[WordPress教學] 如何做好 WordPress 安全防護及防止入侵

如何做好 WordPress 安全防護及防止入侵
如何做好 WordPress 安全防護及防止入侵

WordPress 近幾年非常的熱門,也成了入侵者的目標之一,以下內容是筆者多年來累積下來的使用經驗,做好以下的基礎防護,要被入侵的機率是非常的低,基本上不太用擔心 WordPress 被拆台,除非是 WordPress 有重大 Bug,或者是插件 Bug,其實 WordPress 資安上都算是挺安全的。

網站初期其實不用太擔心被駭客盯上,而是網站經營越久越有知名度,就容易被駭客盯上,只能說預防勝於治療,選擇有多日備份的主機商也是很重要的,哪怕真的哪天被拆台了,系統還可以回溯來救援,自己也要養成習慣做好系統備份。

高強度的密碼

WordPress 被攻擊最多的就是管理者的帳號密碼 Brute Password Attack,通常用了一些簡短數字及簡易字串當作密碼,管理者帳號用 admin root 網址名稱,都是容易被駭客容易猜到的,建議可以使用密碼產生器,產生一串亂數密碼(16位數以上),保證很難被暴力破解出來,密碼可以透過 Safari 來記錄下帳密。

系統、佈景主題、外掛插件更新

很多人架設好後,就把 WordPress 放在那了,WordPress 其實是需要被照顧的,偶爾要看看什麼什麼需要更新維護,如果你是懶人?可以考慮使用有 cPanel 的虛擬主機,cPanel 可以自動幫 WordPress 系統、插件、主題來作更新,降低被入侵的風險。

SQL Injection Attack 攻擊

蠻多駭客喜歡採用這方式攻擊 WordPress 網站,如果你的網站不常照顧,建議可以考慮安裝 Wordfence Security 這外掛,可以抵擋一些基礎的攻擊,如果真的被攻擊了?會發送系統郵件來通知你,如果有人用管理者帳號登入後台,都會發送郵件通知管理者。

封鎖特定 IP 或國家

如果只是封特定 IP 可以透過 Wordfence 或 cPanel 來封鎖, 如果要封鎖某個國家所有 IP,可以透過 .htaccess 來 Deny 擋掉,Wordfence 封鎖國家是需要付費 Premium 才可以,如果不想要花錢?就是手動來透過 .htaccess 來封鎖就好。

Create ACL – Country IP Blocks (國家 IP 列表產生器)

來路不明的插件及佈景主題

安裝破解版插件及主題這風險是最高的,很容易被駭客置入了後門你也不知道,哪天突然間網站被拆了?可能都不知道為何原因被拆,其實 WordPress 許多插件及主題都挺便宜的,建議可以購買原版會比較好喔!

關閉留言功能

設定 -> 討論 -> 預設文章設定,取消掉「開放使用者在新文章中發佈留言 」前方的打勾,可以降低廣告 Bot 的投放廣告,即使有安裝了Akismet 可以擋掉一些,但還是很多擋不掉的,或者可以考慮安裝 Facebook 的留言也是不錯的選擇。

關閉作者名稱顯示

有些佈景主題可以關閉顯示作者名稱,降低被駭客知道帳號名稱為何,也是降低了一些風險。

關閉 WP REST API

避免被有心人士偵測管理者帳號

官方網站:Disable WP REST API

WordPress 資安外掛推薦

Akismet Anti-Spam
防止廣告機器人留言

Limit Login Attempts Reloaded
防止暴力破解

Wordfence Security – Firewall & Malware Scan
WordPress 安全防護軟體, 內建防火牆、暴力破解、惡意軟體掃描

Jetpack by WordPress.com
內建:防止暴力破解

WPS Hide Login
更改 wp-login.php 的路徑,讓駭客無法暴力破解

防止暴力破解的 Plugins 只要選擇其中一項安裝即可

WordPress 漏洞掃描

可以使用「WP Scan」來做一個簡易的基本掃描,看網站是否有不明的惡意程式碼。