• 跳至主要導覽
  • Skip to main content
  • 跳至主要資訊欄

免費資源網路社群

免費資源指南,每日網路資訊與科技新知

  • 免費軟體
    • Mac
    • VPN
    • 瀏覽器外掛
      • Chrome
      • Firefox
      • Safari
    • 防毒軟體
    • 系統工具
    • 圖片處理
    • 文字編輯
  • APP
    • iOS
    • Android
  • 線上工具
    • 雲端掃毒
    • 線上翻譯
    • 線上轉檔
    • 縮網址
    • 產生器
    • Proxy
  • 免費空間
    • 網路硬碟
    • 圖片空間
    • 影片空間
    • 網站空間
  • 熱門主題
    • YouTube
    • Facebook
    • Dropbox
    • LINE
    • 字型下載
    • 免費圖庫
    • 限時免費
  • 網路科技
    • 個人服務
    • 實用教學
    • 免費桌布
    • 資料查詢
  • 架站資源
    • WordPress
    • DNS
    • 素材模版
    • 免費圖示
    • 搜尋引擎最佳化
    • 網站監測
  • 編輯精選
首頁 / 熱門主題 / 9 個提升 WordPress 網站安全性的方法

9 個提升 WordPress 網站安全性的方法

本文參考資料為 How to Improve the Security of your WordPress Blog, 已取得原作者 Amit Agarwal 授權。

大約一個月前,這個部落格被黑客入侵(編按:Amit Agarwal 的網站)。而其他托管於相同主機商的網站像是 ctrlq.org 和 hundredzeros.com 也深受其害,黑客成功從網路上拿下了這些網站。

托管網站的主機商表示這可能發生於某些使用舊版的 WordPress 網站,導致密碼不幸洩漏,這段時間雖然歷經一些艱難,但幸運的是被刪除的網站已經回復,且流量也回到正常。

9 個提升 WordPress 網站安全性的方法

以下是我所做的變更,用來提高我的 WordPress 網站安全性,縱使這樣的意外可能再次發生。

#1 使用你的 Email 作為登入帳號

當你安裝完一個 WordPress 網站時,預設的第一位用戶為 “admin”。你應該建立不同的使用者名稱來管理你的 WordPress 網站,並將預設使用者 “admin” 刪除,或是將它的權限從「系統管理員」降級為「讀者」。

你也可以建立一個完全亂數(難以被猜中)的使用者名稱,然後使用你的 Email 來登入 WordPress。外掛 WP-Email Login 可以加入此支援,使用你的 Email 取代帳號登入。

#2 不要向全世界展示你的 WordPress 版本

WordPress 網站會在原始碼顯示版本號,讓其他人能夠知道你正在執行舊的 WordPress。

要從網頁裡移除 WordPress 版本是很簡單的一件事,但你需要做一些額外的補強,從你的 WordPress 目錄將 readme.html 檔案刪除,因為它也會把你所使用的 WordPress 版本展示給全世界。

#3 別讓其他人擁有”寫入”你 WordPress 目錄的權限

登入你的 WordPress 網站 Linux 系統列,執行以下指令來取得所有「公開」、其他用戶皆能寫入的目錄清單。

find . -type d -perm -o=w

你也許可以執行以下兩行指令,來將你 WordPress 內的檔案和目錄設定為正確的權限(參考資料)。

find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;

對目錄來說,755(rwxr-xr-x) 意味著只有擁有者具備寫入權限,其他人只有讀取和執行的權限。對檔案來說,644 (rw-r–r–) 意味著只有檔案擁有者具備讀取和寫入權限,其他人為唯讀。

#4 重新命名你的 WordPress 資料表前綴

如果你使用預設選項來安裝 WordPress 的話,你的 WordPress 資料表應該會像是 wp_posts 或 wp_users。將資料表的前綴(wp_)更改為其他隨機值是比較好的作法,外掛 Change DB Prefix 可以讓你在彈指之間重新命名你的資料表前綴。

#5 防止使用者瀏覽你的 WordPress 目錄結構

這很重要。開啟你 WordPress 根目錄底下的 .htaccess 檔案,然後在最上方加入這行。

Options -Indexes

這能夠防止其他人在能建立檔案清單時看到你資料夾內的所有檔案。例如目錄下缺少預設的 index.php 或 index.html 時。

#6 更新 WordPress 安全密鑰

開啟此網頁來為你的 WordPress 網站產生八組安全密鑰。開啟 WordPress 目錄下的 wp-config.php 檔案,將預設的密鑰以產生的密鑰取而代之。

這些隨機的字串能使你儲存於 WordPress 的密碼更加安全,另一個好處是,當有人在你不知情的情況下登入 WordPress,他們將會被立即登出,使他們的 cookies 失效。

#7 保留 WordPress PHP 和資料庫錯誤記錄

從錯誤記錄有時候可以發現針對你 WordPress 所發出的無效資料庫查詢或檔案查詢。我更喜歡外掛 Error Log Monitor,因為它能定期透過 Email 發送錯誤日誌到你的信箱,也能顯示於你的 WordPress 控制台。

要在 WordPress 啟用錯誤日誌功能,將以下程式碼加入你的 wp-config.php 檔案,記得要把 /path/to/error.log 替換為你的日誌文件實際路徑。error.log 應該放在無法直接從瀏覽器存取得到的目錄。(參考資料)

define('WP_DEBUG', true);
if (WP_DEBUG) {
 define('WP_DEBUG_DISPLAY', false);
 @ini_set('log_errors', 'On');
 @ini_set('display_errors', 'Off');
 @ini_set('error_log', '/path/to/error.log');
}

#8 以密碼保護 Admin 控制台

使用密碼來保護 wp-admin 目錄是一個不錯的方法,因為瀏覽你的公開 WordPress 網站並不需要用到這目錄下的任何檔案。一旦設定完成,即使是授權的用戶也需要輸入兩道密碼才能登入他們的 WordPress 控制台。

#9 追蹤你的 WordPress 伺服器登入動態

你可以在 Linux 下使用 “last -i” 指令來列出所有登入你 WordPress 伺服器的使用者,包括他們的 IP 位址。如果你發現清單內有未知的 IP 來源,那肯定要修改密碼了。

此外,下面的指令將顯示較長時間區間的登入動態,並使用 IP 位址分組(將 USERNAME 改為你的使用者名稱)。

last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c

使用外掛來監控你的 WordPress 網站

WordPress.org 外掛庫包含不少好用的安全相關外掛,可以持續監控你的 WordPress 網站是否有被入侵,或是其他可疑活動。這些是我會建議使用,也較為基本的安全外掛。

  1. Exploit Scanner – 它會迅速掃描你的所有 WordPress 檔案和文章,並列出潛藏惡意程式碼的。例如垃圾鏈結可能會使用 CSS 或 IFRAME 方式隱藏在你的 WordPress 網誌文章裡,而這個外掛可以將它們找出來。
  2. WordFence Security – 這是一個非常強大、且應該使用的安全外掛。它會比對你 WordPress 的核心檔案和原始檔案間是否已被修改。而且,該外掛會鎖定嘗試登入你的網站卻失敗的使用者。
  3. WordPress Sentinel – 另一個實用的外掛,可以監控你的 WordPress 檔案,當有任何檔案被加入、刪除或修改時會發出警告。
  4. WP Notifier – 如果你不常登入你的 WordPress 控制台,那這外掛適合你。它會在你安裝的佈景主題、外掛和 WordPress 核心有新的更新時以 Email 通知你。
  5. VIP Scanner – “官方”安全外掛將掃描你的 WordPress 佈景主題有無任何問題,它也能檢測出有無任何的廣告程式碼被注入你的 WordPress 佈景主題裡。

小技巧:你也可以使用以下 Linux 指令來列出近三天被修改的檔案清單。將 mtime 改為 mmin 可以看到 “n” 分鐘前被修改的檔案清單。

find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"

提高 WordPress 登入頁面安全性

你的 WordPress 登入頁面是每個人都可以存取的,但如果你想防止未授權的使用者登入 WordPress,你有以下三種選擇。

  1. 使用 .htaccess 加入密碼保護 – 在 WordPress 認證以外加入另一道帳號密碼來保護你的 wp-admin 目錄。
  2. Google Authenticator – 這出色的外掛能為你的 WordPress 加入兩步驟驗證功能。除了輸入正確的密碼外,還必須搭配手機應用程式來輸入隨機產生的驗證碼。
  3. Login Dongle – 這個外掛使用一個非常獨特的方法來保護你的 WordPress。它能產生一個書籤列(加上秘密問題),你可以將它加入瀏覽器。當你要登入 WordPress 時,輸入你的密碼並按下書籤列才能登入 WordPress – 登入頁面的按鈕將無法使用。

深入閱讀:

  • 安裝 WordPress 後你應該做的 25 件事

分類:熱門主題, 編輯推薦 標籤:WordPress, WP, 安全套件, 安全相關, 搬家, 教學, 架站教學, 架站程式, 熱門主題, 編輯嚴選, 編輯推薦, 虛擬主機, 部落格

Avatar for Pseric

關於 Pseric

學生時代成立網站以來堅持每日更新,在挖掘資料的過程中慢慢找出自己經營網站的方法,最開心的是有一群一起長大的讀者。

主要側邊欄

使用電子郵件訂閱網站

輸入你的電子郵件地址訂閱網站新文章,使用電子郵件接收通知。

站內搜尋

最新文章

  • Moises.ai 線上去除人聲工具,從音樂音軌取出伴奏或其他樂器聲音
  • Authy 可備份的 Google Authenticator 替代方案,支援多裝置同步驗證碼
  • VaultPress 完整備份你的 WordPress 網站,無痛搬家或回復特定時間點
  • Hexometer Website Analyzer 分析網站使用那些第三方服務或工具(Chrome、Firefox)
  • Online Video Cutter 線上影片裁切工具,集合旋轉方向和調整畫質功能
  • 換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?
  • Responsive Viewer 在單一頁面查看網頁在不同螢幕大小裝置的顯示樣貌(Chrome 擴充功能)
  • Go64 升級 macOS 10.15 前幫你檢查電腦上還有那些 32 位元應用程式

精選主題

  • 思源黑體:Adobe 與 Google 合作開發開放原始碼中文字型
  • 思源宋體 Noto Serif CJK 字型免費下載!Google、Adobe 再次攜手推出開放原始碼字體
  • Apple Music 登陸台灣!免費三個月試用音樂串流服務,不聽音樂要幹嘛?
  • [下載] WinRAR 解壓縮軟體正式推出中文免費版,別再用盜版破解版了!
  • Mipony 白馬下載器:網路下載必裝!支援數百免空可突破下載限制
  • Outline 來自 Google 全自動自架 VPN 安裝工具,突破中國網路封鎖限制
  • Cloudflare 1.1.1.1 免費公眾 DNS 服務,創造更快速、安全隱私的網路環境
  • Spotify 免費聆聽 4000 萬首歌,音樂串流應用 iOS、Android 版下載
  • Kaspersky Free 2019 卡巴斯基最新免費防毒軟體下載,改善速度、安全性和掃描技術
  • Peggo 終止服務!5 個 YouTube 轉檔下載替代方案推薦
  • 日本亞馬遜 AmazonGlobal 線上購物直送台灣,免消費稅免找代購
  • 台北黑體 Taipei Sans TC 繁體中文字型免費下載,更適合印刷的字體風格
  • PS4 Pro 更換 SSD 教學,也許最大的敵人不是魔王而是讀取速度太慢
  • 中華郵政 i郵箱初體驗,24 小時自助郵局寄件取件超方便
  • YouTube Music 免費音樂串流服務正式登場,升級 Premium 零廣告體驗

贊助商連結

實用教學

  • 46個免費圖庫網站總彙整
  • 15個免費下載高解析度圖片最佳圖庫
  • 下載高畫質相片素材的13個免費圖庫資源精選
  • 12個你應該知道的中英文假字、文章產生器
  • 20個免費下載創用 CC 授權音樂的網站彙整
  • 40個設計師必備免費資源超推懶人包
  • Google 商家被留負評該檢舉刪除?或許業主更該做的是回應疑慮
  • Facebook 全新下載資料副本功能,一次備份所有臉書記錄匯出
  • Instagram 資料下載讓使用者完整備份相片影片、留言、訊息等個人記錄
  • 7 個線上接收手機簡訊驗證碼的免費網路服務整理
  • 如何重灌 Mac 電腦?重新安裝 macOS 自動更新為最新版本教學
  • PayPal 兩步驟驗證設定教學,以手機簡訊或應用程式降低被盜用風險
  • 以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學

WordPress 架站資源

  • 搬家自架 WordPress 推薦的五個虛擬主機服務
  • 架站更上一層樓,我推薦的五個虛擬專屬主機(VPS)服務
  • WordPress Hosting 架站空間精選,最多人推薦的五個國外虛擬主機方案
  • 如何挑選一個適合你的虛擬主機服務?我參考的七個比較項目
  • 自架 WordPress 虛擬主機租用教學,將網誌備份匯出、匯入到新家
  • 在 WordPress 設定 HTTPS,強制使用 SSL 安全加密協定教學
  • 殺手級 WordPress 體檢項目:101 個建立新網站的超簡易捷徑!
  • Cloudflare 架站者必備免費 CDN、DNS 託管服務設定教學
  • 台灣用戶也能在 Google Domains 註冊購買網域名稱,詳細申請設定教學
  • 16 個免費網站速度測試工具推薦!網頁效能評比,搜尋引擎最佳化必備
  • 亞馬遜 VPS 服務 Amazon Lightsail 搭配 ServerPilot 快速架設 WordPress 教學
  • 165 個 WordPress 官方開發佈景主題設計 Jetpack 使用者免費下載
  • 使用 Google Cloud Platform 雲端主機免費版架設 WordPress 教學
  • 使用 Cloudways 架設 WordPress 網站教學,快速部屬最佳化環境
  • RunCloud 佈署最佳化主機環境,整合 DigitalOcean 架設 WordPress 教學
  • 使用 SiteGround 虛擬主機一鍵快速安裝 WordPress 教學
  • Cloudflare 變身域名註冊商,以最低價續費含免費 SSL、WHOIS 隱藏功能
  • FastComet 評價極高的虛擬主機推薦,一鍵安裝 WordPress 教學
  • VaultPress 完整備份你的 WordPress 網站,無痛搬家或回復特定時間點

贊助商連結

Powered by Cloudways
We Love Jetpack!
Stock Photos, Vectors and Royalty Free Images from 123RF

授權方式

免費資源網路社群由 Pseric 製作,以創用 CC 姓名標示-非商業性-禁止改作 4.0 國際授權條款釋出。

  • Facebook
  • Twitter
  • LinkedIn
  • Pinterest
  • Instagram
  • RSS

免費資源網路社群使用 WordPress 建置,最高級的語意化個人出版平台・關於本站・隱私權政策