WordPress 是一個非常受歡迎的架站平台,因此它吸引了大量駭客的注意力,WordPress 被駭的情形也略有耳聞,儘管 WordPress 官方不斷努力的使 WordPress 成為一個安全的內容管理系統,但是新的惡意軟體和駭客還是不斷湧現。
如果你發現你的網站有下面的情況,很有可能代表你的網站已經被駭了
- 網址被導向其他網站
- 無端被註冊陌生的新帳戶
- 被添加莫名的文章或是廣告
- 網站變得超級慢
- 密碼被更改無法登入控制台
- Google 搜尋上顯示「這個網站可能已遭到入侵」的警告
駭客通常會利用某些外掛或是佈景主題的漏洞來入侵你的網站,或是某些不肖的開發商在自己的產品嵌入有害的程式碼,所以這就是為什麼我們需要定期掃描 WordPress 檔案,檢查惡意軟體或是惡意程式碼是否被安插到我們的網站上。
Wordfence Security
Wordfence Security 簡介
Wordfence Security 是 WordPress 上最受歡迎的安全防護外掛之一,它有超過 3 百萬以上的有效安裝以及 3,000 多個五星評價。
它包含了網頁應用程式防火牆(Web Application Firewall)、惡意軟體掃描功能(Malware Scanner)和雙重要素驗證(Two-factor Authentication),能夠確保你的網站安全。
以下是 Wordfence Security 的功能特色
「終端」(Endpoint)防火牆
Wordfence 的「終端」防火牆可以識別並阻止惡意攻擊,保護 WordPress 以及其子目錄中的其他內容。根據 Wordfence 的說法,他們的終端防火牆有別於 Sucuri(現在由 GoDaddy 擁有)和 Cloudflare 等其他公司所提供的「雲端」防火牆有被駭客繞過並直接攻擊伺服器的危險,可以有效地保護你的 WordPress 網站。
它透過在.htaccess或是php.ini檔案中添加一個名為auto_prepend_file的指令,告訴你的伺服器在執行任何其他PHP指令之前先運行 Wordfence 防火牆,以確保 Wordfence 可以在惡意程式執行之前保護你的網站。
惡意軟體掃描功能
Wordfence 的惡意軟體掃描功能可以檢查你的網站上是否包含惡意軟體、不良連結、安全漏洞、惡意重新導向的程式碼、不安全的佈景主題和外掛,可以確保你的檔案、文章和評論不包含危險網址或是可疑內容。
它會將你的檔案與 WordPress.org 資料庫中的檔案進行比較,檢查其完整性並向你報告如果有發現任何的變更,並且透過使用原始的檔案版本來修復已遭到駭客更改的檔案,然後刪除任何不應該出現的檔案。
登入安全防護
Wordfence 整合了雙重認證(2FA)在它的功能當中,你可以輕鬆的啟用它來為你的帳戶添加第二層的安全保護。它會要求網站控制台的使用者不僅要輸入密碼,還要輸入由 Google Authenticator、Authy 或是 1Password 等基於時間的一次性密碼演算法(TOTP) 生成的第二道密碼。雙重認證是目前最安全的登入防護方式之一,即使攻擊者以某種方式獲取你的帳號和密碼,他們仍然無法登入受到雙重認證防護的 WordPress 控制台。
你還可以開啟 Google reCAPTCHA 來阻止駭客使用機器人暴力破解你的 WordPress 網站。
Wordfence Security 安裝和設定教學
首先到 WordPress 控制台的「安裝外掛」頁面搜尋「Wordfence Security」來安裝外掛。
在啟動外掛後會看到安全性通知的設定,輸入電子郵件信箱後點擊「繼續」按鈕。
輸入你的付費版的金鑰,如果你沒有就選擇「No Thanks」跳過。
進入到 Wordfence 的 Dashboard 會發現上方有一個要求我們設定防火牆的提示,請按下「CLICK HERE TO CONFIGURE」。
Wordfence 防火牆會將auto_prepend_file指令添加到你的伺服器當中,一般來說,它會自動偵測你的伺服器類型,所以你可以維持預設值並且點擊「DOWNLOAD .HTACCESS」來下載.htaccess檔案的備份以進行下一個步驟。
請注意,如果你是 SiteGround 的用戶,必須使用手動方式添加指令
手動方式添加防火牆指令
如果你和我一樣是 SiteGround 的用戶請使用下面方式來添加 Wordfence 防火牆指令。
選擇「Manual Configuration」後點擊下一步。
記下這段路徑,稍後會用到。
到 SiteGround 的 cPanel 選擇「PHP Variables Manager」。
選擇你安裝 WordPress 網站的根目錄,通常是「public_html」。
在「Variable」欄位輸入「auto_prepend_file」然後按下「Add」。
輸入wordfence-waf.php檔案的路徑並勾選「Apply changes to all sub-directories」,然後按下「Save」。
這樣就完成了,你可以使用 cPanel 的 File Manager 查看php.ini檔案是否已經被建立於網站的根目錄底下,並且裏頭包含下面這段指令(路徑有可能會有所不同):
auto_prepend_file = "/home/public_html/yourdoamin/wordfence-waf.php"
完成防火牆的設定後,之前的提示應該會消失代表防火牆已經開始運作。剛開始啟動的前 7 天防火牆會處於「學習模式」(Learning Mode)。
學習模式處於活動狀態時,Wordfence 會將類似於駭客攻擊的行為列入白名單,你應該像往常一樣,嘗試使用網站的所有功能,像是發佈文章、變更主題、安裝外掛等等。在此期間使用的功能越多,將來收到要求加入白名單的機會就越小。
學習模式是讓 Wordfence 防火牆在安全的情況下習慣你的日常行為,如果你的網站最近才剛遭到駭客入侵,或者你目前正受到攻擊,則不應該使用學習模式,你可以在任何時候將防火牆設定為「防護模式」(Enabled and Protecting)。
接下來你可以到「Scan」頁面啟動掃描,看看你的網站是否有被植入惡意代碼或是有其他需要提升網站安全性的地方。
接下來我們到「Login Security」頁面啟動雙重認證(2FA)。
你必須先使用手機下載 Google Authenticator 的 Application,然後用掃描的方式新增你的網站,新增完之後你應該會看到 Google Authenticator 會不斷的產生新的密碼,由於密碼在短時間之內不斷的被更新,所以駭客很難破解這種保護方式。
其他支援 Wordfence 的 Time-based One-Time Passwords (TOTP) 應用程式
如果你不喜歡使用 Google Authenticator,你還可以使用下列 TOTP 應用程式:
- Google Authenticator
- Sophos Mobile Security
- FreeOTP Authenticator
- 1Password
- LastPass Authenticator
- Microsoft Authenticator
- Authy 2-Factor Authentication
接著下載還原密碼,把它儲存在一個安全的地方,如果你丟失了手機或是不小心刪除了 Google Authenticator 你將會需要使用它們來登入你的網站,總共有 5 組還原密碼,每組只能被使用一次。
輸入手機上 Google Authenticator 上的密碼來啟動雙重認證功能。
你可以在設定頁面調整雙重認證(2FA)以符合你的需求。
在設定頁面的下方可以輸入 Google reCAPTCHA 的金鑰,防止 WordPress 登入頁面被機器人嘗試破解密碼。
點擊「reCAPTCHA Service」去 Google 的 reCAPTCHA 頁面申請金鑰。
點擊右上方的「Admin Console」按鈕。
填寫資料後提交。
複製 2 組金鑰並分別輸入至 Wordfence 的設定頁面,然後記得按下儲存按鈕。
回到登入畫面會發現 Google reCAPTCHA 已經開始運作了。
開始必須輸入雙重認證(2FA)密碼才能登入。
結論
Wordfence Security 有著相當友善的操作介面、強大的防火牆、可修復受損檔案的掃描功能、雙重登入驗證防護,它不會減緩你的網站速度而且它還是免費的開源程式,在這邊推薦給想要加強 WordPress 安全性的讀者們。
如果你喜歡 Wordfence Security 並且想要獲得更進一步的安全防護,你可以參考 Wordfence Premium 付費版,和免費版相比它增加了以下功能:
- 即時封鎖 IP 黑名單
- 即時防火牆規則更新
- 即時病毒庫更新
- 網站信譽檢查
- 封鎖特定國家流量攻擊
最好的防護網站方式還是需要從源頭做起,你應該要選擇優良的虛擬主機供應商,避免安裝來路不明的主題和外掛,使用高強度的登入密碼,保持 WordPress 和外掛在最新的版本,才可以最大限度的減少惡意程式碼的入侵。
在〈【Wordfence Security 推薦】最受歡迎的 WordPress 安全性外掛〉中有 8 則留言
前輩你好,我安裝了Wordfence目前已經第3天了。
一開始安裝完成之後,成功執行了掃描。
但是今天想要再執行掃描的時候,卻發現『STAR NEW SCAN』這個按鈕無法按了,下方還出現了一個黃色的提示框寫著『Scan Failed
The scan has failed to start. This is often because the site either cannot make outbound requests or is blocked from connecting to itself.』
提示框下面則是還有一行字寫著『Scan completed on 07/13/2019 9:29 pm
』,看起來似乎是在7/13它自己執行了自動掃描的意思嗎?
想請教前輩『STAR NEW SCAN』這個按鈕無法按是有哪裡設定跑掉了嗎?
該如何解決呢?
你可以到「Wordfence」->「Tools」->「Diagnostics」的頁面中
檢查看看「Connecting back to this site」是不是有錯誤的提示
我使用 SiteGround 的主機也有同樣的問題
我解決的方式是用 cPanel 裏頭的「WordPress Toolkit」->「Secure Admin Panel」
添加 Server 主機的 IP 和自己電腦的 IP 後可以解決這個問題
給你參考
您好
請問使用GOOGLE的2FA CODE無法登入後台怎麼辦
可以參考 https://support.google.com/accounts/answer/185834?hl=zh-Hant
您好,我是10月份安裝Wordfence Security
今天想要執行掃描時,也出現同樣的問題
出現警示框寫著 [Scan Failed The scan has failed to start. This is often because the site either cannot make outbound requests or is blocked from connecting to itself.]
Scan completed on 2020 年 12 月 3 日 pm 11:24
我有去看「Wordfence」->「Tools」->「Diagnostics」的頁面中
「Connecting back to this site」是顯示 OK
cPanel 裏頭的「WordPress Toolkit」->「Secure Admin Panel」–請問這個要到哪裡去找?(我是架站新手還不是很清楚,我的主機: Cloudways)
感謝!
Hi Jenny,
Secure Admin Panel 指的是 SiteGround 主機才有的功能,所以您是找不到的。
我有找到一篇留言類似您遇到的問題,您可以參考一下:
https://wordpress.org/support/topic/critical-error-scanning-on-cloudways/
“I had the host *Cloudways, disable ImageMagick PHP module and now I can perform a scan normally but did get the above warning.”
我沒有使用 Cloudways 的主機,沒有辦法測試,不知道 disable ImageMagick PHP module 能否解決您的問題。
我會建議您聯絡 Cloudways 的客服如果您不知道要怎麼解決這個問題,
或是如果真的沒有辦法解決,乾脆不要使用 Wordfence Security,嘗試其他的安全性外掛也不失為另一種辦法喔。
非常感謝您的回覆,我會再試試看🙏🙏🙏😊
不客氣,祝您順利解決問題。