安全維護
WordPress 安全教學
WordPress 安全不是只裝一個安全外掛。真正穩定的做法是降低攻擊面、固定更新、做好備份,並讓每個帳號只擁有必要權限。
帳號與權限
最高權限帳號只用於系統管理,不應每天拿來發文。編輯、作者與外包人員應使用對應角色,任務結束後移除或停用帳號。
所有管理員帳號都應使用強密碼,能開雙因素驗證就開啟。不要多人共用同一個帳號,否則無法追蹤誰做了變更。
- 停用不再使用的帳號。
- 管理員帳號啟用雙因素驗證。
- 避免使用 admin 作為登入名稱。
- 不同工作使用不同角色權限。
更新與備份
核心、主題與外掛都要定期更新。小型安全更新可以盡快套用,大型版本更新則先備份並在低流量時段進行。
備份要包含資料庫與上傳檔案。更重要的是定期測試還原流程,避免需要救站時才發現備份不能用。
- 更新前先備份。
- 備份檔不要只放在同一台主機。
- 每季至少測試一次還原。
伺服器與檔案防護
自行管理主機時,Web server、防火牆、PHP-FPM、資料庫權限與檔案權限都會影響安全。不要讓網站目錄全部可寫,也不要把敏感設定檔暴露在公開路徑。
登入頁、xmlrpc、備份檔與暫存檔是常見攻擊目標。可以透過 Web server 規則、Cloudflare 或安全外掛降低風險。
- 限制資料庫只能本機連線。
- 禁止公開下載備份檔與設定檔。
- 監控錯誤日誌與異常登入。