WordPress網站安全
WordPress網站安全

確保 WordPress 網站安全的 12 種方法

我們將探討如何透過12種有效的策略保護您的WordPress網站安全,這篇指南將為您提供必要的步驟和工具,幫助您避免常見的安全威脅,確保您的網站免受攻擊。
目錄
35mm film photography on computer screen
確保網站安全

安全威脅並非 WordPress 網站獨有。每個平台,無論是私有平台還是開源平台,都在遭受全天候的攻擊。

幸運的是,WordPress 社區提供了許多解決方案來簡化這項工作,以下是保護 WordPress 網站免受安全威脅的幾個關鍵步驟。

如何保護 WordPress 網站的 12 種方法

為了減少惡意活動和漏洞,所有 WordPress 網站使用者都應該看看這 12 種方法,並應用在自己的 WordPress 網站中。

遵循這些最佳實踐步驟將有助於確保 WordPress 網站準備好迎接每天都在刺探網站的駭客攻擊,讓我們更詳細地討論一下每一個。

添加HTTPS/SSL

Really Simple SSL

到目前為止,大多數網站都在使用HTTPS。但是,如果您的網站未使用 HTTPS,請諮詢您的主機託管商以了解添加免費 SSL 證書的情況。

只需使用 https:// 設置 WordPress 網址。

如果網站從不安全狀態升級到安全狀態,那麼 Really Simple SSL 外掛(超過 400 萬個網站使用)值得研究,因為它確實透過處理轉址和其他相關任務簡化了到 HTTPS 的轉換。

Really Simple SSL 還透過提供添加安全鎖頭的選項來幫助緩解點擊劫持和跨站點偽造攻擊等安全威脅。

如今,安裝 SSL 證書是一件容易的事!許多網路主機提供免費的 SSL 證書——此外,這是 Google 眾所周知的排名因素

轉換為 HTTPS 後,最好檢查沒有頁面請求 HTTP 連結或內容,檢查混合內容是必須的。混合內容是指從HTTPS 頁面連結到不安全的網站資產(指令碼、圖片、影片等)。

選擇高安全性的主機

代管 WordPress 網站時,選擇一個安全性高的主機是確保您網站安全運行的重要一步。以下是一些選擇高安全性主機的建議:

  1. 專門的 WordPress 主機
    考慮選擇專為 WordPress 最佳化的主機提供商,這些主機提供商通常會針對 WordPress 的特定需求進行優化,提供更好的性能和安全性。
  2. SSL 支援
    確保主機支援 SSL協議,這是保證數據在網站和訪問者之間安全傳輸的基本手段。SSL 協議通常通過 HTTPS 提供,並使您的網站在瀏覽器中顯示為安全。
  3. 網路應用程式防火牆(WAF)
    選擇一個提供網路應用程式防火牆(WAF)功能的主機。WAF 可以檢測和防止許多常見的網站攻擊,增強網站的安全性。
  4. 即時備份和恢復功能
    了解主機是否提供即時備份和恢復功能。這能夠幫助您在發生問題時快速還原網站到先前的狀態。
  5. 強大的登入安全性措施
    主機應該實施強大的登入安全性措施,例如雙因素驗證(2FA)和登入失敗次數的監控。這有助於防止惡意登入攻擊。
  6. 定期的安全性掃描和監控
    確保主機提供定期的安全性掃描和監控服務,以及即時通知您有關任何潛在安全問題的警報。
  7. 支援最新 PHP 和 MySQL 版本
    使用支援最新 PHP 和 MySQL 版本的主機,以確保您可以享受到最新的安全性更新和性能優化。
  8. 客戶支援
    選擇一家提供優質客戶支援的主機,這樣在面臨問題時可以迅速獲得幫助。
  9. 用戶評價和評論
    在選擇主機之前,閱讀其他用戶的評價和評論,以了解主機的實際性能和安全性。

請記得主機的選擇可能取決於您的預算和特定需求,因此在做出決定之前,請仔細考慮不同主機提供商的特點和價值。

建議閱讀:什麼是VPS主機?VPS雲端主機適合誰用?跟虛擬主機的差異?

使用安全的管理員使用者名稱

絕大多數針對 WordPress 登入頁面的安全攻擊都是使用使用者名稱 「admin」 完成的。

嘗試破解登入密碼的攻擊主要有兩種:

  • 暴力攻擊:暴力攻擊是指自動駭客軟體嘗試使用不同的單詞、字母和數字組合來猜測管理員密碼。
  • 字典攻擊:字典攻擊是指駭客軟體使用普通密碼來嘗試猜測管理員密碼。

在許多情況下,這些軟體使用的管理員名稱是「admin」。

不使用 「admin」 一詞作為使用者名稱是一個簡單的步驟,有助於保護 WordPress 網站。

為了更進一步,您可以使用 Wordfence 安全外掛建立防火牆規則,以自動阻止任何試圖使用使用者名稱 admin 登入的人或機器人。

更改登入網址

更改 WordPress 登入頁面網址最常見且最簡單的方法是使用免費外掛,如 WPS Hide Login,目前此外掛啟用安裝的次數超過一百萬。

這個外掛非常輕巧,更重要的是,它並不會重新命名或變更核心程式檔案,而是為網站新增重寫規則,它會攔截頁面要求,能在任何 WordPress 正確執行。

WordPress%E7%99%BB%E5%85%A5 2

建議閱讀:如何修改WordPress登入頁面網址?必知的提升網站安全性技巧

強制使用高強度密碼

sign user password privacy concept
使用高強度密碼

不允許任何人,尤其是具有管理員權限的使用者建立不安全的密碼。

即使是網站權限較低的用戶(如訂閱者級別)也可能成為攻擊媒介。因此,對所有可以登入 WordPress 網站的人強制使用高強度密碼非常重要。

流行的 iThemes Security WordPress 外掛擁有超過 100 萬用戶,提供登入密碼高強度強制執行以及雙重驗證。

還可以使用 Wordfence WordPress 安全外掛啟用強制使用高強度密碼的密碼安全策略。

更新外掛和主題

updated upgrade new download improvement concept
更新網站!

對外掛、佈景主題和核心 WordPress 安裝本身的一些更新是為了修復漏洞,未能更新軟體可能導致網站變得易受攻擊。

大多數更新工作正常。在極少數情況下,更新可能會改變軟體中的某些內容,開始與另一個外掛或主題發生衝突,從而導致網站錯誤。

如果發生這種情況,如果網站已備份,則很容易將網站回復到以前的狀態。

更新外掛和佈景主題的最佳方法是建立測試網站並檢查網站是否可以使用更新的軟體正常運行,但是,如果您無法建立測試網站,第二個選項是備份網站然後更新它。

測試網站以確保一切正常,如果網站出現故障,則使用備份將其回復到更新前。

盡量減少外掛的使用

安裝的每個外掛都會增加將網站暴露於漏洞的可能性。

除了安全原因,使用過多的外掛會影響網站性能,並增加兩個或多個外掛之間的代碼發生衝突並導致網站故障的可能性。

提前計劃要使用哪些外掛來完成所需的工作,有一些外掛可以完成多項任務,無需安裝獨立外掛即可完成同一件事。

實施雙重驗證/兩步驟驗證

雙重驗證需要兩種形式的身份驗證,才能登入到啟用此功能的 WordPress 網站。

第一個是使用者名稱和密碼。

第二個是第二種身份驗證形式,通常使用使用者手機上的 Authy 或 Google Authenticator 等應用程式。

因此,即使駭客獲得了使用者名稱和密碼的訪問權限,如果沒有第二次身份驗證,他們也無法登入。

有許多 WordPress 外掛可供選擇以添加此功能,包括:

WP 2FA

WP 2FA 是添加雙重驗證的流行選擇。

它支持多種雙重驗證方法,包括 Google Authenticator、Authy、電子郵件連結、電子郵件 OTP 和推送通知。

Pro 版本還提供其他方法,例如語音和 WhatsApp 身份驗證。

Wordfence 登入安全

Wordfence 是一個值得信賴的品牌。其獨立的雙重驗證外掛支持 Authenticator、Authy、1Password 和 FreeOTP。

此外,像 WordfenceiThemes Security 這樣的安全外掛也有開啟雙重驗證的選項。

新增安全相關的程式碼

為了加強您的 WordPress 網站的安全性,您可以添加一些安全方面的程式碼片段。以下是一些示例程式碼,可將其放入您的 WordPress 主題的 functions.php 檔案中,或使用自訂功能的方式加入到您的主題或子主題中。請注意,修改程式碼前請確保您有備份,以防萬一。

  1. 禁用 WordPress 版本號碼
    透過移除 WordPress 的版本號碼,您可以減少遭受已知漏洞攻擊的風險。將以下程式碼添加到 functions.php 檔案中:
   remove_action('wp_head', 'wp_generator');
  1. 限制登入錯誤訊息
    限制登入頁面錯誤訊息的顯示,以防止潛在攻擊者獲得有關登入資訊的訊息。將以下程式碼添加到 functions.php 檔案中:
   function limit_login_errors() {
       return "登入失敗,請再試一次。";
   }
   add_filter('login_errors', 'limit_login_errors');
  1. 強制使用安全連線(HTTPS)
    強制整個網站使用 HTTPS 連線,以確保資訊在傳輸過程中被加密。將以下程式碼添加到 functions.php 檔案中:
   if (!is_ssl()) {
       add_filter('wp_redirect', function ($location) {
           return str_replace('http://', 'https://', $location);
       }, 10, 2);

       add_filter('get_pagenum_link', function ($url) {
           return str_replace('http://', 'https://', $url);
       });
   }
  1. 禁用 XML-RPC 功能
    XML-RPC 可能被濫用來進行暴力破解攻擊,因此可以禁用它,除非您確定需要使用它。將以下程式碼添加到 functions.php 檔案中:
   add_filter('xmlrpc_enabled', '__return_false');

請記得在進行任何程式碼修改之前,確保您已經備份了您的網站,並在實際應用程式中進行測試以確保它們不會對網站造成不良影響。

安裝 WordPress 網站安全外掛

teenager boy playing computer laptop
安裝安全外掛防止駭客入侵

安全外掛很有用,因為它們可以關閉任何安全漏洞並阻止試圖利用這些漏洞的駭客。

有兩種 WordPress 網站安全外掛:

  • 加強安全和掃描。
  • 防火牆。

這裡有一些推薦工具。

Sucuri Security

Sucuri 是安全外掛的可靠選擇,它歸 GoDaddy 所有。

Sucuri 會掃描網站中的惡意軟件,並提供加強外掛以防止漏洞利用的選項。選擇 Sucuri 很容易,因為它補充了防火牆外掛,例如 Wordfence。

付費版本還包括一個防火牆。

Jetpack Protect

Jetpack Protect 由 WordPress.com、Akismet、WPScan 和 WooCommerce 等背後的公司 Automattic 創建。

Jetpack Protect 每天對 WordPress 核心、外掛和佈景主題執行惡意軟體掃描。

這個免費外掛相對較新——它在 2022 年被拆分成一個獨立的外掛。

Wordfence Security 

Wordfence 是 WordPress 安全的熱門選擇,有超過 400 萬個安裝。

Wordfence 充當防火牆,保護網站免受駭客攻擊,如果活動符合駭客的模式,則可以禁止自動駭客機器人和實際駭客。

使用者可以使用能夠立即阻止駭客的規則配置 Wordfence 防火牆。

Wordfence 還透過提供雙重驗證和在不應運行 PHP 的文件夾中禁用 PHP 執行來幫助加強網站免受駭客攻擊。

Wordfence 的另一個好處是當外掛需要更新時,外掛會發送電子郵件提醒。

Wordfence 的付費版本會收到防火牆規則,以在 Wordfence 知道最新漏洞時立即防止它們。

iThemes Security

iThemes Security 是一個 All-in-one 外掛,可以掃描和加強網站並像防火牆一樣阻止惡意機器人,有超過一百萬個安裝。

iThemes 處理許多與安全相關的活動,這使其成為那些喜歡一個外掛來完成所有工作的人的熱門選擇。

檢查您的 PHP 版本

PHP 的版本對於 WordPress 網站的安全性至關重要。使用過時的 PHP 版本可能使您的網站面臨安全風險,因為這些版本可能已經不再接收安全更新和修補。為了確保您的 WordPress 網站保持在最佳狀態,請進行以下步驟檢查您的 PHP 版本:

  1. 生命週期結束狀態 (EOL) 檢查
    PHP 有定期的生命週期,當一個 PHP 版本達到生命週期結束狀態時,它將不再接收任何安全更新。請確保您所使用的 PHP 版本尚未到達 EOL,以保證您的網站不受已知漏洞的影響。
  2. 最新的穩定版本
    始終使用最新的穩定 PHP 版本。新版本通常包含對安全性的改進和修補,以及性能優化。更新到最新版本可以提高您的網站的安全性並確保其正常運作。
  3. WordPress 兼容性
    請確認您選擇的 PHP 版本與您使用的 WordPress 版本兼容。有時,過早升級 PHP 可能與某些 WordPress 外掛或佈景主題不兼容,因此請在升級前檢查相容性。
  4. 安全性提示
    定期檢查 PHP 官方網站以獲取有關已知漏洞和安全性建議的訊息,這有助於您及早發現可能影響您的 PHP 版本的問題。

維護您的 PHP 版本是確保您的 WordPress 網站安全運行的重要一環。定期檢查並更新 PHP 版本,是保障您的網站免受潛在威脅的有效措施。

掃描線上漏洞

以下是三個可掃描漏洞或判斷網站是否已被駭客入侵的線上工具:

WordPress 安全的未來

截圖 2022 08 15 上午11.27.55
WordPress

駭客正在攻擊所有網站,無論使用何種內容管理系統 (CMS)。

WordPress 是世界上最流行的 CMS,這使其成為駭客的熱門目標。幸運的是,WordPress 有一個龐大的社區致力於保護它的安全,這是其他平台所沒有的優勢,所有 WordPress 網站所有者都應考慮花時間採取安全措施以確保其 WordPress 網站完全安全。

保障 WordPress 網站的安全性需要采取多層次、多方面的策略。持續關注安全性趨勢,使用最新的技術和最佳實踐,以及定期進行安全性檢查,都是確保網站在不斷變化的環境中保持安全的重要步驟。

*RAB瑞布科技提供 WordPress 網站安心管理維護服務,能夠處理 WordPress 網站遇到的許多問題及錯誤,並能初步為網站設下第一道防線,幫您備份網站、檢查外掛、主題等衝突問題。若遇到資安問題也可以緊急為您處理,協助檢查網站、還原網站。

資料來源:The WordPress Security Guide To Keep Your Site Safe

延伸閱讀:

各種ChatGPT及AI工具應用、指令手冊、解決方案,每週更新。
學習最新AI工具,就上Learn AI
AI如何讓工作更輕鬆、更有效率?立刻學習!
LA廣告-1
LA廣告-2
LA廣告-3
Related Post
最新文章
數位轉型
數位轉型是什麼?簡單說給你聽

數位轉型聽起來很複雜?其實它就是利用數位科技來提升效率、改善服務。這篇文章將用最簡單的方式,帶您了解數位轉型的概念與重要性。

Selected Post
精選文章
什麼是VPS主機
VPS主機是什麼?網站效能升級的最佳選擇!

現今,網站及應用程式的需求不斷增加。如果你不是一個專業的網站開發人員,你可能會對虛擬專屬伺服器(VPS)主機一知半解。本文將向你說明VPS主機及其優勢,以及什麼是主機代管,讓你更容易理解並做出明智的選擇。