WordPress 安全檢查表 (2023):如何確保網站安全

已發表: 2023-11-10

當您閱讀本文時,WordPress 儲存庫中已有超過 60,000 個外掛程式可用。

這就是 WordPress 的魅力!

但也有可能是每個網站所有者最糟糕的噩夢。 事實上,高達 56% 的 WordPress 漏洞與外掛程式相關,光是 2021 年安全性外掛 WordFence 就阻止了超過 860 億次密碼攻擊。

無論您是遭到駭客攻擊還是只是想防範惡意意圖,此安全檢查表都將幫助您抵禦任何網路攻擊。

為什麼 WordPress 安全對您的線上業務很重要

WordPress 擁有 64.2% 的市場份額,可以肯定地說,無論行業、規模和聲譽如何,WordPress 的安全性對於全球 8.1 億個網站至關重要。 原因如下。

  • 資料保護:您的網站包含敏感數據,包括客戶資訊、付款詳細資訊和業務相關內容。 確保其安全性對於防止資料外洩和保護您的聲譽至關重要。
  • 維護客戶信任:安全的網站可以促進訪客和客戶之間的信任。 當人們知道他們的資料是安全的時,他們更有可能與您的網站互動並進行購買。
  • 防止停機:安全漏洞、駭客攻擊或惡意軟體感染可能會導致網站停機。 這不僅會擾亂您的業務運營,還會損害您的線上形象和利潤。
  • 避免法律後果:資料外洩和安全問題可能會導致法律責任,包括罰款和訴訟,特別是在客戶資料外洩的情況下。
  • 增強搜尋引擎優化:像Google這樣的搜尋引擎在其排名中優先考慮安全網站。 具有 SSL 憑證和強大安全措施的安全網站可以提高您的搜尋引擎可見度。

WordPress 常見的安全問題有哪些?

儘管 WordPress 平台總體上被認為是安全的,但其開源技術可能會透過外掛程式和主題、SQL、CSRF、文件利用、不安全託管等引入各種漏洞。

一些常見的 WordPress 安全性問題包括:

  • 過時的軟體:未能定期更新 WordPress 核心、主題和外掛程式可能會使您的網站容易受到已知安全漏洞的影響。
  • 弱密碼:使用弱密碼或容易猜到的密碼使攻擊者更容易未經授權存取您的網站。
  • 外掛漏洞:選擇將不安全的外掛程式新增到您的技術堆疊中會為惡意攻擊者帶來入侵您網站的機會。
  • 暴力攻擊:攻擊者透過反覆嘗試不同的使用者名稱和密碼組合來嘗試獲得存取權限,直到找到正確的組合。
  • SQL 注入:當攻擊者將惡意 SQL 程式碼插入您網站的輸入欄位時,就會發生這種情況,從而可能獲得對您的資料庫和敏感資訊的存取權限。
  • 跨網站腳本攻擊 (XSS):攻擊者將惡意腳本注入其他使用者檢視的網頁中,這可能導致資料被盜或網站損壞。
  • 跨站點請求偽造 (CSRF):這涉及欺騙經過身份驗證的用戶在他們不知情的情況下執行惡意操作。
  • 檔案包含漏洞:攻擊者利用未經清理的使用者輸入在您的伺服器上包含惡意檔案。
  • 垃圾郵件和惡意軟體:未能防範垃圾評論郵件和惡意軟體可能會導致網站入侵。
  • 網路釣魚:攻擊者可能使用虛假登入頁面或電子郵件來誘騙使用者洩露登入憑證或其他敏感資訊。
  • 資料外洩:配置不當的網站或第三方服務可能會導致資料外洩或使用者資訊外洩。
  • DDoS 攻擊:分散式阻斷服務攻擊可能會因流量過多而破壞網站可用性。

LiteSpeed 快取外掛漏洞和安全 WordPress 外掛的重要性

受歡迎的 LiteSpeed Cache 外掛程式最近的一個腳本漏洞影響了超過 400 萬個網站。

它使具有貢獻者等級或更高權限的威脅參與者能夠使用外掛程式的短代碼將惡意 Web 腳本注入頁面。 值得慶幸的是,WordFence 團隊及時發現並報告了這個漏洞。

若要確保您的技術堆疊不會損害您的網站,請執行以下操作:

  • 檢查插件的歷史和聲譽:大量的活躍安裝和積極的評論將幫助您評估插件的可靠性。
  • 分析更新頻率:確保插件定期更新,最後一次更新不超過幾個月。

WordPress 外掛程式詳細資訊和技術信息

  • 查看開發人員的支援回應:查看外掛程式的支援論壇,了解開發人員的回應速度和幫助程度。 良好的支持可以表明對插件品質和安全性的奉獻。
  • 驗證與您的 WordPress 版本的兼容性:不相容的外掛程式可能會引入安全漏洞或導致功能問題。
  • 評估插件的功能和權限:警覺需要不必要權限或提供不必要的臃腫功能集的插件。 更多的程式碼可能意味著更多的安全漏洞機會。
  • 執行安全檢查:使用 WPScan 等工具來識別插件的任何已知漏洞。 尋找與該插件相關的任何安全建議或討論。

WordFence 的 LiteSpeed 快取外掛程式安全漏洞文章

  • 從測試環境開始:在實時站點上安裝新插件之前,請在臨時站點上對其進行測試以監視其行為並確保它不會引入漏洞。
  • 尋找安全認可或認證:某些外掛程式可能有來自信譽良好的第三方公司的安全審核或認證,這可以增加其可信度。
  • 對免費插件保持謹慎:雖然許多免費插件都是安全且維護良好的,但請始終進行盡職調查,因為免費插件可能不會總是提供持續的支援和更新。
  • 定期備份您的網站:即使採取了所有預防措施,定期備份您的網站也很重要。 這並不能防止問題,但可以確保您在出現問題時能夠快速恢復。

使用外掛程式優化您的速度和效能,確保您的網站安全。 開始使用 NitroPack →

如何檢查您的 WordPress 網站是否安全?

如有疑問,您可以先透過線上網站安全掃描程序(例如 Qualys、SiteLock 或 VirusTotal)來執行您的網站。 這些工具可以檢查惡意軟體、漏洞和其他安全性問題。

SiteLock 免費線上網站安全掃描器

此外,您還可以從多個信譽良好的 WordPress 安全性外掛程式中進行選擇,例如 Wordfence Security、Sucuri Security、iThemes Security、NinjaScanner 和 WPScan。 直接跳到最佳 WordPress 安全插件,以了解更多詳細資訊和功能,以便為您的網站做出選擇。

WordPress 安全要點

保護網站的第一步是執行全面的 WordPress 安全性審核。 請依照以下步驟操作:

1. 更新您的 WordPress 核心、主題和插件

保持軟體最新是最有效的安全措施之一。 只需訪問您的 WP 管理員並檢查可用的更新。 WordPress 提供了一種大量更新外掛的簡單方法。 只需確保在網站更新後進行備份並審核即可。

WordPress 管理員更新選單

專業提示:從您的技術堆疊中完全刪除未使用的插件。

2. 確保您和使用者使用強而獨特的密碼

考慮使用信譽良好的密碼管理器,例如 LastPass、Dashlane 或 1Password。 這些工具可以為您產生、儲存和自動填入複雜的密碼。 強密碼有 10 個以上字符,同時使用大寫和小寫字母,並且不跳過特殊符號。

密碼強度範例

3.啟用雙重認證(2FA)

透過使用 WP 2FA 等外掛程式設定 2FA 來添加額外的保護層,該外掛程式要求使用者提供除密碼之外的第二種形式的驗證。 這裡的另一個額外措施是限制登入嘗試並為表現出可疑行為的用戶設定逾時。

4. 備份網站的資料庫和文件

如果您對自己的技術技能充滿信心:

透過FTP(檔案傳輸協定)或託管提供者提供的檔案管理器存取您網站的檔案。 將 WordPress 根目錄(通常是public_htmlwww 資料夾)中的所有檔案下載到本機。 然後,使用phpMyAdmin存取您網站的資料庫,該資料庫通常可以在您的託管控制面板中找到。 選擇您的 WordPress 資料庫並匯出整個資料庫。 將匯出的資料庫另存為本機上的 SQL 檔案。

或者,使用 Updraft Plus 等外掛程式以所需的時間間隔設定自動備份。

Updraft Plus WordPress 插件

5.使用Web應用程式防火牆(WAF)

網站防火牆會在所有惡意流量到達您的網站之前將其封鎖。 有兩種方法可以做到這一點:

  • DNS 等級網站防火牆:僅允許透過雲端代理伺服器路由流量來將真實流量傳送到您的 Web 伺服器。
  • 應用程式級防火牆:在流量到達您的伺服器後以及加載大多數 WordPress 腳本之前對其進行分析。 然而,它的效率並不高,因為它往往會增加伺服器負載。

檢查最好的 WordPress 防火牆外掛。

6. 切換到信譽良好的託管供應商

信譽良好的 WordPress 託管提供者應該提供強大的安全功能、主動監控和回應支持,以確保您的網站安全。

要尋找的功能包括(且不限於):

  • 強大的基礎設施安全
  • SSL 憑證包含
  • 定期備份
  • 24/7 網路監控
  • DDoS 防護
  • 惡意軟體掃描與移除
  • 自動 WordPress 更新
  • 專為 WordPress 配置的伺服器級快取
  • 支援安全文件傳輸協定 (SFTP)
  • 共享主機上的帳戶之間的隔離

請查看我們的綜合指南,了解如何為您的網站選擇合適的網站寄存供應商

提高 WordPress 安全性的先進技術

以下技術需要 WordPress 的管理員存取權限和足夠的技術知識。 在嘗試執行這些步驟之前,請務必備份您的網站並花時間考慮聯絡 WordPress 安全專家。

將您的 WordPress 網站移至 SSL/HTTPS

SSL(安全通訊端層)對使用者瀏覽器和 Web 伺服器之間傳輸的資料進行加密,從而增強網站的安全性。

指示:

  • 從您的託管提供者購買 SSL 憑證或使用免費憑證
  • 透過您的託管帳戶安裝並啟動證書
  • 透過前往設定 > 常規並將您的 WordPress 位址 (URL) 和網站位址 (URL) 從 http:// 更新為 https:// 來更新您的 WordPress URL
  • 透過將以下程式碼新增至 .htaccess 檔案來強制使用 SSL:

重寫引擎開啟
RewriteCond %{SERVER_PORT} 80
重寫規則 ^(.*)$ https://www.yourdomain.com/$1 [R,L]

更改 WordPress 登入頁面 URL

預設情況下,可以透過 wp-login.php 或 wp-admin 輕鬆存取 WordPress 登入頁面。 更改此設定有助於防止未經授權的登入嘗試。

指示:

  • 編輯 WordPress 根目錄中的 .htaccess 檔案並新增:

RewriteRule ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

  • mylogin替換為新的登入 URL slug,並將 123 替換為隨機字串。


更改預設的“admin”用戶名

預設的“admin”用戶名是駭客的目標,因此最好更改它。

指示:

  • 前往用戶 > 新增用戶,在 WordPress 中建立新用戶。
  • 為新使用者指派管理員角色。
  • 登出並使用新​​的管理員帳號登入。
  • 刪除舊的「admin」使用者並將所有內容歸屬於新使用者。

禁用文件編輯

WordPress 允許管理員編輯外掛程式和主題的 PHP 檔案。 停用此功能可以增強安全性。

指示:

  • 將以下行新增到您的 wp-config.php 檔案中:

定義('DISALLOW_FILE_EDIT',true);

禁用某些 WordPress 目錄中的 PHP 檔案執行

防止 PHP 在 wp-content/uploads 等目錄中執行可以幫助防止惡意腳本運行。

指示:

  • 在要保護的目錄中建立一個 .htaccess 檔案並新增:


所有人都否認

更改預設 WordPress 資料庫前綴

預設的wp_資料庫前綴是眾所周知的,因此更改它可以幫助保護您的資料庫免受 SQL 注入攻擊。

指示:

  • 備份您的資料庫。
  • 前往 phpMyAdmin,選擇您的資料庫,然後選擇“操作”標籤。
  • 在「表前綴」下,將 wp_ 變更為新前綴(例如 wpnew_),然後按一下「執行」。

停用目錄索引和瀏覽

這可以防止駭客看到您目錄中的檔案。

指示:

  • 將以下行加入您的 .htaccess 檔案:

選項-索引

在 WordPress 中停用 XML-RPC

XML-RPC 可用於暴力攻擊。 禁用它可以增強安全性。

指示:

  • 將以下程式碼加入您的 .htaccess 檔案:

# 封鎖 WordPress xmlrpc.php 請求

命令拒絕、允許
所有人都否認

自動登出 WordPress 中的空閒用戶:

這可以防止未經授權使用空閒會話。

指示:

  • 將此程式碼加入主題的functions.php檔案中:

add_action('wp_enqueue_scripts', 'idle_logout');
函數idle_logout() {
如果(is_user_logged_in()){
wp_enqueue_script('idle_logout', '/path-to-your-script/idle-logout.js', array('jquery'), '1.0.0', true);
}
}

  • 然後,使用 JavaScript 建立idle-logout.js檔案來追蹤空閒時間並登出使用者。


隱藏 WordPress 版本

洩漏 WordPress 版本可以為駭客提供有價值的資訊來搜尋安全漏洞。

指示:

  • 將以下行加入主題的functions.php 檔案:

刪除操作('wp_head','wp_generator');

阻止盜鏈

熱連結可以透過從其他網站直接連結到您網站的檔案來竊取頻寬。

指示:

  • 將以下程式碼加入您的 .htaccess 檔案:

重寫引擎開啟
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
重寫規則 \.(jpg|jpeg|png|gif)$ – [NC,F,L]

檢查使用者角色並設定檔案權限

僅將敏感區域的存取權限限制為需要的人,並為伺服器上的目錄和檔案設定適當的檔案權限。 限制對關鍵文件和資料夾的存取。

WordPress 檔案和目錄使用三位數字代碼來表示權限。 每個數字對應一個特定的權限等級:

4:讀取(r)
2:寫(w)
1:執行(x)

WordPress各種檔案和目錄的建議權限如下:

  • 文件(例如.php、.html): 644(所有者可以讀寫;其他人可以讀取)
  • 目錄: 755(所有者可以讀、寫、執行;其他人可以讀、執行)
  • wp-config.php(重要設定檔): 600(擁有者可以讀寫;其他人無權存取)
  • .htaccess(伺服器設定): 644(擁有者可以讀寫;其他人可以讀取)
  • 上傳目錄(例如,wp-content/uploads): 755(擁有者可以讀取、寫入和執行;其他人可以讀取和執行)

5 個最佳 WordPress 安全性插件

有幾個 WordPress 安全性外掛可以幫助檢查和保護您的網站:

1.Wordfence安全

WordFence 安全性 WordPress 外掛

Wordfence 是 WordPress 的綜合安全性外掛。 它包括防火牆保護、惡意軟體掃描、登入嘗試監控等功能。 免費版本提供有價值的安全檢查,而高級版本則提供高級功能。

安裝量: 4+萬
評分: 4.7/5

2. 蘇庫里安全

Sucuri 安全性 WordPress 插件

Sucuri 是一個網路安全平台,提供免費的網站掃描工具。 它會檢查您的網站是否有惡意軟體、安全性問題和漏洞。 他們還提供即時保護和監控的付費安全服務。

安裝數量: 90萬+
評分: 4.2/5

3. 可靠的安全性

可靠的安全 WordPress 插件

Solid Security 是一款尖端的 WordPress 安全插件,旨在增強您的網站。 它具有即時防火牆保護、惡意軟體掃描和安全登入機制等基本功能,提供了一體化解決方案來保護您的線上狀態。 憑藉其直覺的介面和自動安全檢查,Solid Security 可保護您的網站免受最新威脅,確保您高枕無憂。

安裝數量: 90萬+
評分: 4.6/5

4.安全忍者

安全忍者 WordPress 插件

Security Ninja 是一款專為 WordPress 網站量身打造的綜合安全性外掛程式。 憑藉其強大的工具集(包括核心掃描器、惡意軟體偵測和自動修復程式),它可以確保您網站的完整性和彈性。 該插件的主動安全檢查和一鍵修復功能使網站所有者能夠保護他們的網站。 無論您是新手還是精通技術的人,Security Ninja 都是抵禦網路威脅的絕佳工具。

安裝數量: 10,000+
評分: 4.8/5

5. 噴射背包保護

Jetpack 保護 WordPress 插件

Jetpack Protect 專門保護 WordPress 網站免受不必要的入侵。 它具有強大的暴力攻擊保護和停機監控功能,可確保您的網站安全和正常運作。 憑藉其簡化的設置,Jetpack Protect 無縫整合了即時備份和垃圾郵件防禦,確保您網站的資料保持完整併且您的互動真實。

安裝數量: 100,000+
評分: 4.8/5


如果您的 WordPress 網站被駭客入侵該怎麼辦

發現您的 WordPress 網站遭到駭客攻擊可能會令人痛苦,但迅速採取行動以減輕損害並恢復網站的安全非常重要。

  1. 隔離網站:如果您在同一伺服器上託管多個網站,請隔離被駭的網站,以防止感染傳播給其他人。 這可能涉及暫時使受影響的站點脫機。
  2. 還原網站的上次備份:若要快速解決問題,請還原到網站的早期版本。 如果您最近沒有備份過網站,請考慮在完成以下步驟後製定備份策略。
  3. 更改密碼:更改 WordPress 網站上所有使用者帳戶的密碼,包括管理員、編輯者和貢獻者。 確保使用強而獨特的密碼。
  4. 掃描惡意軟體:使用安全性外掛程式或第三方惡意軟體掃描工具掃描您的網站是否有惡意程式碼和惡意軟體。 如果您已經啟動了一個,請聯絡開發人員,在專業協助下解決問題。
  5. 識別並刪除可疑檔案:檢查您網站的檔案和目錄中是否有任何不熟悉或可疑的檔案。 駭客經常將惡意程式碼注入核心檔案、主題或外掛程式中。 刪除您懷疑已洩露的所有檔案。
  6. 清理資料庫:檢查您的 WordPress 資料庫是否有未經授權的變更或可疑內容。 將任何修改的表或條目恢復到原始狀態。
  7. 檢查使用者帳戶:審核您的註冊用戶清單並刪除任何不熟悉或未經授權的帳戶。 確保沒有未經授權的管理員。
  8. 更改安全金鑰和鹽:wp-config.php檔案中,更改安全金鑰和鹽。 此步驟可以幫助使任何被盜的登入憑證失效。
  9. 通知訪客:如果駭客可能洩露敏感用戶數據,請遵守資料外洩通知法並將外洩情況告知受影響的用戶。

如何提高 WordPress 安全性常見問題解答

WordPress 夠安全嗎?

WordPress 是一個信譽良好的內容管理系統 (CMS),由於它非常受歡迎,因此經常成為攻擊者的目標。 然而,WordPress 是否「足夠安全」取決於幾個因素,包括您如何配置、維護和使用它。 遵循本指南中概述的最佳實踐,您可以確保您的線上業務有一個安全的環境。

WordPress 是被駭客最多攻擊的 CMS 嗎?

Sucuri 2022 年年度報告強調 WordPress 是最常被駭客攻擊的 CMS,96.2% 的攻擊集中在該平台。 由於其廣泛使用,WordPress 是一個常見目標,並且確實有大量報告的駭客攻擊,但這並不一定意味著它不如其他 CMS 平台安全。

WordPress 網站最容易受到攻擊的部分是什麼?

最容易受到攻擊的部分通常是主題和插件,以及弱管理密碼。

如何免費保護我的 WordPress 網站?

實施強密碼、保持 WordPress 更新,並使用 Wordfence 或 Security Ninja 等免費安全性外掛程式來增強網站的安全性。

舊版的 WordPress 更容易被駭客攻擊?

是的,舊版的 WordPress 更容易被駭客攻擊,因為它們通常包含未修補的安全漏洞。 請務必檢查最新更新,以保護您的網站。

如何防止 WordPress 上的惡意軟體?

保持 WordPress 更新,使用信譽良好的主題和插件,並安裝提供惡意軟體掃描和防火牆保護的安全插件。

我真的需要 WordPress 安全性外掛嗎?

強烈建議使用安全插件,因為它提供了全面的安全措施,並且可以自動執行確保 WordPress 網站安全所需的許多任務。