您絕對需要知道的加強WordPress網站安全性１１種方法。

最後更新於December 7, 2020

WordPress, 網站安全性, 網頁開發及設計

0 個人喜歡此文章

6 次瀏覽

眾所周知，WordPress是各地黑客最喜歡的產品，因為即使您並沒有任何相關網站知識，你都能夠建立一個網站或部落格出來，如果您不想網站被黑客做壞壞的事情，立即參考以下的１1種方法重新設定您的WordPress網站吧！！

1. 使用複雜安全性高的密碼

不要再用純英文，純數字的密碼！！最好是用隨機密碼產生器去產生一個密碼存放到安全的地方，如果不想用密碼產生器？那請按這個格式去建立密碼吧！
*(８至１４位字元、包含大小寫英文、數字及符號)*
如果想更加安全？可以使用我們EBuildHost的小工具隨機密碼產生器去隨機生成密碼吧

2. 更改WordPress的後台登陸URL

大部份的WordPress網站都使用預設的登陸網址從而大大增加網站被撞密碼的機會。馬上更改做自定義的URL吧！

可以透過 Lockdown WP Admin 插件更改。

3. 減少使用常見的管理員帳戶及管理員權限

還在使用admin、root、user、cs、域名這樣的管理員帳戶?
我們建議馬上到網站後台裹「帳號」立即新增一個新的「管理員」權限帳號，再把原本的管理員帳號刪掉。

以及請勿使用後台管理員做文章作者，因為只要作者鏈接被發現就能夠繞過網站後台直接登陸，輕則幫您刪刪文章，重則整個網站掛掉也是有可能的，建議將文章寫手獨立一個帳戶及權限調整做【作者】

4. 盡量保持WordPress、主題、插件都在最新版本

當然全部保持最新版本於安全性來看是最好的，但為什麼要說盡量？因為我們都知道更新了的話有可能插件A與插件B或主題產生相容性問題，養成一個習慣！做任何更新時先確定網站有備份再做任何改動吧！

5. 不要用來歷不明的插件或主題

有時候您可能會看到有一些原本需要付款的主題或插件，現在於不明來歷的網站可以免費下載，這麼好的東西我要立即下載！！！！
NO！千萬不要這樣做，因為你不知道你所下載的東西是否安全，盡量選擇公信力高的網站去下載或購買吧，絕對會相對安全很多。

6. 安裝reCaptcha插件

我們推薦這個 reCaptcha 插件，這個插件免費功能已經支援很廣能夠支援到：

注冊頁面
登陸
重設密碼
文章留言
聯絡表格
評價
自定義表格

亦能夠自行選擇用Google reCaptcha那一個版本，我們比較建議是使用v3。

7. 安裝安全防禦插件

我們建議使用 wordfence ，它的免費版功能已經很廣足夠保護好您的網站。

Wordfence包括專為保護WordPress而構建的端點防火牆和惡意軟件掃描程序。Wordfence的威脅防禦源使用最新的防火牆規則，惡意軟件簽名和惡意IP地址為已被登陸到Wordfence數目庫中及以確保您的網站安全可以通過2FA和一整套附加功能去保障您的網站，Wordfence算是最全面的WordPress安全解決方案。

8. 安裝限制登陸次數插件

為免被暴力攻擊請安裝一些能夠限制登陸錯誤次數的插件，我們推薦 Loginizer 這款”免費”插件是一款防止黑客暴力破解密碼的插件，它能夠在對方 IP 嘗試登陸錯誤一定的次數時限制該IP位置登陸，可以有效地改善被暴力破壞密碼的情況。

雖然Wordfence也有類似的功能，但專業版的Loginizer亦具有Wordfence沒有的功能：

禁用XML-RPC
重命名XML-RPC
防止Pingback
登陸問題

但其實Wordfence和Loginizer一起使用也是可以的，暫時並沒有案例說兩個插件會有相容性問題。

9. 定期備份網站

備份網站也是有效提升 WordPress 網站安全性的做法之一。
假使你不幸被入侵了，直接還原乾淨的備份，並找尋安全漏洞給修補起來，往往會比修復已經被黑客破壞過的網站來得省時和安全。
因為你不會知道除了安全漏洞他還有沒有注入其他奇怪的東西。

10. 安裝 SSL 證書

安裝 SSL可以加密網站和訪客之間的傳輸封包，增加 WordPress 的安全性與隱私性。
以往 SSL 證書通常由憑證機構(CA)所頒發，供應商轉售給其客戶，價格可從每年 50 美元到數百美元不等主要看證書等級。
但現在非營利組織 “Let’s Encrypt” 決定提供免費的 SSL 證書給大家使用，而且這個項目得到了 Google、Facebook、Mozilla 等公司的支持，所以有越來越多公司提供免費的 SSL 憑證給用戶使用。