身為內容管理系統中市占率最高的 WordPress 經常成為駭客攻擊的目標,根據知名資安公司 Sucuri 在 2022 年所發佈的威脅研究報告指出,有將近 96.2% 的 WordPress 網站受到感染,比例相當可觀。
因此,本篇文章將介紹 10 種提升 WordPress 網站安全性的方法,為你的網站加裝數層防護罩,避免讓駭客有機可趁。
如何確認 WordPress 網站是否安全
你可以利用一些工具掃描 WordPress 網站,Sucuri 所開發的網站惡意程式與安全檢查器是不錯的選擇,只需輸入網址便能快速得知網站是否安全。
當然,這款免費的線上掃毒工具提供的檢測項目並不多,如果你想更全面的知道你的網站是否有漏洞,可以購買 Sucuri 付費方案深入分析。
提升 WordPress 網站安全性的 10 種方法
以下整理出 10 個提升 WordPress 網站安全性的常見做法,你可以檢視網站現有的狀況並決定是否要調整。
使用複雜的帳號及密碼
不論是帳號還是密碼,你都應該避免使用 admin 這類過於簡單、易於猜測的名稱以免遭受暴力攻擊。
你可以使用高強度密碼產生器製造出難以破解的密碼,並與 1Password、Bitwarden 等工具搭配。如此一來,你就不用擔心忘記密碼,也方便日後管理。
更改登入網址
WordPress 預設的登入網址是固定的,只需在主要網址的後方輸入wp-admin
或wp-login.php
便能前往登入頁面。你可以安裝 WPS Hide Login 外掛更改原始的登入網址,當有人試圖造訪預設的登入網址時,也可以設定將其導向至別處。
啟用兩步驟驗證
登入方面的安全性工作不是只有更改登入網址而已,你還需要啟用兩步驟驗證才算完成。至於要如何實作,或許你會想從 Jetpack 下手,透過外連到 WordPress.com 抵禦攻擊。不過我比較傾向透過單一功能的外掛來處理這類問題。
選擇安全性高的 WordPress 主機
選擇安全性高的 WordPress 主機可以減少許多麻煩,以 Kinsta 主機來說,內建多項安全防護的機制,如下:
- 企業級的防火牆與 DDoS 保護。
- 每日監控網站 720 次並保證 99.9% 正常運作時間。
- 登入失敗 6 次後便封鎖 IP,你也可以自行新增要封鎖哪些 IP。
- 採用 SFTP 與 SSH,以更加安全的方式存取網站檔案。
- 每個網站都在獨立的容器中,彼此不會互相牽連。
- 不使用已淘汰的 PHP 版本。
- 提供 6 種類型的備份解決方案。
儘管 Kinsta 提供數種措施來保護網站安全,但難免會有疏漏之處。不過別擔心,只要你將網站託管於此,當有惡意程式植入時,Kinsta 都能免費替你移除,非常讓人放心。
新增安全方面的程式碼片段
你可以新增一些關於安全方面的程式碼片段,以確保網站安全,同時也能少裝外掛。推薦使用 FluentSnippets 這款外掛來新增程式碼片段,理由是安全與方便維護。
隱藏 WordPress 版本號碼
// 隱藏 WordPress 版本號碼
add_filter('the_generator', '__return_empty_string');
停用 XML-RPC 功能
如果你的網站不需要借助 XML-RPC 與外部的應用程式進行互動,那麼可以將其關閉以免遭到有心人士的濫用。
// 停用 XML-RPC 功能
add_filter( 'xmlrpc_enabled', '__return_false' );
停用 PHP 檔案編輯器
WordPress 預設提供佈景主題與外掛的 PHP 檔案編輯器,如果你是不懂程式的一般使用者,建議停用這兩項功能以降低資安風險。
// 停用檔案編輯器
define( 'DISALLOW_FILE_EDIT', true );
定期更新 WordPress 核心程式、佈景主題及外掛
版本過舊容易讓駭客鑽漏洞,維持最新版本比較不會遭受攻擊。更新程式除了能修補安全性漏洞外,也能取得最新功能及提升效能。
以 Kinsta 主機為例,只要出現可能危害網站的漏洞時,你就會收到應盡速更新程式的通知。如果你所租用的主機沒有這項功能,可以安裝 Patchstack 外掛實現。
當你在 MyKinsta 管理後台更新佈景主題或外掛時,系統會先產生一組備份以備不時之需;或者你可以先將網站複製到測試環境,等更新完後再一鍵推送至正式環境。
定期備份網站的檔案及資料庫
為網站做任何調整前,請務必養成備份的習慣,這能避免不必要的災難發生。即使網站出現問題,也能透過還原的功能復原重要的資料。
以 Kinsta 主機為例,內建提供 6 種備份類型讓你根據不同的情境套用,非常方便。若你覺得主機端的備份設定有限,可以考慮本站先前所介紹的 WPvivid 備份外掛。
透過 HTTPS 連線
為你的 WordPress 網站加裝 SSL 安全頻憑證不僅能使資料傳輸的過程更加安全,也能提升網站訪客的信任感與 SEO 分數。
以本站所推薦的 Kinsta 主機來說,可以一鍵啟用 HTTPS 安全連線。當你從http
轉向https
時,系統也會替你設想是否要進行搜尋與取代的動作,非常貼心。
外掛最小化
WordPress 外掛是駭客入侵網站的突破點之一,每多裝一個外掛就意味著要多承擔一些風險。因此,我傾向在主機端就處理好需要透過外掛才能達成的功能。此外,你也要將沒有使用到的外掛刪除以降低資安風險。
學習最新的資安資訊
為了讓你的安全防護技術能夠跟上時代,建議追蹤一些資安公司的部落格以便查看最新的資訊,學習更多的資安知識。
結論
預防勝於治療,雖說不是要你變成資安專家,但只要掌握基本的原則並搭配良好的習慣,便能確保你的網站安全無虞。你採用了哪些安全措施保護網站資料?歡迎加入 Facebook 社團與我分享。