Wordpress 安全維護：如何打造安全性 100 分的網站

安全性是網站設計中不可忽視的核心要素。

WordPress 是目前最受歡迎的內容管理系統之一，由於其廣泛的普及性，使得它成為駭客攻擊的常見目標。

儘管 WordPress 本身具有一定的安全性，但加強安全措施可以大幅度降低網站被攻擊的風險，並確保網站和用戶數據的安全。

做為一家企業，對於公司的安全性是零容忍，但是實體企業我們可以安裝監視器、聘請保全，但在網上的網站，要如何保障用戶數據和交易安全呢?

我們將從不同角度探討如何確保網站的安全性，幫助大家在建立網站時能夠更有信心。

WordPress 的安全現狀

• 開源性：WordPress 是開源的，這意味著任何人都可以查看其源代碼並尋找漏洞。這既是一個優點，因為有大量開發者在改善其安全性，但也使它成為駭客研究的對象。
• 插件和主題漏洞：許多 WordPress 網站的安全問題來自於第三方插件和主題的漏洞。一些插件和主題沒有經過安全審核，可能帶來潛在的安全威脅。
• 廣泛使用：WordPress 是世界上最受歡迎的 CMS 系統，因此成為攻擊者的主要目標。通過常見的攻擊方式如暴力破解、SQL 注入、跨站腳本攻擊（XSS）等，攻擊者會試圖利用網站的漏洞。

簡單小結一下，WordPress 網站的安全性問題，通常來自管理者而非系統，安裝了不明來源的外掛，或是沒有足夠的管理經驗，所以避免使用來路不明的外掛，以及強化帳號管理的安全性，就是簡單且有有用的提高安全性的方法。

如何強化 WordPress 的安全性

#1 保持 WordPress 核心、插件和主題的更新

保持更新 WordPress 的核心、所有的外掛和主題到最新版本，可以避免被已知漏洞攻擊。

WordPress 後台有提供一鍵更新功能。請記得有空就看一下。

不用的外掛和主題和主題仍然可能會成為攻擊的目標，因此應該刪除所有未使用的外掛和主題。

#2 使用強密碼和雙重驗證

目前比較主流的密碼管理有幾個重點：第一，強密碼。確保所有使用者帳戶（包括管理員）的密碼強度足夠，並定期更改密碼。強密碼應包括大小寫字母、數字和特殊字符。

第二，雙重驗證（2FA）。啟用雙重驗證可以增加登錄安全性，即使密碼被洩露，也可以通過雙重驗證阻止未授權的訪問。我個人是使用比較簡單的 Two-Factor 外掛。

#3 隱藏登錄頁面

為了避免有人進入登錄頁面暴力破解密碼，更改登錄頁 URL 是一個容易的方法， WordPress 默認的登錄頁面是 /wp-login.php 或 /wp-admin，這使得攻擊者可以輕易地找到登錄入口。

所以使用插件（如 WPS Hide Login）來更改登錄 URL，可以減少攻擊者找到登錄頁的機會。

如果你有 PHP 程式能力，也可以修改 function.php 文件來登錄頁面或是避免不肖人士的訪問。

#4 限制登錄嘗試

暴力破解是一種常見攻擊，攻擊者會通過多次嘗試猜測密碼來入侵網站。可以使用外掛如 Limit Login Attempts Reloaded 來限制登錄嘗試次數，並在多次失敗後暫時鎖定帳戶。

#5 安裝防火牆和安全插件

網站防火牆（WAF）：WAF 可以過濾惡意流量和可疑請求，阻止未經授權的訪問。

Cloudflare 都提供網站防火牆功能，可以有效防禦大多數攻擊。

WordPress 有許多外掛提供多重安全保護，這些插件可以提供暴力破解防護、文件完整性檢查、惡意軟件掃描等功能。

推薦使用 Cloudways 主機，因為它不只提供 Cloudflare CDN 的服務，同時它和 BlogVault Malcare 合作推出了一種名為 Bot Protection 的新的一站式解決方案。

Bot Protection 旨在識別和阻止惡意流量，並防止字典攻擊、Web Scraping、XMLRPC 攻擊和蠻力攻擊等攻擊。它還有助於減少 WordPress 應用程式的伺服器資源使用量。

一鍵打開就可以了，使用方便。

#6 使用 HTTPS

安裝 SSL/TLS 證書：通過 SSL 證書將網站從 HTTP 轉換為 HTTPS，加密用戶和伺服器之間的數據傳輸，防止敏感信息（如密碼和信用卡號碼）在傳輸過程中被竊取。許多主機提供免費的 SSL/TLS 證書，例如 Let’s Encrypt。

我們在 如何在 Cloudways 主機上完成 SSL 憑證設定 已經有詳細的說明了。

#7 定期備份網站

定期備份網站數據，以防止網站因攻擊而喪失重要信息。使用插件如 UpdraftPlus 或 Jetpack 來自動備份網站並將備份存儲在雲端服務（如 Google Drive 或 Dropbox）中。

全站備份：確保備份不僅包括數據庫，還包括所有網站文件，以便在網站遭受攻擊或出現問題時可以完全恢復。

使用 Cloudwasys 主機每天自動備份，讓你可以放心使用。

#8 使用 CDNs 提升安全性

使用內容分發網絡（CDN）如 Cloudflare，這不僅可以提高網站的加載速度，還能提供額外的 DDoS 防護，減少分佈式拒絕服務攻擊的風險。

#9 禁止 XML-RPC

XML-RPC 接口可以用於遠程發布文章，但它也常被攻擊者利用來進行暴力破解攻擊。

儘管 XML-RPC 功能強大，但它也存在一些潛在的安全風險，特別是在如今已有其他更安全的 API（如 REST API）可以替代它的情況下：

1. 暴力破解攻擊：
   • XML-RPC 允許通過遠程執行多個登錄嘗試，這使得攻擊者能以相對簡單的方式進行暴力破解攻擊。例如，攻擊者可以一次發送多個登錄嘗試而不被伺服器鎖定，這增加了暴力破解的成功率。
2. DDoS 攻擊：
   • XML-RPC 還被用來發起 DDoS（分布式拒絕服務）攻擊，攻擊者可以利用一些方法發送大量的請求，從而使網站過載，導致伺服器資源耗盡而無法正常運行。

除非有特定需求（如使用第三方工具來發布），建議禁用 XML-RPC 功能。禁用 XML-RPC 在 Cloudways 非常方便，只需要在後台的 Application Setting 找到 WordPress Settings 將 XMLPRC Access 打開。

結論 & 心得

WordPress 的系統的安全性其實不用過多擔心，我們可以從文章中知道，只要保持軟體更新、加上使用 CDNs 和設定，就可以提升網站的安全強度。

比較需要注意的是「管理者習慣」。從保持軟件更新、使用強密碼、2FA，這都要靠網站管理人員的習慣，它們都會提高管理上的成本、變得麻煩，但也是因為提高困難，所以讓網站更加安全。

透過上面提到的安全強化方法，你可以顯著提升 WordPress 網站的安全性，保護網站免受潛在威脅。