【網站狀態】7 個提升 WordPress 安全性與網站性能的小技巧

Facebook Line Messenger Telegram

WordPress「網站狀態」（Site Health）從 5.2 版開始內建，位於「工具 > 網站狀態」，用一個 0-100% 的分數告訴你網站的安全與效能健康程度。只要把 PHP 升級到 8.1 以上、啟用 HTTPS、保持核心與外掛更新，大部分站長都能把分數拉到 80% 以上。

什麼是 WordPress Site Health？它檢查哪些項目

WordPress 在全球市佔率超過 43%，使用者遍佈各種技術程度。為了讓沒有系統管理背景的站長也能掌握網站狀況，WordPress 從 5.1 版開始導入健康檢查機制，5.2 版正式加入評分制度。如果你還不熟悉 WordPress 是什麼，簡單說它是一套開源內容管理系統，而 Site Health 就是內建的健康檢查工具。

Site Health 把所有檢查分為兩大類：安全性（Security）與效能（Performance），每個項目檢查完畢後會歸入三個嚴重等級：

重大問題（Critical）：紅色標示，表示網站有明確安全漏洞或功能異常，例如 PHP 版本已停止安全更新。
建議改進（Recommended）：黃色標示，目前不會立刻出事，但改善後網站會更穩定更快。
通過（Good）：綠色標示，代表該項目符合最佳實踐。

很多站長看到分數不到 100% 就焦慮，但事實上有些項目取決於你的虛擬主機環境，主機商不支援的話你在後台怎麼調都沒用。接下來我會說明哪些能自己修、哪些得找主機商。

如何查看 WordPress 網站狀態分數

登入 WordPress 後台，從左側選單點選「工具 > 網站狀態」，就會進入 Site Health 頁面。頁面分為兩個分頁：

狀態：主要頁面，頂端有一個圓餅圖顯示綜合分數，下方列出所有重大問題與建議改進項目。每個項目可以點擊展開，查看 WordPress 官方的說明與修復建議。
資訊：顯示伺服器和 WordPress 環境的詳細參數，包含 PHP 版本、資料庫版本、WordPress 版本、已安裝的外掛清單等。向主機商反映問題時，這些資訊非常有用。

在「狀態」分頁的篩選器中，你可以選擇只看「安全性」或只看「效能」相關項目，方便聚焦處理。如果你正在加強 WordPress 網站安全，先把安全性相關的重大問題全部解決是最務實的做法。

影響 Site Health 分數最大的關鍵：虛擬主機環境

先說結論：你的虛擬主機環境是影響 Site Health 分數最大的單一因素。Site Health 裡超過一半的檢查項目跟伺服器端設定有關，包含 PHP 版本、資料庫版本、SSL 憑證、REST API 可用性、循環偵測（Loopback）、檔案權限等，這些都無法在 WordPress 後台直接修改，必須依賴主機商的環境支援。

舉個例子，如果你的主機商還在跑 PHP 7.4，Site Health 一定會跳出 PHP 版本過舊的警告，但切換 PHP 版本只能透過主機控制台（例如 cPanel 或自託管面板）操作，WordPress 後台本身沒有這個功能。你可以用主機查詢工具確認目前主機商的服務品質。

不同等級的主機，在 Site Health 項目的支援程度差異很大：

Bluehost：WordPress 官方推薦主機商之一，提供一鍵切換 PHP 版本、免費 Let’s Encrypt SSL 可在 cPanel 直接啟用，伺服器設定對 WordPress 相當友善。
Kinsta：管理型 WordPress 主機，採用 Google Cloud Platform 基礎架構，PHP、資料庫、SSL、CDN、快取全部預先最佳化，Site Health 裡伺服器相關項目幾乎全綠燈。

如果你目前使用的主機在 Site Health 項目上問題很多，而且主機商不願意幫你升級 PHP 或開通 REST API，可能就是該換主機的時候了。可以參考我們整理的 WordPress 虛擬主機推薦做比較。SiteGround、DreamHost 和 Hostinger 也是值得考慮的選項。

安裝並正確設定 SSL/HTTPS 憑證

SSL/HTTPS 是 Site Health 安全性類別的必檢項目。沒有安裝 SSL 憑證，或者裝了但沒有強制將 HTTP 導向 HTTPS，Site Health 都會跳出警告。截至 2026 年 5 月，WordPress 官方已將 HTTPS 列為每次安裝的必要條件。

SSL 憑證將瀏覽器和伺服器之間的傳輸資料加密，避免第三方攔截或竄改。自 2018 年起，Google 把 HTTPS 列為 SEO 排名因素之一，沒有 SSL 的網站在 Chrome 會被標示為「不安全」，對訪客信任度和搜尋排名都有負面影響。

好消息是，現在取得 SSL 憑證幾乎不用花錢。大部分主機商都提供免費 Let’s Encrypt SSL，只需要在主機控制台裡啟用。如果你的主機商不提供 Let’s Encrypt，另一個選擇是透過 Cloudflare 取得免費 Universal SSL 憑證，只要把網域 DNS 指到 Cloudflare 就能自動生效。不過要注意 Cloudflare SSL 預設是「Flexible」模式，瀏覽器到 Cloudflare 之間有加密，但 Cloudflare 到你的主機之間可能沒有。要完整端對端加密，需把 SSL 模式改為「Full (Strict)」。

安裝好 SSL 之後，確認所有 HTTP 請求都被正確導向 HTTPS。你可以透過外掛（例如 Really Simple SSL）處理，也可以直接在 .htaccess 加入強制導向規則。如果你在強化 WordPress 安全的過程中已經做過，那 Site Health 裡的 SSL 相關項目應該就會通過。

一個容易被忽略的問題是「混合內容」（Mixed Content）：即使網站已啟用 HTTPS，如果頁面裡還有部分圖片、腳本或 CSS 透過 HTTP 載入，瀏覽器仍會發出安全警告。可以用瀏覽器開發者工具的 Console 分頁來排查。

PHP 版本升級：速度與安全的關鍵一步

PHP 是 WordPress 的核心運行環境，每一個頁面請求、每一次資料庫查詢背後都是 PHP 在處理。PHP 版本過舊不只是 Site Health 跳警告而已，而是真的會讓網站變慢，而且暴露在已知安全漏洞底下。

截至 2026 年 5 月，WordPress 官方建議使用 PHP 8.3 以上版本。WordPress 官網的系統需求頁面明確列出 PHP 8.3 或更高版本為推薦規格，PHP 7.4+ 仍可運行但「可能讓你的網站暴露在安全漏洞中」。PHP 8.0 已於 2023 年 11 月結束安全更新，PHP 7.4 更在 2022 年就已停止維護。如果你的 Site Health 顯示 PHP 版本低於 8.0，這是最優先要處理的重大問題。

PHP 8.x 相較 PHP 7.x 有顯著的效能提升。從 PHP 官方基準測試來看，PHP 8.x 在大多數常見操作上的速度比 PHP 7.4 快 20% 到 30% 以上，這意味著同一個 WordPress 頁面在 PHP 8.x 環境下的載入時間會明顯縮短。

確認目前 PHP 版本最快的方法：打開 Site Health 的「資訊」分頁，在「伺服器」區塊找到「PHP 版本」欄位。

切換 PHP 版本的步驟因主機商而異：

Bluehost 或 SiteGround 等 cPanel 主機：登入 cPanel 後找到「MultiPHP Manager」，選擇網域，把 PHP 版本切到最新的穩定版本（目前推薦 8.3）。
Kinsta 等管理型主機：PHP 版本可在後台面板直接切換，而且會幫你確認相容性。
小型主機商：可能需要直接開客服單請他們協助升級。

升級前有一個動作絕對不能省：完整備份你的網站。用 UpdraftPlus 把整個 WordPress 檔案和資料庫都備份下來。PHP 大版本升級有可能跟舊的外掛或佈景主題不相容，導致白屏或功能異常。如果不确定相容性，可以先在 WordPress 測試環境試跑新 PHP 版本。升級後若出現白屏，先把 PHP 版本切回原版本恢復運作，再逐一檢查是哪個外掛或主題不相容。

保持 WordPress 核心、佈景主題與外掛在最新版本

Site Health 會檢查 WordPress 核心、佈景主題和外掛是否為最新版本。只要任何一個過舊，都可能產生安全漏洞或相容性問題。

WordPress 從 5.6 版開始支援自動更新功能。設定路徑在「設定 > 一般」最下方的「自動更新」區塊，也可以在「外掛」頁面針對個別外掛開啟或關閉。如果你的站有很多外掛，建議至少讓核心和安全性相關的外掛自動更新。

很多人擔心自動更新後網站會壞掉，這個擔心是合理的，尤其是使用較少人使用的佈景主題或外掛時，更新後出問題的機率確實較高。所以在開啟自動更新之前，做好備份非常重要。每次更新前用 UpdraftPlus 跑一次完整備份，就算更新後出問題也能快速回復。你也可以搭配 SG Optimizer 等主機商提供的快取外掛，在更新後快速確認效能沒有下降。

更新後如果出現白屏或功能異常，可以參考 500 Internal Server Error 修復教學，通常透過 FTP 或主機檔案管理員把出問題的外掛資料夾改名就能暫時恢復網站。

關於停用和移除的差異：停用一個外掛只是讓它不運作，但檔案還留在伺服器上。從安全角度來看，只要檔案還在就有被攻擊的風險。確定不會再用到的外掛，直接移除是最安全的做法。

資料庫版本確認與最佳化

WordPress 使用 MySQL 或 MariaDB 作為資料庫引擎。Site Health 會檢查資料庫版本是否符合 WordPress 的最低要求。截至 2026 年 5 月，WordPress 官方推薦 MariaDB 10.6 以上或 MySQL 8.0 以上。

你可以在 Site Health 的「資訊」分頁中找到「資料庫」區塊，查看目前使用的資料庫類型和版本。資料庫版本升級大多需要向主機商反映，主流 WordPress 主機商通常會維持在較新版本。如果你使用 A2 Hosting、Bluehost 或 Kinsta，資料庫版本通常不會是問題。

如果 Site Health 出現「建立資料庫連線時發生錯誤」這類訊息，不一定是版本問題，有可能是資料庫伺服器暫時無法連線、使用者密碼錯誤或資料庫損壞，需要逐一排查。

除了版本之外，定期清理資料庫裡的垃圾資料也是維持網站健康的好習慣。你可以手動清理文章修訂版本（post revisions）、垃圾留言（spam comments）、過期的暫存資料（transients），或者使用資料庫最佳化外掛自動化處理。

REST API 可用性與其他常見 Site Health 警告

Site Health 裡有幾個檢查項目經常讓站長困惑，因為錯誤訊息看起來很技術性，但修復方式不一定複雜。

REST API 可用性是最常見的黃色警告之一。WordPress 的 REST API 是區塊編輯器（Gutenberg）和很多核心功能的基礎。如果 Site Health 顯示 REST API 無法連線，常見原因包括：某個安全外掛或防火牆規則封鎖了 REST API 請求、.htaccess 裡有錯誤的重新導向規則、或主機商的伺服器設定不允許 WordPress 自我呼叫。排查方式是先把所有外掛停用，再檢查 REST API 是否恢復正常。如果是外掛造成的，逐一啟用找出元兇。如果停用所有外掛後問題仍在，就需要聯繫主機商。

循環偵測（Loopback）是另一個常見問題。WordPress 需要能夠對自己發起 HTTP 請求，才能執行背景更新和排程任務。如果循環偵測失敗，Site Health 會告訴你背景更新無法正常運作。解決方式和 REST API 類似：先排除外掛衝突，再檢查主機設定。

檔案權限問題有時也會出現。如果 Site Health 偵測到 wp-config.php 權限設定不當（例如其他使用者可寫入），會發出警告。這類問題通常需要透過 FTP 或主機檔案管理員來修正。

如果你遇到 502 Bad Gateway 或其他伺服器錯誤，排查過程中也可以順便檢查 Site Health 的建議，有時候根本原因就在那裡面。

網站速度與快取設定：效能面向的改善

Site Health 效能類別裡有幾個項目和網站速度直接相關。雖然不見得每個都會顯示為紅色重大問題，但改善它們確實能提升網站速度，對使用者體驗和 SEO 都有幫助。

啟用快取是效能改善的基本功。WordPress 本身不內建頁面快取，但可以透過快取外掛來實現。WP Rocket 是公認最強大也最容易設定的快取外掛，安裝後幾乎不用調任何參數就能看到明顯的速度提升。預算有限的話也有不少免費快取外掛可選。

GZIP 壓縮是 Site Health 會檢查的另一個項目。啟用後伺服器在傳送 HTML、CSS、JavaScript 等文字檔案時會先壓縮，大幅減少傳輸量。大部分現代主機商預設就啟用了 GZIP，但有些沒有。你可以在 Site Health 的資訊頁確認，或使用線上工具（例如 Giftofspeed 網站速度檢測工具）檢測。

搭配 Cloudflare CDN 也是提升速度的好方法。Cloudflare 在全球有數百個節點，能把靜態資源快取在離訪客最近的伺服器上，大幅降低延遲。免費方案就包含 CDN 和基本安全防護，對小型網站來說非常夠用。

圖片最佳化也不可忽略。上傳前先用 Imagify 或 ShortPixel 壓縮圖片，可以減少 60% 到 80% 的檔案大小而不會明顯影響畫質。使用 WordPress 6.0 以上版本的話，也建議啟用 WebP 圖片格式，它在相同畫質下比 JPEG 和 PNG 小很多。

想深入了解速度優化，可以參考 WordPress 速度優化技巧和 TTFB 優化教學。

清理未使用的佈景主題與外掛

Site Health 會偵測安裝但未啟用的佈景主題和外掛，並建議你移除。很多人的直覺是「我又沒啟用它，應該不影響吧？」但實際上，未啟用的外掛仍然存在於伺服器上，它的程式碼仍然可以被存取。如果這個外掛有已知安全漏洞，駭客可以直接利用漏洞入侵，不管你有沒有啟用它。

正確做法：確定不會再使用的外掛和主題，直接從「外掛」或「外觀 > 佈景主題」頁面移除。不需要猶豫，真的需要用時再重新安裝就好。

有一個例外：WordPress 預設安裝的佈景主題（例如 Twenty Twenty-Four、Twenty Twenty-Five），建議至少保留一個官方預設主題作為故障排除時的備援。如果你的佈景主題出問題導致前端無法正常顯示，WordPress 會自動切換回預設主題維持網站運作。

想更系統性地管理外掛，可以參考 Disable Comments 外掛介紹，了解如何正確停用不需要的功能。

Site Health 改善優先順序

面對 Site Health 頁面上十幾個紅色和黃色警告，很多人不知道該從哪裡下手。這裡給你一個實用的優先順序：

第一步：處理所有紅色重大問題。最常見的紅色項目包括 PHP 版本過舊、SSL 未啟用、WordPress 核心版本過舊。優先解決這三個，通常就能把分數拉到 60% 以上。

第二步：處理黃色建議改進項目。例如啟用 HTTPS 重新導向、更新外掛、移除未使用的主題。改善後能讓網站更穩定。

第三步：處理效能相關項目。啟用快取、GZIP 壓縮、CDN 等。這些不會直接影響 Site Health 分數太多，但對實際的網站速度優化和使用者體驗幫助很大。

有些項目你可能永遠無法處理。例如 Site Health 可能建議你安裝某些 PHP 擴充功能（像是 imagick 或 intl），但主機商不提供這些擴充。或者你的網站因為特殊設定（例如會員系統需要停用 REST API），某些項目就是無法通過。這種情況下不需要為了分數硬改。

做完一輪改善後，建議至少每個月檢查一次 Site Health，或者在每次更新 WordPress 核心、安裝新外掛之後順便看一下。你可以搭配 WP Umbrella 這類監測工具，它會自動幫你追蹤 Site Health 狀態和效能變化。

下一步：3 個立刻能做的動作

打開 Site Health 檢查分數：登入後台「工具 > 網站狀態」，先看有幾個紅色項目。只要紅色項目超過 3 個，建議立刻處理。預期處理完紅色項目後，分數會從原本的水準提升至少 20 個百分點。
確認 PHP 版本是否低於 8.1：在 Site Health「資訊」分頁的「伺服器」區塊查看。如果低於 8.1，到主機控制台升級到 8.3。升級前務必先備份，判斷標準是備份檔案包含完整 WordPress 檔案和資料庫。
檢查 HTTPS 是否完整啟用：在瀏覽器打開你的網站，確認網址列有鎖頭圖示。如果是「不安全」或混合內容警告，參考上方 SSL 段落的步驟修正。

WordPress 網站狀態常見問題

Site Health 分數多少算正常？

一般來說 80% 以上就算健康。100% 當然最理想，但有些項目取決於主機環境，你改不了。分數在 60% 以下就要注意了，代表有明確的安全或效能問題需要處理。

為什麼分數無法達到 100%？

最常見的原因是主機環境的限制。例如主機商不提供某個 PHP 擴充功能、不支援最新的資料庫版本、或者你的網站因為特殊需求（安全外掛封鎖 REST API）而刻意停用了某些功能。這些情況下 Site Health 分數可能永遠到不了 100%，但不代表你的網站不安全。

Site Health 分數會影響 SEO 排名嗎？

Google 不會直接看你的 Site Health 分數。但 Site Health 裡面的很多項目，像是 HTTPS、網站速度、On-page SEO 優化相關的設定，確實是 Google 排名算法會考量的因素。間接來說，改善 Site Health 對 SEO 有幫助。

需要安裝額外外掛來改善 Site Health 嗎？

大部分情況下不需要。Site Health 裡面的建議項目，都可以透過更新版本、調整主機設定、或啟用內建功能來解決。不過快取外掛、SSL 外掛、備份外掛這些工具確實能幫你更輕鬆維持網站健康。如果你還在摸索 WordPress，可以從了解 WordPress.com 與 WordPress.org 的差異開始，再逐步加入需要的外掛。