[WordPress教學] 如何做好 WordPress 安全防護及防止入侵

WordPress 近幾年非常的熱門，也成了入侵者的目標之一，以下內容是筆者多年來累積下來的使用經驗，做好以下的基礎防護，要被入侵的機率是非常的低，基本上不太用擔心 WordPress 被拆台，除非是 WordPress 有重大 Bug，或者是插件 Bug，其實 WordPress 資安上都算是挺安全的。

網站初期其實不用太擔心被駭客盯上，而是網站經營越久越有知名度，就容易被駭客盯上，只能說預防勝於治療，選擇有多日備份的主機商也是很重要的，哪怕真的哪天被拆台了，系統還可以回溯來救援，自己也要養成習慣做好系統備份。

高強度的密碼

WordPress 被攻擊最多的就是管理者的帳號密碼 Brute Password Attack，通常用了一些簡短數字及簡易字串當作密碼，管理者帳號用 admin root 網址名稱，都是容易被駭客容易猜到的，建議可以使用密碼產生器，產生一串亂數密碼（16位數以上），保證很難被暴力破解出來，密碼可以透過 Safari 來記錄下帳密。

系統、佈景主題、外掛插件更新

很多人架設好後，就把 WordPress 放在那了，WordPress 其實是需要被照顧的，偶爾要看看什麼什麼需要更新維護，如果你是懶人？可以考慮使用有 cPanel 的虛擬主機，cPanel 可以自動幫 WordPress 系統、插件、主題來作更新，降低被入侵的風險。

SQL Injection Attack 攻擊

蠻多駭客喜歡採用這方式攻擊 WordPress 網站，如果你的網站不常照顧，建議可以考慮安裝 Wordfence Security 這外掛，可以抵擋一些基礎的攻擊，如果真的被攻擊了？會發送系統郵件來通知你，如果有人用管理者帳號登入後台，都會發送郵件通知管理者。

封鎖特定 IP 或國家

如果只是封特定 IP 可以透過 Wordfence 或 cPanel 來封鎖, 如果要封鎖某個國家所有 IP，可以透過 .htaccess 來 Deny 擋掉，Wordfence 封鎖國家是需要付費 Premium 才可以，如果不想要花錢？就是手動來透過 .htaccess 來封鎖就好。

Create ACL – Country IP Blocks (國家 IP 列表產生器)

來路不明的插件及佈景主題

安裝破解版插件及主題這風險是最高的，很容易被駭客置入了後門你也不知道，哪天突然間網站被拆了？可能都不知道為何原因被拆，其實 WordPress 許多插件及主題都挺便宜的，建議可以購買原版會比較好喔！

關閉留言功能

設定 -> 討論 -> 預設文章設定，取消掉「開放使用者在新文章中發佈留言 」前方的打勾，可以降低廣告 Bot 的投放廣告，即使有安裝了Akismet 可以擋掉一些，但還是很多擋不掉的，或者可以考慮安裝 Facebook 的留言也是不錯的選擇。

關閉作者名稱顯示

有些佈景主題可以關閉顯示作者名稱，降低被駭客知道帳號名稱為何，也是降低了一些風險。

關閉 WP REST API

避免被有心人士偵測管理者帳號

官方網站：Disable WP REST API

WordPress 資安外掛推薦

Akismet Anti-Spam
防止廣告機器人留言

Limit Login Attempts Reloaded
防止暴力破解

Wordfence Security – Firewall & Malware Scan
WordPress 安全防護軟體, 內建防火牆、暴力破解、惡意軟體掃描

Jetpack by WordPress.com
內建：防止暴力破解

WPS Hide Login
更改 wp-login.php 的路徑，讓駭客無法暴力破解

防止暴力破解的 Plugins 只要選擇其中一項安裝即可

WordPress 漏洞掃描

可以使用「WP Scan」來做一個簡易的基本掃描，看網站是否有不明的惡意程式碼。