搜尋 WordPress 安全性,映入眼簾的會是一堆 X 個方法提昇 WordPress 網路安全性、WordPress 弱點等結果,佔據世界網站 30% 的網站架構,究竟是「安全」的,還是「不安全」的這點還是有待爭論。
即便從 WordPress.com 中也不難找到官方推薦指南中,對於安全性的建議要點,大致上可以分為幾個方向:
- 從網站架構、備份著手
- 密碼與兩階段驗證
- 密碼的選用原則

密碼與資安意識的重要性在網站中更須注重
上述要點〈2〉密碼與兩階段驗證、〈3〉密碼的選用原則,其實很容易做到,簡單來說記得密碼在設定時,要使用高強度密碼(或以工具輔助產生複雜密碼),幫網站建立兩階段驗證機制(尤其是 admin 權限之使用者),使用完畢記得登出(尤其電腦不是隨身攜帶時)。
確切落實以上步驟,某種程度上就可以杜絕取得最高使用者權限後的侵擾,當你的管理者權限流落在外時,外部駭客可以任意更改網站中所有資訊、資料庫、程式,最終即便要修復、復元,處理起來難度也大幅提高。故除上述密碼使用原則外,不明連結、不明信件之附件等等都需要特別注意。
網站架構中,一般使用者,就可以調整來安全性的操作
- 核心定期升級至最新版
- 謹慎使用外掛,並且升級至最新版本
- 養成備份的好習慣
- 安全性外掛安裝
- 電腦中的防毒軟體
核心與外掛升級至最新版本:
WordPress 由 Automatics 維護,其實也是業界頂尖工程師,但因為使用的人數實在太多了,不同版本中,勢必存在著一些安全性的更新(就像是你的 Windows、手機 iOS 作業系統也需要定期更新一樣),才能補上之前的一些漏洞。
- 外掛的使用還要比核心升級更為謹慎,因為:
- 外掛開發者的意圖是怎樣?
- 外掛是否有維護
- 外掛是使用什麼系統建置而成
- 外掛是否具有不當/過高的系統權限
若是選用了不當的外掛,系統可能的漏洞就在外掛身上,進而竄改整個資料庫等的情況也不是沒有。遵循以下幾個選用外掛原則,大致上可以避免掉 90% 以上的問題:
選用知名/有信任度之外掛開發商
找有維護(最好是有支援最新版本或三個月內有更新)之外掛
不裝設來路不明之外掛(尤其只有檔案)
網站因應功能需求,裝設大量外掛是常見的事情(當然能避免是最好),如何去升級這些外掛保持最新版本、又不相衝突、確保功能都可以正常運作就是相對困難的事情,若不具備 debug 的能力,建議作法是一次僅升級一個外掛,然後做好下一個步驟的注意事項:『備份』。
備份你的網站:
電腦備份在以往非常重要,Mac 中使用時光機(Time Machine)備份也相當簡單(甚至你感覺不到他存在,重點就是在發生問題時,可以達到(1)快速還原、(2)具有重要資料保存的功能。
備份保存盡可能與主機位置錯開,做異地備份,才不會有狀況時備份資料也被污染。另外要注意的是備份頻率(通常會關係到空間或是備份之價格),若你的網站是純資料網站,就看文章更新的頻率去設定;若網站是隨時會有訂單或更新資料的電商、平台等,每小時或一天數次的備份就顯得相當必要。
安全性外掛與防毒軟體:
防毒軟體的重要性,太多文章說明,這裡就不多提,但要注意選用的防毒軟體不要是「假防毒,真駭客」的雞肋程式。
WordPress 安全性外掛存在的目的其實是整合一些安全性設置,讓不熟悉程式的人也能某種程度管控網站的權限,市面上有名的像是 Wordfence、iTheme Security 都可以安裝,通常裝完之後,會有幾個重點功能:
- 網站掃描,檢查是否有問題或風險的檔案
- 啟用網站層級之防火牆或相關阻擋設定,一般來說用次數限制,最後讓同 IP 或帳號被阻擋、進到黑名單是基礎層級的防護
- 提供兩階段驗證功能
- 觀看網站 404 或其他安全性的紀錄
- 進階細分使用者群組(限制管理階層的權限等)
- 黑/白名單設置
上面的項目都完成了,然後呢?
複習一下管控 WordPress 資安風險,一般 User 可以做到的事情:
- 升級核心,但不一定要最即時
- 外掛的慎選以及升級
- 安全防護外掛及其設定
- 帳號密碼意識與管控
- 資安意識:釣魚信件、連結、防毒軟體、電腦帳號安全
進階問題交給專業程式/服務商,讓網站有強力後盾
根據專業防護公司 Sucuri 報告指出,超過一半的 CMS (內容管理後台),沒有將系統升級至最新版,其中舊版本潛在的安全性漏洞,就是駭客著手的目標。
每次更新核心、更新外掛總是忐忑不安?或是不確定更新的時機、備份應如何進行嗎?CTK Pro 也維護多個客戶的網站,包含電商網站的為運、更新,除了低風險的更新外,我們也會協助將更新後的問題修正。當有相衝或更新 bug 時,若僅需幾行 code 可以解決的問題,我們會盡量協助客戶的外掛版本更新到最新。
除此之外 CTK 還會在主機端幫客戶多上一層保險,例如用上 WAF、Sucuri 等主機層級的安全防護,雖然在費用上可能會多一些,但防護的效力絕對不是等到 Hack 進到主機後才能保護的外掛能夠比擬。有網站安全相關需求,歡迎聯絡我們。
下面列出部分我們協助客戶執行的項目,希望能夠幫助到所有使用 WordPress 架站的 user:
- 調整使用者權限、關閉部分user的編輯權限
- 表單類別增加 reCaptcha
- 關閉自動更新(避免更新後的網站功能失效,由 CTK Pro 協助測試後手動更新)
- 密碼建議與管理建議
- 將部分機敏檔案調換位置
- 確認資料夾、檔案權限
- 若不需要留言或相關欄位,關閉之
- 從主機端有快照之備份+第三方備份
- 關閉 XML-PRC
- 弱點掃描及相關修正