WordPress 最常見的安全性問題，與 10 個簡單解決方式

WordPress 安全性無可置疑非常重要，在網站架設的初期，就該開始思考並逐步强化WordPress 安全性。因為網站流量漸漸提升後，一定會遭受各種形式的攻擊，但你不會知道是什麼時候，現在就開始準備。

相關文章：All In One WP Security & Firewall 外掛設定，保護 WordPress 靠這個完全可以

常見安全性問題

過時的軟體版本

根據 Sucuri (一間專門防護與檢修網站安全性的公司) 2019 Threat Research Report，根據檢測到的惡意軟體與安全修復的資料研究得來的報告。

WordPress 在所有的 CMS 市場中佔了百分之 60 以上，而在所有 CMS 的網站中，被感染的網站，有 90% 以上都是用 WordPress 架設。

依據報告，還有超過 50% 以上的 CMS 網站，並沒有更新至最新版本。

很大一部分的惡意軟體都是攻擊舊版的軟體缺陷。

將網站維持在最新的版本是很重要的事情，新的程式更新通常也帶有安全性更新，增進網站安全性。

容易受攻擊的外掛漏洞

以 【WordPress 外掛漏洞】這一類關鍵字大概搜尋一下，會發現很多知名的外掛，擁有大量的安裝數，就因爲網站的安裝數量很大，自然就成爲攻擊者的主要目標。

參考資料：

• https://www.immuniweb.com/blog/top-10-most-vulnerable-wordpress-plugins.html
• https://blogvault.net/vulnerable-wordpress-plugins/

過時的 PHP 版本

2019 年底，PHP 7.1 就不再有官方支援，和 7.0、5.x 一樣不再有安全性更新，表示之後就算發現新的漏洞也不會進行修復。

增加安全性的作法

#1 維持軟體在最新版本

WordPress 從 5.5 版本開始，已經可以在管理介面設定自動更新，不必再另外安裝外掛或自行修改程式。

WordPress 的三個主要元件應該隨時保持最新版本：

1. WordPress Core 核心程式
2. 各個外掛程式
3. 使用的主題

參考文章：

• 如何自動更新 WordPress 外掛或主題

#2 移除不必要的外掛和主題

如果 WordPress 安裝太多用不到的外掛，會增加被駭的機會，就算這些外掛和主題是未啟用的狀態，一樣是佔用主機資源，增加漏洞與後門。

將未使用的外掛和主題移除，可以提高安全性並保護不受攻擊，還有減少定期更新版本的負擔。

#3 不要使用預設管理者帳號

大部分的網站系統，預設管理者帳號可能就是 Admin、Administrator，在安裝完成後應該立即變更，或是在安裝時就直接變更。

#4 只開放最小權限

最好不要開放註冊新使用者，如果站台是多人維護，預設的使用者角色也應設定為 Subscriber。

管理介面 > Settings > General

#5 使用複雜難解的密碼

• 必須包含英文大寫
• 必須包含英文小寫
• 必須包含數字
• 必須包含特殊符號
• 至少要有10個字的長度
• 定期變更密碼

不要再用 123456 當密碼了。

#6 限制登入錯誤次數

WordPress 預設可以無限制輸入錯誤的帳號密碼，這是暴力破解最喜歡的地方。

簡單的限制登入錯誤次數，就可以有效阻擋暴力破解。

參考以下擁有限制登入錯誤次數功能的外掛：

• All In One WP Security & Firewall
• Limit Login Attempts Reloaded
• Loginizer

#7 使用圖形驗證碼

使用圖形驗證最大的好處是可以阻擋自動登入機器人程式，也可以阻擋自動發佈留言的程式。

參考以下可在登入頁面加上圖形驗證碼的外掛：

• Advanced noCaptcha & invisible Captcha (v2 & v3)
• Login No Captcha reCAPTCHA
• Really Simple CAPTCHA
• All In One WP Security & Firewall

#8 持續監控網站

持續監控網站的安全性需要第三方服務支援，這一類服務提供每日惡意軟體掃描，黑名單監控， SQL injection 掃描，XSS 攻擊掃描等等。例如：

• SiteLock
• Sucuri Security – Auditing, Malware Scanner and Security Hardening

有些外掛也有提供錯誤登入記錄追蹤，IP 記錄追蹤等功能，例如：

• All In One WP Security & Firewall
• Wordfence Security – Firewall & Malware Scan

#9 SSL & HTTPS

SSL 讓網站可以經由 HTTPS 讀取，將瀏覽器和 Web Server 之間的通訊加密，保護不被竊聽與資料修改。

不管是不是 WordPress 架設的網站，安裝 SSL 憑證並限制只能使用 HTTPS 連線是必要的步驟。

讓網站支援 HTTPS 也是搜尋引擎優化的必要步驟。

參考文章：

• 架設 HTTPS 網站的好處
• 自動安裝免費 SSL 憑證

#10 定期備份網站

保持網站的備份是架設網站中最重要的事情，你永遠不會知道什麼時候會需要這個備份，那一天到來的時候，將會非常感謝當初留了備份。

備份網站有幾個注意要點：

1. 異地備援；檔案備份不能放在主站台，必須備份在其他地方。
2. 自動化；如果不是自動化備份，沒有人會這麼勤勞。
3. 回復步驟；你應該要知道如何從備份救回網站，一定要自己實際操作一次。

備份外掛：

• UpdraftPlus WordPress Backup Plugin
• Jetpack by WordPress.com
• All-in-One WP Migration

最後

請參考 All In One WP Security & Firewall 外掛教學，有完整的安全性設定說明，使用這個免費外掛就已足夠處理上述大部分問題。

Google 提供查詢網站的安全狀態，輸入網址即可查詢網站是否有不安全的內容、惡意軟體，釣魚網頁等…

點擊 Safe Browsing site status 查詢自己的網站是否安全。

sucuri 提供免費的網站安全檢查和惡意軟體掃描，點擊 https://sitecheck.sucuri.net/ 掃描看看。