WordPress 最常見的安全性問題,與 10 個簡單解決方式

WordPress 安全性無可置疑非常重要,在網站架設的初期,就該開始思考並逐步强化WordPress 安全性。因為網站流量漸漸提升後,一定會遭受各種形式的攻擊,但你不會知道是什麼時候,現在就開始準備。

相關文章:All In One WP Security & Firewall 外掛設定

常見安全性問題

過時的軟體版本

根據 Sucuri (一間專門防護與檢修網站安全性的公司) 2019 Threat Research Report,根據檢測到的惡意軟體與安全修復的資料研究得來的報告。

WordPress 在所有的 CMS 市場中佔了百分之 60 以上,而在所有 CMS 的網站中,被感染的網站,有 90% 以上都是用 WordPress 架設。

依據報告,還有超過 50% 以上的 CMS 網站,並沒有更新至最新版本。

圖片來源:sucuri.net

很大一部分的惡意軟體都是攻擊舊版的軟體缺陷。

將網站維持在最新的版本是很重要的事情,新的程式更新通常也帶有安全性更新,增進網站安全性。

容易受攻擊的外掛漏洞

以 【WordPress 外掛漏洞】這一類關鍵字大概搜尋一下,會發現很多知名的外掛,擁有大量的安裝數,就因爲網站的安裝數量很大,自然就成爲攻擊者的主要目標。

參考資料:

過時的 PHP 版本

2019 年底,PHP 7.1 就不再有官方支援,和 7.0、5.x 一樣不再有安全性更新,表示之後就算發現新的漏洞也不會進行修復。

圖片來源:sucuri.net

增加安全性的作法

維持軟體在最新版本

WordPress 從 5.5 版本開始,已經可以在管理介面設定自動更新,不必再另外安裝外掛或自行修改程式。

WordPress 的三個主要元件應該隨時保持最新版本:

  1. WordPress Core 核心程式
  2. 各個外掛程式
  3. 使用的主題

參考文章:

移除不必要的外掛和主題

如果 WordPress 安裝太多用不到的外掛,會增加被駭的機會,就算這些外掛和主題是未啟用的狀態,一樣是佔用主機資源,增加漏洞與後門。

將未使用的外掛和主題移除,可以提高安全性並保護不受攻擊,還有減少定期更新版本的負擔。

不要使用預設管理者帳號

大部分的網站系統,預設管理者帳號可能就是 Admin、Administrator,在安裝完成後應該立即變更,或是在安裝時就直接變更。

只開放最小權限

最好不要開放註冊新使用者,如果站台是多人維護,預設的使用者角色也應設定為 Subscriber。

管理介面 > Settings > General

使用複雜難解的密碼

  • 必須包含英文大寫
  • 必須包含英文小寫
  • 必須包含數字
  • 必須包含特殊符號
  • 至少要有10個字的長度
  • 定期變更密碼

不要再用 123456 當密碼了。

限制登入錯誤次數

WordPress 預設可以無限制輸入錯誤的帳號密碼,這是暴力破解最喜歡的地方。

簡單的限制登入錯誤次數,就可以有效阻擋暴力破解。

參考以下擁有限制登入錯誤次數功能的外掛:

使用圖形驗證碼

使用圖形驗證最大的好處是可以阻擋自動登入機器人程式,也可以阻擋自動發佈留言的程式。

參考以下可在登入頁面加上圖形驗證碼的外掛:

持續監控網站

持續監控網站的安全性需要第三方服務支援,這一類服務提供每日惡意軟體掃描,黑名單監控, SQL injection 掃描,XSS 攻擊掃描等等。例如:

有些外掛也有提供錯誤登入記錄追蹤,IP 記錄追蹤等功能,例如:

SSL & HTTPS

SSL 讓網站可以經由 HTTPS 讀取,將瀏覽器和 Web Server 之間的通訊加密,保護不被竊聽與資料修改。

不管是不是 WordPress 架設的網站,安裝 SSL 憑證並限制只能使用 HTTPS 連線是必要的步驟。

讓網站支援 HTTPS 也是搜尋引擎優化的必要步驟。

參考文章:

定期備份網站

保持網站的備份是架設網站中最重要的事情,你永遠不會知道什麼時候會需要這個備份,那一天到來的時候,將會非常感謝當初留了備份。

備份網站有幾個注意要點:

  1. 異地備援;檔案備份不能放在主站台,必須備份在其他地方。
  2. 自動化;如果不是自動化備份,沒有人會這麼勤勞。
  3. 回復步驟;你應該要知道如何從備份救回網站,一定要自己實際操作一次。

備份外掛:

最後

請參考 All In One WP Security & Firewall 外掛教學,有完整的安全性設定說明,使用這個免費外掛就已足夠處理上述大部分問題。

Google 提供查詢網站的安全狀態,輸入網址即可查詢網站是否有不安全的內容、惡意軟體,釣魚網頁等…

點擊 Safe Browsing site status 查詢自己的網站是否安全。

sucuri 提供免費的網站安全檢查和惡意軟體掃描,點擊 https://sitecheck.sucuri.net/ 掃描看看。