網站成日被掃描、試密碼,仲擔心 WordPress 網站安全性唔夠?其實只要掌握幾個關鍵設定,就可以大幅降低被入侵風險。由登入防護、外掛選擇到備份機制,一步步幫你建立穩陣防線,唔使再驚資料突然消失,輕鬆守住網站安全。
WordPress 安全設定實務操作步驟
剛安裝好 WordPress 的預設設定並不安全,有幾個地方需要立即處理。很多人裝完就直接開始寫文章,忽略了這些基礎設定,等出事才後悔。
核心安全設定清單
- 更新 WordPress 核心、佈景主題及所有外掛至最新版本
- 將預設管理員帳號 「admin」改為獨特用戶名稱,這是駭客暴力破解的首要目標
- 修改資料庫表格前綴,預設的 wp_ 前綴讓 SQL 注入攻擊更容易
- 停用 XML-RPC 功能(除非有需要),這個介面常被用作攻擊入口
- 隱藏 WordPress 版本號,避免洩露系統資訊給攻擊者
- 設定正確的檔案與目錄權限(目錄 755,檔案 644)
在 wp-config.php 加入安全金鑰(Security Keys)也是重要步驟,可以到 WordPress 官方金鑰產生器直接生成。另外,把 wp-config.php 移到網站根目錄以上一層,也可以增加額外保護。這些設定說起來簡單,但真正有做到位的站長其實不多。
啟用 SSL 憑證是另一個基礎但關鍵的步驟。HTTPS 不只是 SEO 排名因素,更是保護用戶資料傳輸安全的基本要求。香港不少主機服務商已提供免費的 Let’s Encrypt 憑證,沒有理由不裝。
如何有效防止網站暴力登入攻擊
暴力破解(Brute Force Attack)是 WordPress 最常見的攻擊方式之一,攻擊者會用自動化工具不斷嘗試不同的用戶名稱與密碼組合。防止這類攻擊有幾個實際有效的方法:
快速防護步驟
- 限制登入嘗試次數:設定連續失敗 3–5 次後鎖定 IP 一段時間
- 更改預設登入網址:把 /wp-admin 或 /wp-login.php 改為自訂路徑,大幅減少自動化攻擊流量
- 啟用雙重驗證(2FA):即使密碼外洩,攻擊者也無法登入
- 使用至少 16 位包含大小寫、數字及特殊符號的強密碼
- 設定登入頁面的 IP 白名單(適合固定辦公室 IP 的企業用戶)
根據 Sucuri 的網站安全報告,超過 60% 的入侵案例與帳號憑證相關,可見登入保護有多重要。雙重驗證雖然多一個步驟,但保護效果顯著,建議所有管理員帳號都要開啟。
WordPress 防駭技巧提升整體防護力
除了基礎設定,進階的防駭技巧能大幅提升整體資安漏洞的防禦能力。這些技巧不需要很深的技術背景,但需要養成習慣。
定期審查安裝的外掛與佈景主題是很多站長忽略的環節。安裝了就忘記的外掛,長期不更新會成為安全漏洞的來源。建議每月清理一次不用的外掛,只保留必要的工具。選擇外掛時,優先考慮安裝量超過 10 萬、最近有更新、有良好評價的產品。
Web Application Firewall(WAF)是另一個值得投資的防護層。WAF 可以在惡意請求到達你的網站伺服器之前就攔截,有效對抗 SQL 注入、XSS 跨站腳本等常見攻擊手法。
另外,HTTP 安全標頭(Security Headers)的設定也能強化防護,包括 X-Content-Type-Options、X-Frame-Options 及 Content-Security-Policy 等,雖然需要稍微熟悉伺服器設定,但效果相當實在。可以用 Security Headers 分析工具免費檢測你的網站現況。
安全外掛推薦與選擇重點分析
市面上的 WordPress 安全外掛選擇多,但不代表裝越多越好——外掛之間可能互相衝突,甚至本身成為漏洞來源。以下是三款主流選擇的比較:
| 外掛 | 主要功能 | 免費版限制 | 付費版約價 |
| Wordfence Security | 防火牆、惡意程式掃描、登入保護、流量監控 | 掃描規則延遲 30 天更新 | 約 HKD 700/年起 |
| Sucuri Security | 網站監控、完整性檢查、黑名單監測、WAF(付費) | 無 WAF 功能 | 約 HKD 1,500/年起 |
| iThemes Security | 登入保護、雙重驗證、檔案變更偵測、密碼強化 | 功能較基礎 | 約 HKD 620/年起 |
對於大多數香港中小企業網站,Wordfence 免費版加上基礎手動設定已經足夠應付大部分威脅。如果網站涉及電商或處理用戶個人資料,建議考慮升級付費版或選用 Sucuri 的 WAF 服務,保護層級明顯更高。不要貪心一次裝三個安全外掛,選一個認真設定好,比三個都用預設設定有效得多。
網站漏洞檢測工具實際應用方法
定期掃描網站漏洞是主動式防禦的關鍵,等到出事才查就太晚了。以下工具各有適用情境:
常用免費檢測工具
- WPScan:專門針對 WordPress 的漏洞掃描工具,可以偵測已知外掛漏洞、弱密碼及設定問題。命令列操作,適合有基礎技術能力的用戶
- Sucuri SiteCheck:免費線上掃描工具,檢測惡意程式、黑名單狀態及基本安全問題,適合非技術用戶快速檢查
- Google Search Console:若網站被植入惡意程式,Google 通常會在這裡發出警告,應定期查看安全問題報告
建議每月至少做一次完整掃描,每次更新外掛或佈景主題後也要掃描一次。掃描結果顯示的漏洞要按嚴重程度排序處理,高風險漏洞要在 24 小時內修復。
網站資料備份最佳做法與頻率建議
備份是網站安全的最後一道防線,沒有備份的網站等於在走鋼線。就算安全措施做得再好,都不能保證百分百安全,所以備份機制必須獨立存在。
備份策略建議
- 每日備份:活躍更新的電商或新聞網站
- 每週備份:內容更新頻率中等的企業網站或部落格
- 每月備份:靜態展示型網站(最低要求)
備份要存放在獨立於主機的位置,例如 Google Drive、Amazon S3 或本地硬碟,否則主機出問題時備份一樣沒了。UpdraftPlus 是 WordPress 備份外掛中的老牌選擇,免費版已支援自動備份到雲端儲存,設定簡單,香港用戶使用體驗普遍良好。
備份完要定期測試還原流程,很多人備份了卻從沒試過能否真正還原,等到需要用的時候才發現備份損毀,咁就真係喊都冇用。
強化登入與權限管理的實務技巧
帳號權限管理是網站資安中容易被低估的環節。特別是多人協作的網站,如果每個人都用管理員帳號,一旦其中一個帳號被入侵,整個網站就全部曝光。
WordPress 的用戶角色分為:超級管理員、管理員、編輯、作者、投稿者、訂閱者。最小權限原則是關鍵——只給予用戶完成工作所需的最低權限。撰稿人只需要「作者」權限,不需要管理員權限。
定期審查用戶清單,刪除離職員工或不再需要的帳號。可以安裝 User Activity Log 類型的外掛,記錄所有用戶的操作行為,方便追蹤異常活動。另外,強制所有管理員帳號啟用雙重驗證,這個規定要成為團隊的標準流程,而不是可選項目。
常見網站攻擊手法與防範策略
了解攻擊手法才能有針對性地防禦,以下是 WordPress 網站最常遇到的幾種攻擊:
- SQL 注入(SQL Injection):透過表單或 URL 輸入惡意 SQL 語法,竊取或破壞資料庫。防範方法是使用參數化查詢,避免直接將用戶輸入帶入 SQL 語句,並安裝 WAF 過濾惡意請求。
- 跨站腳本攻擊(XSS):在網頁中注入惡意腳本,影響訪問用戶。防範方法是過濾所有用戶輸入,並設定適當的 Content Security Policy。
- 檔案上傳漏洞:透過上傳含惡意程式碼的檔案取得伺服器控制權。限制上傳檔案類型,並確保上傳目錄無執行權限。
- DDoS 攻擊:大量流量癱瘓伺服器。使用 Cloudflare 等 CDN 服務可以有效吸收攻擊流量,保護源站伺服器。
根據 OWASP Top 10 安全風險清單,SQL 注入與 XSS 長期位居最危險漏洞之列,值得重點關注。
建立系統化網站安全維護流程
一次性的安全設定不夠,需要建立持續的維護流程。可以把以下任務排進工作日曆:
每週任務
- 檢查 WordPress 核心、外掛及佈景主題的更新通知
- 查看安全外掛的警報紀錄
- 確認備份是否正常執行
每月任務
- 執行完整漏洞掃描
- 審查用戶帳號清單與權限設定
- 測試備份還原流程
- 檢視伺服器存取日誌,尋找異常行為
建立文件化的安全維護清單,讓流程可以標準化執行,而不是全靠記憶。如果網站是企業核心業務,也值得考慮聘請專業的 WordPress 維護服務,或購買包含主動監控的安全方案。香港有不少本地網頁設計公司提供這類月費維護服務,費用從 HKD 300–1,500/月不等,視乎服務範圍而定。
總結與行動建議
WordPress 網站安全性不是一次設定就能永久安心的事,需要持續投入和維護。把以下幾點作為你的起步行動:
- 今天就檢查並更新所有 WordPress 核心、外掛及佈景主題,這是最快速見效的安全措施
- 設定自動備份到獨立雲端位置,並實際測試還原一次,確認備份真正可用
- 選擇一個安全外掛認真設定好,啟用防火牆和登入保護功能
- 為所有管理員帳號開啟雙重驗證,順便審查一次用戶清單
- 建立每月安全維護的固定流程,用日曆提醒自己定期執行
安全防護這件事,做得早好過做得遲。唔需要一次過做晒所有事,但每個月穩定改善,累積下來的防護力真係差好遠。從今天開始,選擇其中一個步驟執行,比繼續拖延更有意義。






