【網站架設】如何提高WordPress 網站安全性? 8點重點帶你深入分析

by Kent
發佈: 最後更新
攻城濕不說的秘密 - 如何提高 WordPress 網站安全性?

資安的議題存在已久,每隔一段時間都會有新的資安事件發生,因此網站安全性就顯得十分重要!! 想知道你的 WordPress 網站安全性真的有做到位嗎? 本文將透過8個重點帶你分析你的網站是否足夠安全~

WordPress 是世界上最多人使用的内容管理系統(英語:content management system,縮寫為 CMS)之一。根據W3Tech的資料,將近61.8%的内容管理系統用戶都是使用WordPress,等於大約有4.55億個網站在WordPress上運行,這幾乎占到了全球網站總數的35%,可用的外掛更是多達5萬多個。

 

WordPress 的市佔率高而且又是開放原始碼的內容管理系統,所以容易成為許多有心人士及駭客的目標,因此如何提高 WordPress 網站安全性也成為網站管理員的必要功課之一。

 

你有碰過辛辛苦苦建立的網站瞬間消失的情況嗎? Kent 自己最早架設 wordpress 曾經發生被木馬入侵,只剩下首頁有內容,文章及圖片通通消失了… 原因竟然是佈景主題的匯入外掛被植入木馬導致網站被入侵…

 

想知道你的網站有沒有足夠的安全性嗎? 可以從下面8點來分析。

 

網站使用 SSL 憑證

安全通訊協定(Secure Sockets Layer,SSL),簡單來說這是一種標準的安全技術,用於保持網際網路連線安全以及防止在兩個系統之間發送的所有資料被有心人士讀取及偽造任何傳輸的資訊,包括潛在的個人詳細資料。 資料來源 DigiCert

 

大多數的主機商都有提供免費的 SSL 憑證安裝服務,你可以先向你的主機商客服詢問該如何開啟 SSL,來保護你的伺服器與網站瀏覽者之間的連線安全,想了解更多 SSL 是怎麼保護網站的資訊可以參考 easywebsitetw.com 的 《什麼是SSL? 安全憑證的全方位指南》這篇文章。

 

安裝 SSL 憑證不但能保護資料的安全,同時這也是 Google 搜尋引擎的排名依據之一,安裝 SSL 憑證並不難還能對搜尋引擎優化 SEO 有加份的作用,可以說有 SSL 憑證已經是現在網站的趨勢。

 

想知道你的網站是否已經正確安裝 SSL 憑證嗎? 你可以透過 《 SSL Chekcer 》這個工具網站來檢查你的網站的 SSL 憑證是否已經正確安裝,直接輸入你的網域名稱(免輸入 http:// 或 https://),按下 Check SSL 按鈕立即檢查你的 SSL 憑證狀態,檢查合格下面會出現一些打勾的符號,不合格就需要與主機商聯絡。

👉  點這裡前往 SSL Chekcer

 
攻城濕不說的秘密 - SSL Checker
圖片來源 SSL Checker
 

持續更新 WordPress 以及外掛的版本

WordPress 擁有5萬多個各式各樣的擴充外掛可以使用,透過安裝這些外掛你可以做到像各式各樣的功能例加:佈景、快取、電子郵件、SSL憑證管理…等,依照你的需求來下載使用這些外掛,以便讓你的 WordPress 網站更加的完美。

 

好的外掛可以讓我們的網站加分,在使用的同時也千萬要記得保持外掛及 WordPress 版本的更新,這些更新可能是修正某些錯誤、優化執行效率以及加入更多新功能,但是在更新外掛或 WordPress 版本前請務必對網站進行備份(請看第五點),如果升級後網站出現異常才有辦法還原到更新前的狀態。

 

WordPress 的佈景主題更新前也千萬要記得備份你在 style.css 上自行撰寫的CSS 原始碼,避免你的自訂樣式因為佈景主題的更新而被覆蓋。

 

從可信任來源下載佈景主題及外掛

WordPress 大部份的外掛及佈景主題都可以在側欄的外掛頁面裡搜尋到,但某些付費的外掛就需要到它的官方網站或是知名的 WordPress 佈景主題及外掛的銷售網站 ThemeForest 裡購買後下載,有更新通知時請記得花點時間更新這些外掛。

 
攻城濕不說的秘密 - ThemeForest
圖片來源 ThemeForest
 

或許你可能會從網路上找到某些付費外掛的破解安裝檔,只是裡面可能藏有加密後的木馬或病毒程式碼,如果安裝這個外掛在你網站上的許多資料都可能會被木馬傳到駭客手上,你儲存網站上的資料將面臨巨大的風險,可能會被加密或是刪除。

 

刪除不常使用的外掛

一開始架設 WordPress 時你可能會安裝許多的外掛來匯入佈景主題、設定 SSL …等功能,但這些外掛有些用完之後就能刪除掉,過多的外掛也會造成 WordPress 網站的載入速度變慢甚至影響SEO排名,所以適當的移除不必要的外掛是有必要的。

 

在刪除外掛前可以先對網站進行備份後再操作,就算操作出問題也還有機會可以還原,如果真的不確定哪個外掛是可以移除的,可以先停用外掛然後回到網站前台檢查沒有沒受影響,確定沒有任何問題後再移除外掛。

 

選擇有備份功能的 WordPress 主機商

大多數主機商都有提供備份的功能,WordPress 網站出問題時還能還原到上次備份的時間點,對於不懂架設網站的人來說實在很方便,有時可能安裝佈景主題或是外掛後網站突然出錯,透過主機商提供的還原按鈕就能輕鬆的把網站復原。

 

雖然主機商都會定期備份,但在不確定某些操作是否會影響到網站時,操作前最好先備份一次,以免距離上次的備份時間太長在這段時間裡寫的文章因為還原消失。

 

除了主機商提供的備份服務,WordPress 也有許多好用的備份外掛例如 WPvividUpdraftPlus…等。

👉  點這裡前往路帶路姬 WPvivid 網站備份教學

 

設定網站 SMTP 寄件服務及安裝安全性外掛

設定網站 SMTP

有些主機商在安裝好 WordPress 網站後就已經幫我們設定好 SMTP 的郵件寄送服務,假如你的主機商沒有提供 SMTP 服務,那麼你需要自行設定 SMTP 服務,這樣才能在網站出問題時第一時間收到網站的通知 Email,常見的訊息像是網站更新成功、訪客留言或是有人嘗試登入你的後台登入失敗等訊息。SMTP設定方面可參考下面的文章。

👉  下載 WP Mail SMTP by WPForms
👉  你的 WordPress 收不到信嗎?安裝免費 SMTP 外掛 5 分鐘輕鬆解決。

 

安裝 Limit Login Attempts Reloaded 外掛

Limit Login Attempts Reloaded 是一款限制來自個別 IP 位址的嘗試登入次數的外掛,簡單來說就是限制同一台電腦可以登入失敗的次數,預設的次數為3次,只要登入失敗超過3次就會對那台電腦封鎖 24小時無法登入,同時也會發送有人登入失敗過多的 Email 給你,可以延長密碼被暴力破解所需要的時間。

👉  下載 Limit Login Attempts Reloaded
👉  Limit Login Attempts Reloaded 設定教學

 

安裝 Two Factor Authentication 外掛

Two Factor Authentication 是一款使用兩步驟驗證保護 WordPress 網站的登入表單的安全性外掛,設定需要使用智慧型手機下載 Google Authenticator APP 掃描外掛內的 QR Code,登入時除了要輸入你的帳號密碼還需額外輸入 Google Authenticator 提供的6位數字驗證碼,這組驗證碼每30秒會變更一次可以大大提升 WordPress 的安全性。

👉  下載 Two Factor Authentication
👉  Two Factor Authentication 設定教學
👉  下載 Google Authenticator IOS
👉  下載 Google Authenticator Android

 

選擇可信賴的主機商

假如是初次架設 WordPress 網站最好選擇購買 CloudwaysSiteGroundBlueHost網易資訊等知名主機商,因為這些主機商經營已久,對於伺服器優化及安全性相當的有經驗,而且操作介面友善短時間內就可以上手,架站教學也有比較多的資料可以參考。

 

想學 WordPress 架站又不知道從哪邊開始可以參考《 網路帶路姬 WordPress 五天自學衝刺班 》,教學內容全都是免費的,從購買主機到完整建立 WordPress 網站都有,你只需要負擔購買網域及架站用的伺服器主機費用。

👉  點這裡前往《 網路帶路姬 WordPress 五天自學衝刺班 》

 

不要隨意開放網站後台管理權限

有時候我們可能因為某些外掛或佈景主題不會安裝或操作需要提供給別人管理員帳號密碼,這時我們可以透過 Temporary Login Without Password 這個外掛提供一組臨時性的管理者帳號密碼給對方協助操作,並設定帳號的有效期限,千萬不要提供永久及正式的管理員帳號密碼,避免遭到有心人士或駭客利用。

👉  下載 Temporary Login Without Password
👉  Temporary Login Without Password 設定教學

 

結論

網站是為我們帶來流量、創造收入的重要資產,所以我們更需要多做一些功課來保護它,假如某天遇到辛辛苦苦架設的網站突然消失又救不回來的情況真的會讓人崩潰,裡面存在你用心寫出的文章、精心拍出的照片,點點滴滴都是珍藏,做好資安管理及備份真的十分重要。

 

做資安已經不像以前那麼困難,幾個設定、幾個按鈕、幾個外掛就能提高你的wordpress 網站的安全性。某些設定更是只要做一次就好,有些則是定期檢查外掛或是WordPress有沒有更新到最新版本就行(更新前記得備份),跟著上面的8點仔細的檢視一下網站的網安全性,這些操作起來看起來很簡單,但你做的事不簡單~

您也許會想看

撰寫留言