WordPress的優點是使用者眾多、市佔率高,讓相關配套的外掛程式服務很多,也比較容易找到詳盡的教學文章,但受歡迎這點在同時也可能是WordPress的缺點!怎麼說呢?因為使用的人多,所以相對容易成為駭客攻擊的主要目標!
今天我們要介紹六個方法,讓你可以保護你的WordPress網站免於駭客的攻擊!
1. 確保你的WordPress版本、主題和外掛程式都是更新到最新版本的
最普遍被駭客攻擊的情況,就是駭客分析出如何駭進舊版的網站和外掛程式,便可輕鬆到手,而你只要確保網站時時更新到最新版本,就可以避免這個問題了,而且其實你並不需要手動更新,只要將自動更新的選項勾起來就可以了。
2. 為你的WordPress主機設定一組複雜的密碼和身份驗證方法
這點和第一點一樣,是簡單的小步驟,卻很少人認真看待並做到的。大部分的人傾向設定一組簡單好記的密碼,但少做這一個簡單的步驟,就直接讓你的網站曝露在危險中,建議你使用一組自動產生的複雜密碼。
再來就是,大部分的人會忽略設定FTP (File Transfer Protocol)(中文:檔案傳送通信協定)的驗證碼,一般來說在你的虛擬主機裡就可以設定,設定的時候就是一樣的道理,建議使用自動生成一組複雜的密碼。
3. 安裝Wordfence外掛軟件
Wordfence是一個不錯的防駭客及大規模攻擊的外掛軟件。是完全免費的防火牆,也有惡意軟體掃描的功能。 這個外掛軟件也是 Easy Website 台灣 最愛使用的軟件,他們家提供滿多實用的架站資訊,有興趣可以進去看看。
4. 安裝WP Limit Login Attempts 外掛軟件
其實這類型的plugin滿多的,你可以自己決定你比較喜歡哪一個,這一個是我們比較常用的。
他的功能就是讓登入者僅有幾次的密碼錯誤機會,就像一般銀行ATM提款一樣,超過三次或四次密碼錯誤的話,就會鎖起來不讓登入者再度嘗試密碼。
舉例來說,當一個惡意軟體找到你的登入頁面時,如果駭客有無限多次的機會可以嘗試你網頁的密碼,就大大提升了他們猜對的可能,但如果你使用這個軟體,駭客嘗試到第四次就會被擋掉了。
5. 為你的網站安裝CDN,例如Cloudflare
CDN,Content Delivery Network(內容傳輸網絡),不只可以讓你的網頁存取速度變快,也可以保護你的網站免於DDoS攻擊的侵擾。
如果你不太清楚CDN是什麼,簡單來說,有提供CDN服務的品牌,會藉由CDN的部署,讓你將你所有網頁的資料存取在他們的資料存取中心,這樣使用者要存取網頁時,也是透過這個CDN的部署,從該資料存取中心獲取資料,而非從原始主機獲取。
DDoS攻擊,Distributed Denial-of-Service Attack,分散式阻斷服務攻擊,就是駭客會送很多假的訪客到你的網頁,目的就是讓你的網頁無法被正常使用者存取,或是速度變得非常非常慢。
所以如果你將資料放在其他的資料存取中心,也就是安裝CDN服務,就可以大幅降低被DDoS攻擊的可能。
6. 為你的網站安裝SSL
你是否有想過在https://裡的”S”代表什麼意思呢?那代表這個網址是有受到SSL(Secure Sockets Layer )安全憑證保護的,簡單來說,如果沒有安裝SSL,那你的資料在傳遞時,都是使用明碼傳遞,如果有安裝SSL,那你的資料在傳遞時就是有經過加密的,如此一來,駭客也比較難攻擊。
總結
簡單來說,如果想保護你的WordPress網站,從最簡單的設定網站版本及外掛軟件自動更新、設置複雜密碼這兩個小步驟,到安裝適合的程式和服務,包含防火牆(Wordfence)、防止無限次嘗試登入(WP Limit Login Attempts)、CDN服務及使用SSL安全憑證,雖然一開始可能會覺得有點麻煩,但設定完之後就可以高枕無憂,讓自己成為那個「總是不會被駭客攻擊的幸運星」。
部落格近期迴響