外觀
健檢結果與處理範圍
資料來源:2026-04-17 健檢報告 (掃描採集日:2026-04-16~2026-04-17)
本文件包含四個部分:健檢發現的主要問題、維護期間內可執行項目、進階網站維護與顧問服務範圍外項目、健檢報告索引。 判定分界為:是否可透過既有後台或平台設定完成,且不需修改既有業務程式碼。
一、健檢發現的主要問題
1. 資安防護層
| 項目 | 現況 |
|---|---|
| HTTP 安全標頭 | 7 項中缺 7 項 |
| SSL 模式 | Full (未驗證源站憑證) |
| HTTPS 強制跳轉 | 未啟用 |
| TLS 最低版本 | 1.0 |
| Cloudflare WAF | off (Free plan) |
| XML-RPC | 開啟中 |
| REST API 用戶列舉 | 暴露中 |
| ZAP 動態掃描 (未登入) | 中風險告警 9 項 |
| ZAP 動態掃描 (已登入) | 中風險告警 9 項 |
2. 主題程式碼層
| 項目 | 數量 |
|---|---|
| 主題審查高風險 | 1 項 (除錯日誌殘留) |
| 主題審查中風險 | 4 項 (含 SQL 拼接、空陣列未防護、付款邏輯脆弱、硬編碼) |
| 主題審查低風險 | 2 項 (含 Customizer 效能浪費、字串解析脆弱) |
3. 外掛層
| 項目 | 現況 |
|---|---|
| 待更新外掛 | 22 個 |
| WPScan 原始匹配漏洞外掛 | 11 個 |
| 依安裝版本過濾後仍需優先處理 | 8 個 |
| 長期未更新外掛 (>2 年) | 0 個 |
| WordPress.org 已下架外掛 | 0 個 |
4. 程式碼掃描層 (SonarQube)
| 項目 | 數量 |
|---|---|
| Vulnerabilities | 0 |
| Bug | 20 |
| Security Hotspot | 0 |
| Code Smell | 137 |
5. 效能
| 項目 | 現況 |
|---|---|
| PageSpeed Mobile 平均 | 39 (5 頁樣本) |
| PageSpeed Desktop 平均 | 47 (5 頁樣本) |
| PageSpeed 最差頁 (Mobile / Desktop) | 22 / 32 |
二、維護期間內可執行的項目
目的:在不變更既有業務程式碼的前提下,透過可回滾的設定型作業先降低風險。
1. Cloudflare 與資安設定調整
- 於甲方既有 Cloudflare 帳號內調整 SSL 模式為 Full (Strict)
- 開啟 Always Use HTTPS
- 最低 TLS 版本調整為 1.2
- 補齊 HTTP 安全標頭 (Transform Rules 或源站設定)
- 啟用可用的 WAF/Bot 防護與速率限制
2. WordPress 基礎防護與更新
- 22 個待更新外掛於測試驗證後更新
- 核心版本由 6.9.1 更新至目前穩定修補版
- 封鎖 XML-RPC 與 REST API 使用者列舉端點
- 依 WPScan 原始結果 11 個外掛需檢查;依安裝版本過濾後,8 個外掛仍需優先更新至修補版本
3. 可設定型效能調整
- 快取外掛參數調整 (Breeze)
- 圖片壓縮與 WebP 轉換設定
- Cloudflare 快取與快取規則調整
4. 維護結束後的權限交接
Cloudflare 帳號由甲方持有。維護期間新增或調整之規則於結束時提供設定清單與交接說明,由甲方續用或調整。
三、進階網站維護與顧問服務範圍外項目 (需程式碼修正)
下列項目均涉及既有程式碼修改、相容層重寫或資料結構調整,需修改程式碼方可修正。 因此不屬例行維護與顧問服務的直接執行範圍;顧問服務交付為問題盤點與改善建議,實際修正需另行定義範圍、時程與驗收標準。
1. 主題審查列出的 7 項問題
涉及 functions.php、js/main.js、template-parts/header-v4.php 的程式碼修正與行為驗證。
2. SonarQube 列出的 Bug / Code Smell 修正
20 項 Bug 與 137 項 Code Smell 需逐檔逐行修正與回歸測試。
3. 無法直接更新之外掛替代與遷移
若外掛無修補版本或更新後不相容,需進行替代方案評估、資料遷移與相容性測試。
4. 前台效能程式層調校
LCP、INP、Critical Rendering Path 的深度優化需修改主題 template、前端 JS 或查詢邏輯。
5. 既有客製流程重構
包含歷史客製流程的邏輯重寫、資料修復腳本、或結構性重構,皆屬開發案範圍。
四、健檢報告索引
- 資安設定:
/security/ - 動態掃描 (未登入 / 已登入) :
/security/zap、/security/zap-auth - 程式碼掃描:
/security/code - 主題架構與審查:
/theme/、/optimize/theme - 外掛清單與已知漏洞:
/security/plugins、/security/wpscan - 效能與主機資源:
/performance/、/performance/frontend - WooCommerce 概覽:
/woo/ - SEO 結構與頁面資料:
/seo/ - GA4 流量:
/ga4/
五、關鍵數據與來源對照
| 文件數值 | 掃描來源 |
|---|---|
| HTTP 安全標頭缺 7 項 | 2026-04-16-health.json → security.headers_summary.missing = 7 |
| SSL Full / HTTPS 未開 / TLS 1.0 | 2026-04-17-dns.json → ssl.mode, ssl.always_https, ssl.min_tls_version |
| WAF off (Free plan) | 2026-04-17-dns.json → security.waf |
| ZAP 中風險 9 (未登入) | 2026-04-16-zap.json → site[0].alerts 中 riskcode=2 共 9 筆 |
| ZAP 中風險 9 (已登入) | 2026-04-16-zap-auth.json → site[0].alerts 中 riskcode=2 共 9 筆 |
| 待更新外掛 22 | 2026-04-16-health.json → plugins.pending_updates 長度 22 |
| WPScan 原始匹配漏洞外掛 11 | 2026-04-16-wpscan.json → plugins.*.vulnerabilities (未套用 installed version 過濾) |
| 依安裝版本過濾後仍需處理 8 | 2026-04-16-wpscan.json + 2026-04-16-health.json (plugins_detail) 比對 fixed_in > installed |
| 主題審查 1 高 / 4 中 / 2 低 | theme-audit/theme-review.json → findings.high/medium/low |
| SonarQube Bug 20 / Code Smell 137 | 2026-04-16-code.json → sonarqube.summary.bugs, sonarqube.summary.code_smells |
| PageSpeed 平均 39 / 47、最差 22 / 32 | 2026-04-14-seo.json → pages[*].pagespeed (5 頁樣本) |
WPScan 原始匹配漏洞外掛 11 個 (逐項)
add-to-cart-direct-checkout-for-woocommercebreezeduracelltomi-google-tag-managergoogle-listings-and-adsjs_composerpixelyoursitepopup-builderrevsliderrewardsystemwoocommercewordpress-seo
依安裝版本過濾後仍需優先處理的 8 個外掛
breezejs_composerpixelyoursitepopup-builderrevsliderrewardsystemwoocommercewordpress-seo