註:本系統與客戶(帳務)系統帳號密碼不同,發送信件不需登入

 
知識庫
如何增加WordPress網站安全性!
發佈人 Shimi Zheng 發表於 09 November 2018 01:45 PM

前陣子WordPress4.9.6才出現漏洞問題,駭客可利用獲取編輯檔案的權限來控制WordPress整個安裝檔案,嚴重性可將整個WordPress抹除,若沒有適當備份網站檔案的畫,將很有可能無法還原網站,你現在還覺得網站安全性不重要嗎?雖然現在駭客手法持續進化改變,但我們可以透過以下一些方式來加強網站安全性。

 

▲ 提高帳號登入安全性

  1. 更改WordPress 登入網址

      將登入網址更改可避免駭客或有心人士攻擊入侵,因WordPress登入網址都是固定的「網址加上wp-login.php」,我們可以使用「WPS Hide Login」自行設定Login網址,而原本預設的登入網址會顯示「This has been disabled」,防止駭客嘗試登入網站。

 

  1. 啟用二階段登入驗證功能

     當有駭客取得你的帳密時還需透過第二階段認證才能登入,WordPress並沒有提供登入時二階段驗證功能,但我們可以透過外掛「authy-for-wp」或「Google Authenticator」來安裝。

 

  1. Admin權限設為訂閱者

      應該設定不同使用者名稱來管理網站,並且將預設的使用者Admin刪除或改為訂閱者權限。
      可從WordPress後台>帳號>將帳號改為訂閱者。

  1. 將登入頁與後台管理頁面改用”https”來進行連線,上一篇有提到,讓網址強制顯示”https連線方式”,將根目錄/public_html內的.htaccess檔加上以下文字碼>

       RewriteCond %{SERVER_PORT} !^443$

       RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]



     也別忘了在WordPress後台>一般/設定內> WordPress位址&網站位址>改為https的連結。

 

  1. 將預設的「私密金鑰」做更改

      前幾篇有教過,將wp-config.php檔案內的預設金鑰>到此網址https://api.wordpress.org/secret-key/1.1/salt/ 將新的金鑰複製起來>回到wp-config.php檔案內>貼上覆蓋原掉舊的金鑰碼。

 

  1. 限制IP登入WordPress後台

 wp-admin wp-login.php都限定進入的IP

若是固定IP可在wp-admin 下新增.htaccess檔案>新增以下語法將IP字改成自己的IP即可

“<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{REMOTE_ADDR} !^12.114.xx.xx”






▲保護檔案目錄

1.防止使用者直接瀏覽你的檔案目錄

開啟WordPress根目錄底下的.htaccess 檔案>在最上方加入這行”Options -Indexes”,能夠防止他人在建立清單檔案時,看到你資料夾內所有檔案。



 2.重新命名資料表前綴

wp-config.php 是wordpress重要的系統檔,預設前綴字都是WP_開頭,建議更改其他名字,不然容易被駭客找到檔名進而利用。可利用外掛程式「db-prefix-change」來改所有的前綴文字。

 
▲利用外掛來監控WordPress網站

1.WordFence Security防火牆和惡意軟件掃描

提供web應用程序防火牆並阻止惡意流量,同時擁有掃描程序可供檢查是否有惡意軟件、URL、垃圾郵件、外掛等,可檢查是否存在安全漏洞,並發出通知警告。

 



2.VIP Scanner

可以掃描你的佈景主題、包含文件目前是否有問題,且可偵測你的佈景主題是否被置入了廣告程式碼。

VIP Scanner安裝方式>將文件夾上傳到wp-content/plugins/目錄>在WordPress外掛目錄中啟動外掛>在工具點選VIP Scanner



【教學影片】


(0 votes)
非常有幫助
沒有任何幫助

遠振資訊有限公司 • 統一編號:28132571
服務專線:(02) 7709-3586 • 傳真號碼:(02) 8192-6457 • 地址:23586 新北市中和區中正路866之11號12樓
遠振資訊服務網址: [ 雲端主機 ] • [ 虛擬主機 ] • [ 實體主機 ] • [ SSL 憑證 ] • [ 網域申請 ] • [ cPanel 教學 ] • [ WHM 教學 ]
本公司為領有執照之二類電信公司,並由 弘道聯合律師事務所 擔任常年法律顧問 • Copyright 2013 All Rights Reserved