知識庫:
如何增加WordPress網站安全性!
發佈人 , lastmodifiedby Sherry Li 發表於 16 12月 2022 05:36 下午

前陣子WordPress4.9.6才出現漏洞問題,駭客可利用獲取編輯檔案的權限來控制WordPress整個安裝檔案,嚴重性可將整個WordPress抹除,若沒有適當備份網站檔案的畫,將很有可能無法還原網站,你現在還覺得網站安全性不重要嗎?雖然現在駭客手法持續進化改變,但我們可以透過以下一些方式來加強網站安全性。

▲ 提高 WordPress 帳號登入安全性

1. 更改 WordPress 登入網址

將登入網址更改可避免駭客或有心人士攻擊入侵,因WordPress登入網址都是固定的「網址加上wp-login.php」,我們可以使用「WPS Hide Login」自行設定Login網址,而原本預設的登入網址會顯示「This has been disabled」,防止駭客嘗試登入網站。

預設外掛燈入頁面為 https://example.com/login   ,example.com 請更換為您的網址

若需要另外設定登入網址,可到外掛,WPS Hide Login 設定內, Login URL 進行變更。

 

2. 啟用二階段登入驗證功能

當有駭客取得你的帳密時還需透過第二階段認證才能登入,WordPress並沒有提供登入時二階段驗證功能,但我們可以透過外掛「authy-for-wp」或「Google Authenticator」來安裝。

 

3. 把 Admin 權限設為訂閱者

應該設定不同使用者名稱來管理網站,並且將預設的使用者 Admin 刪除或改為訂閱者權限。
可從 WordPress 後台➙帳號➙將帳號改為訂閱者。

4. 將登入頁與後台管理頁面改用”https”來進行連線

上一篇有提到,讓網址強制顯示”https連線方式”,將根目錄/public_html內的.htaccess檔加上以下文字碼:

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]



也別忘了在 WordPress 後台➙一般/設定內➙ W ordPress 位址&網站位址➙改為https的連結。

 

5. 預設的「私密金鑰」做更改

前幾篇有教過,將wp-config.php檔案內的預設金鑰>到此網址https://api.wordpress.org/secret-key/1.1/salt/ 將新的金鑰複製起來>回到wp-config.php檔案內>貼上覆蓋原掉舊的金鑰碼。

 

6. 限制 IP 登入 WordPress 後台

 wp-admin wp-login.php都限定進入的IP
若是固定IP可在wp-admin 目錄下新增 .htaccess 檔案  >  新增以下語法將1.1.1.1字改成自己的IP即可
若該檔案已存在,可將代碼放置最後一行即可
example.com 修改為 導向的網址,若用戶並非在自己IP內,將會導向您編寫登入後轉向的網址
自己的IP可以利用 > https://myip.com.tw 進行查詢

------------------------------------------------------------------------------------

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^1.1.1.1
RewriteRule .* https://example.com/[R,L]
</IfModule>
------------------------------------------------------------------------------------





▲ 保護檔案目錄

1. 防止使用者直接瀏覽你的檔案目錄

開啟 WordPress 根目錄底下的 .htaccess 檔案>在最上方加入這行 ”Options -Indexes”,能夠防止他人在建立清單檔案時,看到你資料夾內所有檔案。





2. 重新命名資料表前綴

wp-config.php 是 wordpress 重要的系統檔,預設前綴字都是WP_開頭,建議更改其他名字,不然容易被駭客找到檔名進而利用。可利用外掛程式「db-prefix-change」來改所有的前綴文字。

 

▲ 利用外掛來監控 WordPress 網站

1. WordFence Security 防火牆和惡意軟件掃描

提供web應用程序防火牆並阻止惡意流量,同時擁有掃描程序可供檢查是否有惡意軟件、URL、垃圾郵件、外掛等,可檢查是否存在安全漏洞,並發出通知警告。

 



2.VIP Scanner

可以掃描你的佈景主題、包含文件目前是否有問題,且可偵測你的佈景主題是否被置入了廣告程式碼。

VIP Scanner安裝方式>將文件夾上傳到wp-content/plugins/目錄>在WordPress外掛目錄中啟動外掛>在工具點選VIP Scanner



【教學影片】




>> 了解更多 WordPress主機 規格功能
(0 votes)
非常有幫助
沒有任何幫助

相關評論 (0)
遠振資訊股份有限公司 • 統一編號:28132571
服務專線:4499-343 (手機撥打請加 02)• 地址:235601 新北市中和區中正路866之7號12樓
[ 雲端主機 ] • [ 虛擬主機 ] • [ 實體主機 ] • [ SSL 憑證 ] • [ 網域申請 ] • [ cPanel 教學 ] • [ WHM 教學 ]
本公司由 鴻安法律事務所秘書 擔任常年法律顧問 • Copyright 2013-2023 All Rights Reserved