不管是部落格還是電子商務型網站,WordPress 安全性強化都是很重要的課題.

畢竟WordPress是個使用者數量龐大的架站工具,難免會成為某些有心人的目標。

其實,WordPress 開發團隊非常重視安全性,但就算我們住在有嚴密保安的社區裡,出門的時候也是會主動鎖好門窗,道理是一樣的,網路上也有很多壞人,無時無刻的在掃瞄有漏洞的網站、伺服器。

這篇文章會分享幾個基本方法,但卻能有效增加WordPress 的安全性,讓網路駭客們沒這麼容易入侵我們的網站。

你會學到

  1. 掃描網站狀況
  2. WordPress基礎安全性強化
  3. WordPress網站備份教學

掃描網站安全狀況

那要怎麼知道我現在的WordPress 網站安不安全呢?

如果你的WordPress 網站剛架好,大致算安全不用太擔心,但如果網站架設很久,卻沒定期更新修補漏洞,又常常裝來路不明的主題、外掛,那就要注意了,如果出現漏洞被植入惡意程式,那網站可是會被google或各大防毒公司列為黑名單喔。

您要造訪的網站含有惡意軟體

 

為了避免這種情形,可以使用sucuri提供的免費網站掃描服務,幫你的WordPress 網站做個檢查,了解自己的網站目前安不安全。

sucuri簡介
sucuri是2010年成立的資安公司,也是網站安全領域上的專家,為許多客戶提供網站監控、保護、修復、優化..等專業的網站安全解決方案,也提供免費的線上網站安全掃描服務,幫助站長了解自己網站的安全狀況。

進入sucuri免費網站安全掃描,將你要掃描的網站輸入後選擇「Scan wwbsite」開始掃描。

 

掃描完後,最上面會列出掃描結果如下圖,可以看出網站並沒有發現惡意軟體,也不在9個安全資料庫(Google、諾頓、McAfee..等)的黑名單之中。

你的WordPress網站掃描結果和我一樣的話,那就可以鬆一口氣了,但如果掃描結果出現警告訊息,那就要注意了,要連絡你的虛擬主機客服協助處理或付費請sucuri幫你修復網站囉。

 

 

WordPress基礎安全性強化

WordPress很多安全性設定其實還蠻麻煩的,如果不熟悉修改.htaccess這類文件,可能出現反效果越改越糟糕,所以這裡分享一些初學者不用修改代碼,也能自行操作的安全性強化技巧。

WordPress保持最新版本

是的,因為WordPress會不定期發佈安全性更新,我們只要保持在最新版本,就能修補一些安全上的漏洞,只要到「控制台」→「更新」就能一鍵將WordPress更新到最新版本。

當然也別忘了外掛和佈景主題的更新,只有簡單的幾個動作,就能降低被入侵的風險。

提高帳號和密碼的複雜度

管理員帳號不要用簡單的帳號密碼,像是admin、password、login、123456,這些懶人帳號密碼都是駭客們鎖定的目標。

雖然複雜的帳號密碼自己也很難記,但能簡單有效的強化WordPress安全性。

如何設定高強度密碼:

  • 至少八個字元
  • 英文、數字、符號混合使用
  • 重要的帳號避免和其他密碼重複
  • 可以使用信任的密碼管理工具

選擇安全的虛擬主機

我們不需要站第一線面對駭客

所以選擇安全的WordPress主機很重要,怎樣才算安全的主機呢?

我認為需以下幾點很重要:

  1. 會主動更新已知的安全漏洞
  2. 最新版本和PHP、MySQL
  3. 伺服器主動監控、修復
  4. 自動備份檔案
  5. WAF防火牆
  6. 免費的SSL
  7. 全天候的客服支持

選擇安全性高的虛擬主機,遇到各種網路攻擊可以交給專業的資安人員來處理,就算不幸遇出事了,也能立刻找到專業的客服人員協助。

因為我完全不懂伺服器安全維護,所以選擇虛擬主機時,會找能幫我完全管理伺服器安全的虛擬主機商。

本站使用「SiteGround」主機

 

WordPress登入保護

一搬來說,如果沒有特別設定,WordPress網站都是使用同樣的預設登入位置

這代表,所有人都可以透過wp-admin或wp-login.php,試著登入你的網站,假如密碼設定的很簡單的話,那如果遇到暴力破解,可能一下就被取得網站的控制權了。

那為了避免這種情況,可以安裝限制登入次數的外掛,來預防有心人不斷嘗試你的帳號和密碼。

Limit Login Attempts 

能保護WordPress登入外掛也不少,我蠻喜歡這款免費的Limit Login Attempts,有別於其他外掛有太多額外的功能,它只單純提供WordPress登入限制保護。

如果想裝輕巧的外掛,那Limit Login Attempts肯定是不錯的選擇,而且提供中文設定介面,就算是初學者操作也是零難度。

安裝啟用後,在控制面板→「設定」→「Limit Login Attempts」

就可以依照你的需求來設定,可以設定登入錯誤嘗試次數,超過次數後鎖定的時間,也能選擇是否要記錄被鎖定的IP。

 

如果有人登入錯誤次數太多被鎖定,那就會看到下圖的拒絕登入畫面,雖然是輕量級的外掛但絕對能有效保護WordPress後台登入喔。

cPanel密碼保護後台

如果你是租用虛擬主機架設WordPress,可以透過cPanel內建的「密碼保護目錄」功能,將WordPress的管理後台「wp-admin」在加上一道登入程序,和原本的登入帳號加起來等於有了雙重保護。

下面使用siteground的cPanel示範,其他虛擬主機的cPanel設定也大同小異。

第一步.登入你的cPanel控制台,找到「密碼保護的目錄」後點選進入

第二步.選擇「WEB根目錄」後點選「移至」

第三步.進入你安裝WordPress的目錄後如下圖,有多個資料夾選擇,這裡我們選擇保護「wp-admin」這個WordPress管理員的目錄,注意這裡是點選文字直接保護整個目錄,而不是點選資料夾圖示。

第四步. 勾選「密碼保護這個目錄」之後再輸入你自訂的目錄名稱後按下「儲存」

第四步. 接著建立可以登入這個目錄的使用者帳號,輸入使用這名稱和密碼後,新增授權的使用者 ,記得不要和原本的WordPress控制台的帳號密碼設定一樣喔。

 

第五步. 設定完成,之後如果要登入「wp-admin」,就會先跳出登入驗證,等於多了額外的一層密碼保護囉。

WordPress小提示

有人可能會問怎麼只設定保護「wp-admin」目錄,「wp-login.php」不需要設定嗎?

是的,因為我們從「wp-login.php」輸入帳號密碼登入後,會自動轉到「wp-admin」這個目錄,這時會一樣會跳出我們自訂的密碼保護喔。

安裝防火牆

除了上面介紹的一些設定,也有許多站長選擇安裝外掛防火牆來保護WordPress網站。

如果想幫WordPress裝一個強大的防火牆,那我推薦Wordfence Security,超過兩百萬人安裝,是WordPress最受歡迎的免費防火牆、安全性外掛。除了協助監控網站的情況,還有下列特點。

  • 阻擋已知的惡意攻擊
  • 掃描網站是否有安全漏洞
  • 防止網站被暴力登入
  • 免費防火牆
  • 檢查有核心文件無被竄改
  • 偵測網站文章、評論有無可疑連結

Wordfence Security除了免費版之外,也能依的需求升級付費使用,缺點是目前沒有提供中文版,可以設定的也功能真也太多了,如果主機效能太爛的話那可能不適合安裝。

 

WordPress網站定期備份

當然,我希望永遠不要用到備份的一天..

但沒有100%安全的網站,不管我們幫WordPress網站加入多少安全防護,還是要保持良好的備份習慣,就算真的有甚麼萬一,也能透過備份檔案來還原網站資料。

如果你不知道該如何手動備份WordPress,那你可以試試下面幾個目前最常見的備份外掛,這幾款外掛,不管是文章、主題、外掛、設定..等,都能輕鬆備份、複製整個WordPress網站。

 

 

All-in-One WP Migration教學

這裡以「All-in-One WP Migration」示範如何全站備份WordPress網站資料.

安裝完後在「控制面板」進入「All-in-One WP Migration」

預設是全部備份,可以點選進階選項將不需要的備份的資料勾選,可以降低備份檔案的大小,勾選完後點選「匯出」,免費版只能將備份資料存放本機和下載到自己電腦裡喔。

 

要下載回來的話,點選綠色的按鈕將剛剛的備份檔下載到電腦裡,副檔名為.wpress。

 

在「控制面板」→「All-in-One WP Migration」→「備份」

可以看到所有備份的檔案,但因為會佔主機空間,也為了避免害駭客入侵主機把備份檔一起刪了,建議將備份檔下載回電腦裡保存,並定期刪除過去的備份喔。

 

如果網站不幸被破壞,那需要只要從新架設WordPress後,在安裝「All-in-One WP Migration」外掛,把之前備份的.wpress檔案匯入就可以讓網站重新復活。

 

 

小提醒: All-in-One WP Migration免費版本檔案匯入上限512 MB

 

一般新手站長最容易忽略網站備份的重要性,等到網站被破壞了時侯才後悔就有太晚了,所以選一款適合自己的備份工具,可以的話將備份儲存在其它雲端硬碟上,若沒有適合的雲端硬碟也可以將備份檔下載回電腦裡喔。

除了上面分享的方法,還可以參考這篇cloudflare 設定教學,使用cloudflare來強化網站的的安全性喔。

 

 

 

最後修改日期: 四月 3, 2019

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。