我們從 2014 年開始投入 WooCommerce 生態，參與繁體中文翻譯、建立 Facebook WooCommerce 台灣社團、提供台灣第一套在地化金物流外掛訂閱服務，做的事情都指向同一件：在台灣推廣用 WooCommerce 建立商店。今年我們正式通過官方審核，成為台灣首家列入 Agency Directory 的代理商夥伴。

這能為台灣的 Woo 商店帶來什麼

WooCommerce 的文件、客服、ticket 全部英文，對台灣多數商家來說這是一件較難跨越的事。現在 cloudwp 能在中間搭起橋樑，協助需要的店家直接向官方訂閱正版外掛，使用上遇到問題告訴我們，由我們協助向官方反映與溝通。

代理的 WooCommerce Marketplace 外掛

• Advanced Notifications
• All Products for Woo Subscriptions
• AutomateWoo – Birthdays Add-on
• AutomateWoo – Refer a Friend Add-on
• Back in Stock Notifications
• Bulk Stock Management
• Checkout Field Editor
• Composite Products
• Conditional Shipping and Payments
• Constellation
• Dynamic Pricing
• EU VAT Number
• Flat Rate Box Shipping
• Gift Cards
• Per Product Shipping
• Product CSV Import Suite
• Product Recommendations
• Product Vendors
• Rental Products
• Returns and Warranty Requests
• Shipment Tracking
• Shipping Multiple Addresses
• Smart Coupons
• Table Rate Shipping
• Variation Swatches and Photos
• WooCommerce Additional Variation Images
• WooCommerce AutomateWoo
• WooCommerce Bookings
• WooCommerce Bookings Availability
• WooCommerce Box Office
• WooCommerce Coupon Campaigns
• WooCommerce Deposits
• WooCommerce Distance Rate Shipping
• WooCommerce Min/Max Quantities
• WooCommerce One Page Checkout
• WooCommerce Order Barcodes
• WooCommerce Points and Rewards
• WooCommerce Pre-Orders
• WooCommerce Product Add-Ons
• WooCommerce Product Bundles
• WooCommerce Product Filters
• WooCommerce Purchase Order Gateway
• WooCommerce Subscription Downloads
• WooCommerce Subscriptions

代理範圍

除了 WooCommerce 官方外掛，我們也代理 Automattic 旗下的產品線：

• WordPress.com 託管方案
• Pressable 託管方案
• Jetpack 安全防護與效能優化
• WordPress VIP 企業方案

諮詢與聯繫

不論是外掛選擇、產品評估、轉換正版授權，或是需要與官方溝通的問題，都可以透過表單聯繫我們。

https://cloudwp.pro/contact/woo

在快要完成 Lazy PageSpeed 專案之前，用 Claude 的 Sub Agent 做了資安審計時發現了一個嚴重的問題，那是當初我把構想給 AI 產生的功能，但在審查時才發現原來問題的嚴重性，然後 AI 針對建議的措施怎麼問都是那幾種通用的方式，雖然我不會寫程式，但還是讓我覺得這傢伙根本在胡說，為了解決問題，我不得不自己在腦中不停的演練原本的流程到底是什麼問題，要怎麼更改架構才能完全斷絕問題。

以下就是過程還原:

原本的架構(基本模式)：

1. 前端 → CF Workers /api/analyze → CF Workers 呼叫 Google API → 回傳報告給前端
2. 前端壓縮報告 → 上傳到 CF Workers /api/upload-report → CF Workers 存到 CF R2

資安審計發現的問題：

- 前端僅透過 new URL() 驗證格式，未限制協議(javascript:、data: 等仍可通過)，也沒有私有 IP 或保留區段檢查，容易成為 XSS 和 SSRF 入口
- Cloudflare Workers 在 validateShareRequest 完全未檢查 URL 格式與協議；分享功能模組只在提取 hostname 時使用 new URL()，無效網址會被靜默跳過，不會阻擋惡意輸入
- 分享流程最終會依據這些值讀寫 CF KV 和 CF R2，若被植入惡意協議或內網位址，會造成資料污染甚至被濫用當代理
- /api/upload-report 端點無存取控制，任何人可直接呼叫上傳偽造的報告

Claude 的建議：

1. 在 CF Workers 的 Validators 實作嚴格的 validateUrl：僅允許 http/https，並阻擋私有 IP、localhost、0.0.0.0、127.0.0.0/8 等
2. validateShareRequest 逐一檢查 body.urls，若不合法直接回傳 400
3. 前端 isValidURL 同步比照限制，維持使用者體驗
4. 分享功能模組對非法網址應直接拒絕請求，而不是靜默跳過

但以上建議只能解決 SSRF 攻擊，問了好幾次都無法解決偽造問題，所以我決定只能透過重構整個儲存架構來根本解決。

重構後的架構：

1. 前端 → CF Workers /api/analyze → CF Workers 呼叫 Google API → CF Workers 壓縮報告 → CF Workers 存到 CF R2 → 回傳 reportId
2. 移除 /api/upload-report 端點

關鍵改變：

- CF Workers 呼叫 API 後不再交給前端處理，而是自己完成壓縮和儲存
- 前端完全無法介入報告內容和上傳流程

經驗與反思：專注於理解原理和基礎能力，而非追逐每個新工具
AI 能夠快速針對現況問題給予通用的建議 (加驗證、加限制、加防護)，但卻沒辦法用全局觀的方式來思考整個架構的缺失。Claude 看到的是 URL 沒驗證，但他沒辦法延伸思考是上傳流程本身就有問題。所以目前儘管有 AI 協助，但最終還是需要自己的判斷，才能看清問題的本質，重構上傳的功能約花了一天時間處理，也是這個專案卡關最久的部份。

—

Lazy PageSpeed 相關連結:
網址：[前往]
使用文件: [前往]
GitHub：[前往]
Claude 對分析報告的整理總結範例: [前往]
使用上有問題的話，歡迎到社團交流： [前往]

Lazy Invoice 能做什麼

它使用 JSON 格式的發票資料，你可以上傳檔案或讀取檔案網址，可以在線上版直接開發票，線上版是用 Cloudflare Pages 從 Github 來源佈署的，再用 Cloudflare Workers 處理 API 轉發。如果擔心發票資料外洩，也可以從 Github 下載檔案再佈署到自己的 PHP 環境使用，離線版會改用 PHP 當轉發。最重要的是，它沒有資料庫，不會儲存任何發票資料，畫面重整就會清空所有資料，完全不用擔心資料洩漏的問題。

資安方面，前端會把串接資料加密再送給後端發送開立發票。就像你把重要文件放在保險箱裡寄出去，只有收件人有鑰匙才能打開，即使郵差也看不到裡面的內容。

使用流程很簡單：準備好發票資料，讓 AI 產生 JSON（不論是 ChatGPT、Gemini、Claude、Grok，哪一種 AI 都可以，免費版的也沒關係，額度用完再換另一個就好），然後把產生的 JSON 上傳到 Lazy Invoice 開立發票。我準備了這 5 家平台的 JSON 範例檔案和給 AI 的提示詞範例，你可以用文字描述或是拍照片，讓 AI 產生發票需要的 JSON 格式。不想處理 JSON 的話，也可以只放串接資料，把 JSON 當作金鑰檔使用。

為什麼要做 Lazy Invoice

雖然我的網站已經會自動開發票，但每月初我還是需要手動開一些發票，原本不覺得花時間，後來因為轉變成了爸爸模式，變得同時要工作、要照顧小孩又要當好老公，每天像在跟時間賽跑一樣，所以一分一秒都變得斤斤計較，發現時間浪費得越多，就離計劃的目標越遠。既然想要節省時間，就只能轉向自動化，才能把煩瑣的事情理順。

怎麼做出 Lazy Invoice

自動化必須靠程式實現，而我的領域並不是寫程式，但我擅長的是規劃架構，我採用 Vibe Coding 的方式，把腦中的想法一點一滴地餵給 AI，確認規格及細節之後，再按照我的節奏一步一步地建構出這個開立發票的應用。

在開始前，我先在網路上搜尋可以用的發票 API 文件，發現只有 6 家加值中心有提供公開 API。本來計劃是有多少就整合多少家，但在測試過程中發現有一家沒有提供公開測試帳號，所以最後只整合了 5 家。

為什麼只能匯入 Json 格式的檔案或在頁面上手動新增發票，主要是希望使用的人要借助 AI 的能力快速的把發票資料整理好，體驗快速開發票的便利。

感想

其實專案在開始進行前，測試 API 開立發票的部份在 10 分鐘左右就完成第一家平台了，靠提示詞產生的頁面也在三十分鐘內就完成了，但最後專案從開始到結束總共約 3 個半月的時間，雖然我不是每天都有進行，但是最麻煩的部份是 AI Coding 的品質，若本身技能不足或不熟悉約束邊界，放飛的下場就是前前後後重構了三次，每次重構就是無限的功能修復及測試煉獄，到最後上線前還是發現有很多地方的函式複雜度太高。

Vibe Coding 有趣的地方不是 AI 可以很快的做出你想要的東西，而是在進行的過程中，像在精神時光屋裡快速提升戰力。原本需要長年接案歷練才能學到的東西，現在可以邊做邊學快速成長。但每天 AI 產出來的文字，足夠讓你閉上眼睛睡覺時還在進行消化。

—

線上版：https://lazyinvoice.app/
GitHub：https://github.com/neltseng/Lazy-Invoice
使用上有問題的話，歡迎到社團交流： https://www.facebook.com/groups/eczerogravity