Wordpress 安全維護:如何打造安全性 100 分的網站
安全性是網站設計中不可忽視的核心要素。
WordPress 是目前最受歡迎的內容管理系統之一,由於其廣泛的普及性,使得它成為駭客攻擊的常見目標。
儘管 WordPress 本身具有一定的安全性,但加強安全措施可以大幅度降低網站被攻擊的風險,並確保網站和用戶數據的安全。
做為一家企業,對於公司的安全性是零容忍,但是實體企業我們可以安裝監視器、聘請保全,但在網上的網站,要如何保障用戶數據和交易安全呢?
我們將從不同角度探討如何確保網站的安全性,幫助大家在建立網站時能夠更有信心。
WordPress 的安全現狀
- 開源性:WordPress 是開源的,這意味著任何人都可以查看其源代碼並尋找漏洞。這既是一個優點,因為有大量開發者在改善其安全性,但也使它成為駭客研究的對象。
- 插件和主題漏洞:許多 WordPress 網站的安全問題來自於第三方插件和主題的漏洞。一些插件和主題沒有經過安全審核,可能帶來潛在的安全威脅。
- 廣泛使用:WordPress 是世界上最受歡迎的 CMS 系統,因此成為攻擊者的主要目標。通過常見的攻擊方式如暴力破解、SQL 注入、跨站腳本攻擊(XSS)等,攻擊者會試圖利用網站的漏洞。
簡單小結一下,WordPress 網站的安全性問題,通常來自管理者而非系統,安裝了不明來源的外掛,或是沒有足夠的管理經驗,所以避免使用來路不明的外掛,以及強化帳號管理的安全性,就是簡單且有有用的提高安全性的方法。
如何強化 WordPress 的安全性
#1 保持 WordPress 核心、插件和主題的更新
保持更新 WordPress 的核心、所有的外掛和主題到最新版本,可以避免被已知漏洞攻擊。
WordPress 後台有提供一鍵更新功能。請記得有空就看一下。
不用的外掛和主題和主題仍然可能會成為攻擊的目標,因此應該刪除所有未使用的外掛和主題。
#2 使用強密碼和雙重驗證
目前比較主流的密碼管理有幾個重點:第一,強密碼。確保所有使用者帳戶(包括管理員)的密碼強度足夠,並定期更改密碼。強密碼應包括大小寫字母、數字和特殊字符。
第二,雙重驗證(2FA)。啟用雙重驗證可以增加登錄安全性,即使密碼被洩露,也可以通過雙重驗證阻止未授權的訪問。我個人是使用比較簡單的 Two-Factor 外掛。
#3 隱藏登錄頁面
為了避免有人進入登錄頁面暴力破解密碼,更改登錄頁 URL 是一個容易的方法, WordPress 默認的登錄頁面是 /wp-login.php 或 /wp-admin,這使得攻擊者可以輕易地找到登錄入口。
所以使用插件(如 WPS Hide Login)來更改登錄 URL,可以減少攻擊者找到登錄頁的機會。
如果你有 PHP 程式能力,也可以修改 function.php 文件來登錄頁面或是避免不肖人士的訪問。
#4 限制登錄嘗試
暴力破解是一種常見攻擊,攻擊者會通過多次嘗試猜測密碼來入侵網站。可以使用外掛如 Limit Login Attempts Reloaded 來限制登錄嘗試次數,並在多次失敗後暫時鎖定帳戶。
#5 安裝防火牆和安全插件
網站防火牆(WAF):WAF 可以過濾惡意流量和可疑請求,阻止未經授權的訪問。
Cloudflare 都提供網站防火牆功能,可以有效防禦大多數攻擊。
WordPress 有許多外掛提供多重安全保護,這些插件可以提供暴力破解防護、文件完整性檢查、惡意軟件掃描等功能。
推薦使用 Cloudways 主機,因為它不只提供 Cloudflare CDN 的服務,同時它和 BlogVault Malcare 合作推出了一種名為 Bot Protection 的新的一站式解決方案。
Bot Protection 旨在識別和阻止惡意流量,並防止字典攻擊、Web Scraping、XMLRPC 攻擊和蠻力攻擊等攻擊。它還有助於減少 WordPress 應用程式的伺服器資源使用量。
一鍵打開就可以了,使用方便。
#6 使用 HTTPS
安裝 SSL/TLS 證書:通過 SSL 證書將網站從 HTTP 轉換為 HTTPS,加密用戶和伺服器之間的數據傳輸,防止敏感信息(如密碼和信用卡號碼)在傳輸過程中被竊取。許多主機提供免費的 SSL/TLS 證書,例如 Let’s Encrypt。
我們在 如何在 Cloudways 主機上完成 SSL 憑證設定 已經有詳細的說明了。
#7 定期備份網站
定期備份網站數據,以防止網站因攻擊而喪失重要信息。使用插件如 UpdraftPlus 或 Jetpack 來自動備份網站並將備份存儲在雲端服務(如 Google Drive 或 Dropbox)中。
全站備份:確保備份不僅包括數據庫,還包括所有網站文件,以便在網站遭受攻擊或出現問題時可以完全恢復。
使用 Cloudwasys 主機每天自動備份,讓你可以放心使用。
#8 使用 CDNs 提升安全性
使用內容分發網絡(CDN)如 Cloudflare,這不僅可以提高網站的加載速度,還能提供額外的 DDoS 防護,減少分佈式拒絕服務攻擊的風險。
#9 禁止 XML-RPC
XML-RPC 接口可以用於遠程發布文章,但它也常被攻擊者利用來進行暴力破解攻擊。
儘管 XML-RPC 功能強大,但它也存在一些潛在的安全風險,特別是在如今已有其他更安全的 API(如 REST API)可以替代它的情況下:
- 暴力破解攻擊:
- XML-RPC 允許通過遠程執行多個登錄嘗試,這使得攻擊者能以相對簡單的方式進行暴力破解攻擊。例如,攻擊者可以一次發送多個登錄嘗試而不被伺服器鎖定,這增加了暴力破解的成功率。
- DDoS 攻擊:
- XML-RPC 還被用來發起 DDoS(分布式拒絕服務)攻擊,攻擊者可以利用一些方法發送大量的請求,從而使網站過載,導致伺服器資源耗盡而無法正常運行。
除非有特定需求(如使用第三方工具來發布),建議禁用 XML-RPC 功能。禁用 XML-RPC 在 Cloudways 非常方便,只需要在後台的 Application Setting 找到 WordPress Settings 將 XMLPRC Access 打開。
結論 & 心得
WordPress 的系統的安全性其實不用過多擔心,我們可以從文章中知道,只要保持軟體更新、加上使用 CDNs 和設定,就可以提升網站的安全強度。
比較需要注意的是「管理者習慣」。從保持軟件更新、使用強密碼、2FA,這都要靠網站管理人員的習慣,它們都會提高管理上的成本、變得麻煩,但也是因為提高困難,所以讓網站更加安全。
透過上面提到的安全強化方法,你可以顯著提升 WordPress 網站的安全性,保護網站免受潛在威脅。