有 5 小時。意思是,今天某個外掛被發現有漏洞,往往不到半天,全世界的自動化攻擊就已經開始一輪一輪地掃。更麻煩的是,有 46% 的漏洞在被公開時,開發者根本還沒推出修補;而 2024 年揭露的漏洞裡,約 35% 到了 2025 年仍然沒有修補——對這些外掛來說,唯一安全的做法就是直接移除。
還有一個台灣老闆很容易忽略的傷害類型:SEO 垃圾注入。資料顯示,WordPress 上的惡意攻擊有 55.4% 是 SEO spam——駭客在你網站偷偷塞進賣藥、賭博的隱藏連結,你前台看起來一切正常,但 Google 眼中你的網站已經在幫人發垃圾,排名直接崩盤。等你發現生意變差去查,往往已經被搜尋引擎降權好一陣子了。
當機一小時,到底燒掉多少錢
講資安可能還是有點抽象,那我們換成最直接的——錢。網站當機(無法正常開啟)對中小企業來說,成本比你想的高很多。根據多份產業統計,中小企業的當機成本大約落在每小時 8,000 到 25,000 美元;就算是員工 25 人以下的小公司,平均也有每分鐘約 1,670 美元的損失。
你可能覺得這數字太誇張、是大公司才有的事。那換個算法:假設你的網站一天帶來 12 萬元營業額,平均每小時就是 5,000 元,光是當機一小時,直接的營收損失就是 5,000 元起跳。而這還只是「看得到」的部分。
真正的帳要乘上去。資安與維運的研究普遍指出,當機的總成本通常是直接營收損失的 3 到 5 倍,因為還要算上:你正在投放的廣告預算照樣在燒、客人對品牌的信任流失、Google 排名要花時間才能恢復、以及找工程師救火的費用。一次嚴重的當機或被駭,損失往往遠遠超過你一整年省下來的那點主機費和維護費。
維護到底要做哪些事(給你一張可照做的清單)
講完風險,來講解法。網站維護沒有什麼神秘配方,重點是「固定做、有節奏地做」。國外維運團隊常用的節奏很簡單,你可以照抄:
- 每週:確認自動備份有正常跑、把核心與外掛的更新處理掉、點一遍主要頁面確認沒壞。
- 每月:跑一次資安掃描、檢查網站速度、看一下 SEO 有沒有異常、實際測試一次「備份還原得回來」。
- 每季:盤點後台使用者帳號、清掉沒在用的外掛、檢視內容、確認各種金流物流串接還正常。
這份清單看起來瑣碎,但每一項都對應到前面講的一個風險。下面挑幾個最關鍵、也最容易被省略的,再講細一點。
備份:最便宜的後悔藥
如果維護只能做一件事,那就是備份。它是你在任何災難發生後,唯一能「回到出事前」的方法——網站被駭、外掛更新後白畫面、誤刪資料,只要有一份好的備份,最壞情況都還救得回來。
備份要做對,記三個原則。第一,頻率要配合你的網站性質:純展示的小官網,每週一次或許夠;但只要你有購物車、有訂單、有會員,每天至少一次,做電商的甚至建議接近即時備份——因為你掉的每一筆資料,都是真金白銀的訂單。
第二,備份一定要存在主機以外的地方。很多人把備份存在同一台主機上,這等於把保險箱跟現金放在同一個房間——萬一主機本身掛了或被駭,本地備份也跟著陪葬,等於沒備。雲端硬碟、異地空間,至少要有一份在外面。第三,備份要定期「實際還原」測試一次。最慘的狀況不是沒備份,而是出事那天才發現備份檔是壞的、根本還原不回來。沒測過的備份,不能算數。
更新:又怕改壞、又怕被駭,怎麼辦
更新是個兩難。不更新,就是把已知漏洞一直開著門等駭客;更新,又怕外掛之間打架,改一改網站就壞了。台灣很多老闆因為「上次更新後出過事」,乾脆從此不更新——這其實是最危險的選擇。
正確做法是:更新前一定先完整備份,這樣就算更新後出問題,也能立刻退回去。更講究一點的,是先在「測試環境(staging)」把更新跑過一遍,確認沒問題再套到正式站,這也是專業維運團隊的標準流程。
更新的優先順序也有講究。有標示資安修補(security fix)的更新,越快做越好,因為前面說過,漏洞公開到被利用可能只有幾小時;至於純功能性的更新,可以排進每週的固定時段慢慢處理。重點是別讓外掛一放就是半年沒動——那等於是在牆上開了一個又一個你看不到的洞。
AI 工具實戰:用 AI 幫你顧網站資安
以前做資安維護,得懂一堆專業名詞。現在用 AI 工具,不會寫程式的人也能自己跑一輪健檢。流程是這樣的:
第一步,用工具掃一次。在 WordPress 後台裝一個有 AI 掃描能力的資安外掛,例如 Wordfence 或 MalCare。MalCare 主打 AI 掃描加上一鍵移除惡意程式;這類工具會用 AI 比對程式碼的「行為特徵」,所以連還沒被正式登錄的新型惡意程式,也有機會抓出來,而不是只認得舊的病毒清單。掃完它會給你一份報告,列出網站有哪些風險、哪些外掛有漏洞。
第二步,讓 AI 幫你把報告翻成人話。掃描報告對一般人來說還是太技術,這時把它丟給 ChatGPT 或 Claude。你可以直接複製報告內容,搭配這樣一段 prompt:
「我的網站是用 WordPress 架的,這是資安外掛的掃描報告:〔貼上內容〕。請用白話幫我列出前三個最該優先處理的資安問題,每個問題說明:風險是什麼、不處理可能會發生什麼後果、以及我這種不會寫程式的人可以自己處理,還是該找工程師。」
它會把那串技術項目,整理成「先做這個、再做那個」的具體清單,還會告訴你哪些自己動手就行、哪些得交給工程師。
第三步,裝一個 AI 上線監測。像 UptimeRobot 這類服務(很多有免費方案),會持續盯著你的網站,一掉線就立刻發訊息通知你,而不是等客人打電話來罵才知道。進階一點的 AI 監測工具,甚至能在偵測到網站畫面被竄改、或出現異常變化時主動示警。
不過要誠實提醒:AI 給的是建議,不是聖旨。它可能會建議你移除某個外掛,但那個外掛其實是你金流或物流的關鍵。所以真的要動手改主機設定、刪外掛、改程式碼之前,最好還是讓懂的人確認一下,別為了快而把網站搞掛——這也是為什麼很多老闆寧可把維運固定外包給專業團隊,省下自己半夜爬起來救火的力氣。
台灣中小企業最常見的維護迷思
最後整理幾個老闆最常犯的迷思。一是「我網站小,沒人會駭我」——前面講過了,攻擊是自動化的,它掃的是漏洞不是你的知名度。二是「外掛裝越多越方便」——每個外掛都是一個潛在破口,91% 的漏洞來自外掛,能精簡就精簡。
三是「更新會把網站改壞,乾脆不更新」——正解是「先備份、有測試環境再更新」,而不是不更新;不更新才是把門大開。四是「備份有開就好」——沒做過還原測試的備份,等於沒有,而且千萬別只存在主機本身。五是「維護是出事再處理的事」——這是最貴的一種想法,一次當機或被駭的損失,往往是平常維護費的好幾十倍。
把這幾點對照一下自己的網站,大概就知道你現在站在多危險的位置了。
維護不是成本,是保險
說到底,網站維護跟買保險是同一件事:平常感覺不到它的價值,出事那天你會慶幸自己有做。把備份、更新、監測、資安這四塊排進固定的節奏,再搭配 AI 工具定期健檢,你的網站就能從「一個遲早出事的未爆彈」,變成一個真正能幫你賺錢、而且睡得著覺的資產。
如果你的網站上線後就一直沒人管,又不確定現在到底有沒有風險,歡迎找戀戀設計聊聊。我們會先幫你做一次體檢,看看備份、更新、資安這幾塊現在的狀況,找出真正的破口再給建議,免費諮詢點這裡。