WordPress 是全球最受歡迎的網站建設平台,但由於其開源特性,往往成為駭客攻擊的目標。為了保障網站的安全,網站管理者必須採取有效的防護措施。本文將介紹幾個關鍵的安全防護技巧,幫助你提升 WordPress 網站的防護能力,防範駭客入侵,保護網站資料與使用者隱私。
WordPress 網站安全為何愈來愈重要
近年香港有不少中小企、網店、甚至個人博客都選擇用 WordPress 建站,原因很簡單——上手快、插件多、設計靈活。但這個普及程度也讓它成為駭客最愛攻擊的目標之一。據統計,全球超過 40% 的網站都建在 WordPress 之上,這意味著一旦有漏洞被公開,受影響的網站數量龐大得嚇人。
香港本地不少企業主曾跟我分享過被入侵的經歷:網站突然跳轉去賭博平台、Google 搜尋結果出現日文垃圾連結、甚至客戶資料被盜。這些情況並非罕見,而是幾乎每隔一段時間就在本地 WordPress 社群裡出現。更麻煩的是,很多人發現被駭的時候,事情已經發生了好幾星期,SEO 排名早已跌到谷底。
所以,做好 WordPress 網站安全的防護措施,根本就不是可選項,而是建站第一天就要認真對待的事。
WordPress 常見安全漏洞,你中了幾個?
要防禦,先要了解弱點在哪裡。WordPress 網站被入侵,通常都是從以下幾個地方開始的:
- 舊版插件或主題:這是最常見的切入點。很多人裝了插件之後就忘記更新,但舊版本往往含有已知漏洞,駭客會主動掃描這類網站。
- 弱密碼與預設帳號:用 admin 作為用戶名、密碼設成 123456 的情況依然存在。這類帳號透過暴力破解幾分鐘內就能攻入。
- 錯誤的檔案權限設置:若 wp-config.php 或 .htaccess 的權限設定不當,攻擊者就能直接讀取或修改核心設定檔。
- 沒有 SSL 憑證:香港不少小型網站至今仍在用 HTTP,登入資料以明文傳輸,在公共 Wi-Fi 環境下幾乎等於裸奔。
- 不安全的主機環境:選了價格極低的共享主機,伺服器安全配置不足,一旦同伺服器上的其他網站被入侵,可能連帶波及你的網站。
了解這些漏洞的存在,才能有針對性地做好防護。接下來幾個章節會逐一說明具體的強化方法。
加強登入安全,從帳號密碼開始
登入頁面是駭客最常攻擊的第一道門。WordPress 預設的登入網址是 /wp-admin,這幾乎人人皆知,所以第一步應該是更改登入路徑,例如改成 /hk-login 之類不容易猜到的 URL,光是這一步就能過濾掉大量自動化的暴力攻擊。
再來是啟用雙重身份驗證(2FA)。這個功能用過一次就回不去了,即使密碼外洩,沒有手機驗證碼照樣進不來。推薦配合 Google Authenticator 或 Authy 使用,設定簡單,效果非常顯著。
另一個常被忽略的措施是限制登入嘗試次數。預設情況下 WordPress 允許無限次嘗試,這讓暴力破解幾乎沒有成本。透過插件設定,例如在連續失敗 5 次後封鎖該 IP 地址 30 分鐘,可以大幅降低被暴力破解的風險。香港有些企業還會把辦公室固定 IP 加入白名單,讓團隊成員不受限制影響。
密碼方面,長度至少 16 位、包含大小寫英文、數字和符號是基本要求。可以考慮使用 1Password 或 Bitwarden 這類密碼管理工具,員工不需要記住複雜密碼,安全性卻大幅提升。
WordPress 安全插件比較,哪款最適合香港用戶?
市面上常見的 WordPress 安全插件選擇不少,但功能和定位各有不同。以下整理幾款主流選擇,方便對比:
| 插件名稱 | 主要功能 | 適合對象 | 收費情況 |
| Wordfence Security | 防火牆、惡意程式掃描、登入保護 | 中小企、個人網站 | 免費版功能完整,付費版有即時規則更新 |
| Sucuri Security | 網站稽核、黑名單監控、CDN 防火牆 | 對 SEO 要求高的網站 | 基礎版免費,WAF 需付費 |
| iThemes Security | 帳號保護、文件權限檢查、2FA | 技術能力一般的用戶 | 免費版夠用,Pro 版功能更豐富 |
| All-In-One WP Security | 防火牆規則、登入頁保護、垃圾留言過濾 | 預算有限的小型網站 | 完全免費 |
個人用下來覺得,Wordfence 對香港用戶來說是最務實的選擇。它的免費版已經包含防火牆和惡意程式掃描,介面清晰,設定不算複雜。如果網站有電商功能或涉及用戶個資,建議考慮升級到付費版,獲取即時的威脅情報更新,不用等 30 天才同步規則庫。
Sucuri 的強項在於它的 CDN 層防火牆,流量在到達你的伺服器前就已經被過濾,對防 DDoS 攻擊特別有效。對於香港一些有固定客戶群的品牌網站,這種保護層次更全面。
核心更新與備份,日常防護不能少
WordPress 核心、插件、主題三者的更新,是安全防護措施裡最基本也最容易被拖延的一環。每次更新版本說明裡寫著「Security fix」的時候,其實就是在告訴所有人這個版本修補了什麼漏洞——這等於公開了舊版本的攻擊地圖,不盡快更新的網站就是最直接的目標。
建議的做法是開啟 WordPress 核心的自動小版本更新,例如 6.5.1 到 6.5.2 這類安全修補版本可以讓它自動處理。大版本更新(如 6.5 到 6.6)則建議先在測試環境確認相容性,再手動推上線。插件和主題也是一樣的邏輯,可以用 ManageWP 或 MainWP 這類工具集中管理多個網站的更新狀態。
備份這件事,很多人只在出事之後才後悔沒做。建議用 UpdraftPlus 設定自動每日備份,並且把備份檔儲存到網站以外的地方,例如 Google Drive 或 Dropbox。本地和雲端各留一份,出事的時候才不會兩頭空。香港有幾位做電商的朋友就是靠前一天的備份,在幾個小時內把網站恢復正常,沒有造成太大損失。
網站效能與安全的關係——INP 指標怎麼看
很多人以為安全插件裝多了對網站效能沒影響,實際上並非如此。部分安全插件會在每個頁面請求時執行大量掃描和規則比對,如果設定不當,確實會拖慢網站反應速度,影響用戶體驗。
Google 在 2024 年正式把 INP(Interaction to Next Paint)納入 Core Web Vitals 評估指標,取代了原本的 FID。INP 衡量的是用戶與頁面互動後,頁面多快有視覺回應。如果安全插件在後台執行了太多 PHP 處理,就可能拖慢這個數值,間接影響 SEO 排名。
實際測試時建議用 Google PageSpeed Insights 在安裝安全插件前後各跑一次,看看 INP 和 TTFB(Time to First Byte)有沒有明顯變化。如果有,可以嘗試關掉插件裡不必要的掃描頻率,或考慮換用對效能影響較小的方案,例如把防火牆功能移到 Cloudflare 層面處理,減輕伺服器負擔。
網站被駭後的應對步驟
即使做了所有預防措施,也不能保證百分百安全。萬一真的發生入侵,處理的速度和順序很關鍵:
- 第一步:立即更改所有密碼,包括 WordPress 管理帳號、FTP、資料庫和主機控制台,防止攻擊者繼續保有存取權限。
- 第二步:掃描惡意程式,用 Wordfence 或 Sucuri 的掃描工具找出被竄改的檔案,特別注意 wp-content/uploads 資料夾裡有沒有可疑的 PHP 檔案。
- 第三步:恢復乾淨備份,如果有被入侵前的乾淨備份,直接恢復是最省時的方式,但要在恢復後立即修補導致入侵的漏洞,否則歷史會重演。
- 第四步:通知主機商,特別是共享主機環境,主機商可能需要協助排查伺服器層面的問題,香港本地主機商通常有技術支援可以聯絡。
- 第五步:提交 Google 重新審查,如果網站已被 Google 標記為危險網站,修復完成後需要透過 Google Search Console 申請複查,解除警告。
事後一定要做事件回顧,搞清楚是從哪個插件、哪個帳號、哪個漏洞被入侵的,否則防護措施只是修了一個洞,下次還是從同個地方進來。
現在就開始強化你的 WordPress 網站安全
WordPress 網站的安全防護不是一次性的工作,而是持續維護的過程。從更改登入路徑、啟用 2FA、裝好安全插件、定期更新、做好備份,每一步都在降低被入侵的機率。香港的企業主和網站管理員,面對的威脅環境和全球其他地方沒有分別,甚至因為本地電商和金融服務的活躍,有時還更容易成為目標。
如果你的 WordPress 網站還沒有做過系統性的安全檢查,現在是最好的時機。不用等到出事才後悔。可以先從安裝 Wordfence、開啟 2FA、更新所有插件這三件事開始,花不了一個小時,但保護效果立竿見影。
你目前用的是哪款安全插件?或者有沒有曾經被入侵的經歷想分享?歡迎在留言區告訴我們,一起交流本地網站管理的實際經驗。






