想要知道如何提升 WordPress 網站的安全性嗎?這篇文章將會告訴你 10 個站長必需要知道的 WordPress 安全觀念、各種安全性外掛推薦和提升網站安全性的具體實踐步驟和方法。
根據 Internet Live Stats 網站的統計,每天都會有數萬個網站被駭,而你只需要花一些時間按照以下的方法提升 WordPress 網站的安全性就可以大幅降低被駭客入侵的機率!
1. 選擇有口碑的虛擬主機廠商
選擇優良、有口碑的虛擬主機供應商對於 WordPress 安全性扮演著相當重要的角色,不管我們使用者如何增強網站的防護能力,如果主機供應商沒有足夠的能力抵禦駭客的進攻,那也難保我們網站的安全。
好的主機供應商應該會提供下面幾項安全服務:
- 監控和預防流量中的可疑活動
- 主動提示並修補安全漏洞
- 提供最新版本的伺服器軟體
- 能夠隔離並防止感染的傳播
- 適當的工具來防止大規模的 DDOS 攻擊
一般來說,主機供應商會在網站上列出他們的安全性或是可靠性技術,如果你找不到相關的資訊,我會建議更換一家更可靠的主機供應商。
2. 使用高強度的登入名稱與密碼
在眾多被駭客入侵的網站當中,最常看見的攻擊方式就是破解登入帳號,包含 WordPress 後台的管理員帳號、網站 FTP 帳號或是 cPanel 帳號。
cPanel 是一套知名的主機管理軟體,它提供圖形化的介面讓使用者不需要使用程式語言就可以輕鬆操作虛擬主機。它主要是提供給一般使用者的主機控制系統;而提供給系統管理員或是分銷商(Reseller)的控制面板叫做 WHM (Web Hosting Manager)。並不一定每個虛擬主機的「後台」都是使用 cPanel,除了有其他的管理軟體作為競爭對手,有部分的虛擬主機供應商還會自己開發客製化的管理後台。
以往,WordPress 預設的管理員名稱是「admin」,由於這項設定導致許多駭客只需要花費精力在破解密碼上,而不用去猜測管理員名稱,加上許多使用者並不喜歡設定複雜的密碼,導致被入侵的慘劇不斷發生。
解決這個問題的最佳方式是,在安裝新的 WordPress 時,不要使用預設的管理員名稱並且設定由大小寫字母、數字和特殊字元符號組合而成的高強度登入密碼,如此一來便可以有效的增加 WordPress 的安全性。
如果你發現你正在使用的 WordPress 網站管理員名稱是「admin」,那你最好變更它。由於 WordPress 不允許我們直接變更使用者的名稱,所以你必須新增一個新的「網站管理員」帳號再將舊的帳號刪除,或是使用「Username Changer」外掛進行變更。
還有另一種方法是在 cPanel 底下的 phpMyAdmin 進行使用者名稱的變更。
從左側列表中找到你的 WordPress 數據庫。
如果你不確定是哪一個,你可以檢查 WordPress 根目錄中的 wp-config.php 檔案,如下所示:
define('DB_NAME', 'database_name');接著打開「users」表單,
找到你想要修改的使用者名稱後按下「Edit」,
找到「user_login」並且將其值(下圖例子為 Admin)改成你想要的名稱,並且按下「Go」按鈕,就完成使用者名稱的修改了。
設定使用者權限
另外,駭客通常會將目標放在網站管理員帳號,因為管理員帳號擁有最大的權限,可以對網站造成最大程度的傷害,因此,如果你的網站有多名使用者的話,請按照需求分配好各使用者的權限,而「網站管理員」最好不要多於一個。
3. 保持 WordPress 於最新版本
這個大概是最簡單容易可以提升 WordPress 網站安全的方法了,只要隨時更新並保持 WordPress 系統、主題、外掛於最新的版本,就可以保護你的網站不那麼容易的被入侵或是攻擊。
其原因是,開發人員往往會在更新時修補程式當中的漏洞,隨著修補的漏洞越多,駭客可以進行攻擊的目標也就越少,所以最好可以養成定期更新 WordPress 的習慣,或者啟動自動更新的功能。
SiteGround 的 WP Auto Update 工具
如果你是 SiteGround 的用戶,你可以使用他們的「WordPress Autoupdate」工具來進行 WordPress 的自動更新以提升網站的安全性。
你可以分別設定「重要版本」、「次要版本」或是「外掛」更新發布後多久自動進行更新。
利用 WordPress 系統自動更新
如果你的虛擬主機廠商沒有提供 WordPress 自動更新的功能,你也可以直接使用 wp-config.php 檔案來啟動 WordPress 系統的自動更新。
如果你要啟用 WordPress 主要版本的自動更新,請加入下列代碼於 wp-config.php 檔案當中,你可以在 WordPress 的安裝根目錄底下找到這個檔案。
define('WP_AUTO_UPDATE_CORE', true);啟用外掛自動更新
add_filter( 'auto_update_plugin', '__return_true' );啟用佈景主題自動更新
add_filter( 'auto_update_theme', '__return_true' );佈景主題的自動更新只有在當你的主題是在 WordPress 佈景主題資料庫裏頭安裝的才會生效,付費的主題或是從第三方網站下載安裝的主題將不會自動更新。
手動進行 WordPress 更新
自動更新並不一定適合所有的網站,尤其是那些經過大量客製化或是使用許多外掛的網站,有時候更新反而會造成系統、外掛或是主題的相容性問題,這種情況下,手動更新也許會令人安心一點。
當看到有更新的提示時,
可以逐一進行手動更新,
如果一切順利,你的 WordPress 將會顯示升級成功的訊息。
4. 定期備份網站
備份網站也是有效提升 WordPress 網站安全性的做法之一。直接還原乾淨的備份,並將安全漏洞給修補起來,往往會比修復已經被駭客破壞過的網站來得省時和有效率。
請記住,沒有任何網站是 100% 安全的,就連國家層級的網站也時常發生被駭客入侵的情況,一般的個人網站或是商業網站當然也難以逃離駭客的魔爪,越有價值的網站越有可能成為駭客攻擊的目標。
因此,不管設定了多強或是多少道安全防護關卡,還是請別忘了定期備份你的網站。
備份 WordPress 網站並不困難,而且有多種方式可以進行備份。
SiteGround 的 Backup Tool
如果你是 SiteGround 的用戶,那你可以不用擔心備份的問題,因為不管你是哪一種方案, SiteGround 都有提供「每日備份」的服務,你可以在 Site Tools 的「Backups」當中進行額外的手動備份或是備份還原。
如果很不幸的你需要使用這些備份來還原你的網站,但是你又對自己的操作沒有信心的話,可以聯絡 SiteGround 的客服人員幫助你。
使用 WordPress 備份外掛
你也可以安裝 WordPress 外掛來備份你的 WordPress 網站。
UpdraftPlus 是最好的 WordPress 備份外掛之一,它很受歡迎而且有超過 200 萬的安裝數和平均 4.8 顆星的好評,它能讓你設定自動備份計畫,也可以幫助你在發生意外的時候恢復你的 WordPress 網站。你也可以使用它將備份儲存到各種雲端空間,像是 Dropbox 或是 Google Drive。
5. 安裝 SSL 憑證
安裝 SSL 安全通訊協定憑證可以加密網站和訪客之間的傳輸封包,增加 WordPress 的安全性與隱私性。
以往 SSL 憑證通常由憑證機構所頒發,虛擬主機廠商轉售給其消費者,價格可從每年 80 美元到數百美元不等。
所幸非營利組織 Let’s Encrypt 決定提供免費的 SSL 憑證給大眾使用,而且這個項目得到了 Google、Facebook、Mozilla 等公司的支持,所以有越來越多的虛擬主機公司提供免費的 SSL 憑證給用戶使用。
如果你的主機供應商沒有提供免費的 SSL 憑證,你也許會需要額外付費購買。
如果你是 SiteGround 的用戶,你可以在 Site Tool 當中的「SSL Manager」選項當中,免費安裝、啟動或是取消 Let’s Encrypt SSL 憑證,該憑證將會自動續訂,因此你不需要手動更新。
啟用 SSL 後,你的網站將會使用 HTTPS 進行數據傳輸而不是 HTTP,你還會在瀏覽器中看到你的網址旁邊出現代表安全的鎖頭圖示。
6. 安裝 Wordfence Security 外掛
Wordfence Security 是 WordPress 上最受歡迎的安全防護外掛之一,並且擁有超過 3 百萬以上的有效安裝以及 3,000 多個五星評價。
它提供防火牆、惡意軟體掃描、登入安全防護(2FA)和一個非常友善的使用者控制介面,你不必是網路安全專家也可以輕鬆使用該外掛保護你的網站。
它還能讓使用者查看有關網站的整體流量數據,這些報告將顯示網站上的駭客攻擊紀錄,讓你知道這些攻擊是來自於人類的手動攻擊或是自動的機器人攻擊,並且讓你封鎖發起攻擊的 IP 位置。
更多有關 Wordfence Security 的安裝教學與詳細介紹請參考:最受歡迎的 WordPress 防火牆和安全掃描外掛
7. 更改 WordPress 登入網址
許多駭客都知道 WordPress 網站的預設登入頁面的網址是 https://example.com/login 或是 https://example.com/admin,這樣一來給了駭客們很好的機會嘗試破解你的網站密碼並登入你的網站。
使用「WPS Hide Login」外掛(免費)可以變更並自行設定登入頁面的網址,以保護你的 WordPress 網站不容易被駭客嘗試暴力破解密碼。
8. 限制登錄嘗試次數
「Loginizer Security」是一款可以防止駭客暴力破解 WordPress 密碼的外掛(免費),它可以幫助你在達到允許的最大密碼重試次數後封鎖對方 IP 來抵禦攻擊。
9. 啟動雙重認證(2FA)
雙重認證(英語:Two-factor authentication,縮寫為 2FA),又稱為兩步驟驗證(2-Step Verification),是目前許多大型公司網站所信任的安全登入方式。
安裝「Two Factor Authentication」外掛之後,將可以添加雙重認證功能在 WordPress 的登入頁面,使用者必須要額外輸入由特定軟體(例如:Google Authenticator)產生的隨機密碼才能登入,這個密碼只會保留 30 秒並且不斷地更新以確認其安全性不被破解。
10. 禁用 WordPress XML-RPC
XML-RPC 是一個遠端程序呼叫的分散式計算協定,它可以讓 WordPress 的使用者用遠端遙控的方式發布文章,但是也讓駭客們利用它來嘗試破解網站的登入密碼,如果你不需要遠端發布文章的功能,你應該關閉它。
最簡單的禁用方式是安裝「Disable XML-RPC」外掛,當你安裝這個外掛之後,它會自動幫你添加關閉 XML-RPC 的代碼到你的網站中,所以你什麼都不用做。
或是,你也可以使用 cPanel 底下的「File Manager」在 WordPress 的根目錄當中找到 .htaccess 檔案,並且將下列代碼加入檔案之中,以禁用 xmlrpc.php 檔案。
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>但是,請記住,某些外掛可能會使用 XML-RPC 的功能,因此完全禁用它可能會導致這些外掛停止工作,請依照網站的需求來評估是否需要禁用 XML-RPC。
結論
如同你所看到的,有許多方法可以強化 WordPress 的安全性。
使用高強度複雜的密碼、保持系統核心和外掛在最新版本,並且選擇一個可靠的 WordPress 主機供應商,至少做到這 3 項,就可以讓你的 WordPress 網站在大部分的情況下安全的運行。
不要讓辛苦建立的網站付之一炬,所以趁早花一些時間來提升網站的安全性是很划得來的。
如果你有其他我沒有提到的提升 WordPress 安全性方法,歡迎在底下留言給我。
如果你喜歡這篇文章,請記得分享給你的好友,或是用電子郵件訂閱本網站,有新文章發佈時,我會在第一時間通知你,也別忘了到我的粉絲專頁幫我按個讚。
如果你對本篇文章有任何問題,歡迎你在下方留言,我會盡快回覆你。