「中年大叔的秘密武器,WordPress 網站獲利攻略大揭密!」

WordPress 自架網站 DIY

基本流程教學

WordPress 進階內容

優化維護

Elementor 網頁編輯

指令、教學

WooCommerce 購物車

設定、金流教學

Wordpress 安全維護:如何打造安全性 100 分的網站

Wordpress 安全維護:如何打造安全性 100 分的網站

安全性是網站設計中不可忽視的核心要素。


WordPress 是目前最受歡迎的內容管理系統之一,由於其廣泛的普及性,使得它成為駭客攻擊的常見目標。


儘管 WordPress 本身具有一定的安全性,但加強安全措施可以大幅度降低網站被攻擊的風險,並確保網站和用戶數據的安全。


做為一家企業,對於公司的安全性是零容忍,但是實體企業我們可以安裝監視器、聘請保全,但在網上的網站,要如何保障用戶數據和交易安全呢?


我們將從不同角度探討如何確保網站的安全性,幫助大家在建立網站時能夠更有信心。


WordPress 的安全現狀

  • 開源性:WordPress 是開源的,這意味著任何人都可以查看其源代碼並尋找漏洞。這既是一個優點,因為有大量開發者在改善其安全性,但也使它成為駭客研究的對象。
  • 插件和主題漏洞:許多 WordPress 網站的安全問題來自於第三方插件和主題的漏洞。一些插件和主題沒有經過安全審核,可能帶來潛在的安全威脅。
  • 廣泛使用:WordPress 是世界上最受歡迎的 CMS 系統,因此成為攻擊者的主要目標。通過常見的攻擊方式如暴力破解、SQL 注入、跨站腳本攻擊(XSS)等,攻擊者會試圖利用網站的漏洞。

  • 簡單小結一下,WordPress 網站的安全性問題,通常來自管理者而非系統,安裝了不明來源的外掛,或是沒有足夠的管理經驗,所以避免使用來路不明的外掛,以及強化帳號管理的安全性,就是簡單且有有用的提高安全性的方法。




    如何強化 WordPress 的安全性


    #1 保持 WordPress 核心、插件和主題的更新

    保持更新 WordPress 的核心、所有的外掛和主題到最新版本,可以避免被已知漏洞攻擊。


    WordPress 後台有提供一鍵更新功能。請記得有空就看一下。


    不用的外掛和主題和主題仍然可能會成為攻擊的目標,因此應該刪除所有未使用的外掛和主題。





    #2 使用強密碼和雙重驗證

    目前比較主流的密碼管理有幾個重點:第一,強密碼。確保所有使用者帳戶(包括管理員)的密碼強度足夠,並定期更改密碼。強密碼應包括大小寫字母、數字和特殊字符。


    第二,雙重驗證(2FA)。啟用雙重驗證可以增加登錄安全性,即使密碼被洩露,也可以通過雙重驗證阻止未授權的訪問。我個人是使用比較簡單的 Two-Factor 外掛。




    #3 隱藏登錄頁面

    為了避免有人進入登錄頁面暴力破解密碼,更改登錄頁 URL 是一個容易的方法, WordPress 默認的登錄頁面是 /wp-login.php 或 /wp-admin,這使得攻擊者可以輕易地找到登錄入口。


    所以使用插件(如 WPS Hide Login)來更改登錄 URL,可以減少攻擊者找到登錄頁的機會。


    如果你有 PHP 程式能力,也可以修改 function.php 文件來登錄頁面或是避免不肖人士的訪問。




    #4 限制登錄嘗試

    暴力破解是一種常見攻擊,攻擊者會通過多次嘗試猜測密碼來入侵網站。可以使用外掛如 Limit Login Attempts Reloaded 來限制登錄嘗試次數,並在多次失敗後暫時鎖定帳戶。




    #5 安裝防火牆和安全插件

    網站防火牆(WAF):WAF 可以過濾惡意流量和可疑請求,阻止未經授權的訪問。

    Cloudflare 都提供網站防火牆功能,可以有效防禦大多數攻擊。


    WordPress 有許多外掛提供多重安全保護,這些插件可以提供暴力破解防護、文件完整性檢查、惡意軟件掃描等功能。


    推薦使用 Cloudways 主機,因為它不只提供 Cloudflare CDN 的服務,同時它和 BlogVault Malcare 合作推出了一種名為 Bot Protection 的新的一站式解決方案。


    Bot Protection 旨在識別和阻止惡意流量,並防止字典攻擊、Web Scraping、XMLRPC 攻擊和蠻力攻擊等攻擊。它還有助於減少 WordPress 應用程式的伺服器資源使用量。


    一鍵打開就可以了,使用方便。




    #6 使用 HTTPS

    安裝 SSL/TLS 證書:通過 SSL 證書將網站從 HTTP 轉換為 HTTPS,加密用戶和伺服器之間的數據傳輸,防止敏感信息(如密碼和信用卡號碼)在傳輸過程中被竊取。許多主機提供免費的 SSL/TLS 證書,例如 Let’s Encrypt。


    我們在 如何在 Cloudways 主機上完成 SSL 憑證設定 已經有詳細的說明了。




    #7 定期備份網站

    定期備份網站數據,以防止網站因攻擊而喪失重要信息。使用插件如 UpdraftPlus 或 Jetpack 來自動備份網站並將備份存儲在雲端服務(如 Google Drive 或 Dropbox)中。


    全站備份:確保備份不僅包括數據庫,還包括所有網站文件,以便在網站遭受攻擊或出現問題時可以完全恢復。


    使用 Cloudwasys 主機每天自動備份,讓你可以放心使用。




    #8 使用 CDNs 提升安全性

    使用內容分發網絡(CDN)如 Cloudflare,這不僅可以提高網站的加載速度,還能提供額外的 DDoS 防護,減少分佈式拒絕服務攻擊的風險。




    #9 禁止 XML-RPC

    XML-RPC 接口可以用於遠程發布文章,但它也常被攻擊者利用來進行暴力破解攻擊。


    儘管 XML-RPC 功能強大,但它也存在一些潛在的安全風險,特別是在如今已有其他更安全的 API(如 REST API)可以替代它的情況下:

  • 暴力破解攻擊:
    • XML-RPC 允許通過遠程執行多個登錄嘗試,這使得攻擊者能以相對簡單的方式進行暴力破解攻擊。例如,攻擊者可以一次發送多個登錄嘗試而不被伺服器鎖定,這增加了暴力破解的成功率。
  • DDoS 攻擊:
    • XML-RPC 還被用來發起 DDoS(分布式拒絕服務)攻擊,攻擊者可以利用一些方法發送大量的請求,從而使網站過載,導致伺服器資源耗盡而無法正常運行。

    除非有特定需求(如使用第三方工具來發布),建議禁用 XML-RPC 功能。禁用 XML-RPC 在 Cloudways 非常方便,只需要在後台的 Application Setting 找到 WordPress Settings 將 XMLPRC Access 打開。





    結論 & 心得

    WordPress 的系統的安全性其實不用過多擔心,我們可以從文章中知道,只要保持軟體更新、加上使用 CDNs 和設定,就可以提升網站的安全強度。


    比較需要注意的是「管理者習慣」。從保持軟件更新、使用強密碼、2FA,這都要靠網站管理人員的習慣,它們都會提高管理上的成本、變得麻煩,但也是因為提高困難,所以讓網站更加安全。


    透過上面提到的安全強化方法,你可以顯著提升 WordPress 網站的安全性,保護網站免受潛在威脅。

    目錄:
    WordPress 安全維護:如何打造安全性 100 分的網站

    留言給我