WordPress 是眾所皆知市佔率最高的內容管理系統,其最受歡迎的原因莫過於開源、免費、簡單且擁有非常活躍的社區,提供各種大量的主題風格與外掛插件。此外, 利用 WordPress 所架設的網站,由於其靈活性非常高,因此要建構出符合 SEO 架構的網站相對容易許多,讓你的網站更容易獲得較佳的網站速度及排名。
除了上述所提到的眾多優勢之外,WordPress 的安全性也是所有開發者與使用者關注的重點之一。
WordPress 網站安全嗎?
答案並不是非黑即白的 Yes or No。
作為一個全世界最多人使用的平台加上其開源的特性,WordPress 也容易成為駭客攻擊的目標。因此,為了 WordPress 網站的安全性,網站管理員最好做一些權限的分離管制,同時確保網站與外掛隨時保持在最新的狀態,同時也要養成備份的好習慣。如此一來,WordPress 網站的安全性就會提高,較不容易受到駭客的入侵或影響。
下面提供一些簡單的方式來有助網站管理員們提升 WordPress 的安全性:
安裝 SSL 憑證啟用 HTTPS 協議
為了網站的安全性,網站管理員最好安裝 SSL 憑證,讓原本網站從 http 協議轉換至 https 加密協議,提供訪客更高的保密與安全性。使用 HTTPS 的好處在於,所有的資訊傳輸都會經過加密,這會防止網路釣魚與降低駭客竊取數據的活動。
要讓你的網站獲得 HTTPS 非常簡單,它不僅讓你的網站能夠有更高的安全性,同時 HTTPS 也是 Google 的因素之一,讓你的網站在搜尋引擎排名當中獲得更多一點的優勢。因此,從 HTTP 升級至 HTTPS 不僅讓你的網站擁有更佳的安全防護,同時也能讓你的 SEO 排名更高。
保護 MySQL 資料庫地址
我們知道 WordPress 除了本身架構之外,還需要連結一個 MySQL 資料庫,將所有的資料存在資料庫當中使用。因此,網站管理員需要確保 MySQL 資料庫的 IP 位址、使用者、密碼不要洩漏出去,或是以明碼的方式存在雲端。
同時,你也能設定 MySQL 資料庫的伺服器不能與 WordPress 網站或你自身 IP 以外的網路進行連線,建立防火牆以防止陌生的第三方有機會攻擊並訪問你的資料庫,大大提供 MySQL 與 WordPress 資料的安全性。
提高密碼的強度
不管是你的 MySQL 密碼、FTP 密碼、SFTP 憑證、WordPress 管理者密碼…等等,當你需要用到密碼時,建議你的所有密碼都要獨立不一樣,同時同一個密碼當中都應該包含特殊符號、數字、大寫字母、小寫字母、最少 12 個字元,藉此降低密碼被破解的風險,達到提升安全性的目的。
提供使用者最低的權限
不管是哪一種系統,「人」都是最薄弱的一環,因此很多的駭客入侵都是藉由使用者的錯誤操作,來取得相關權限並入侵。
因此,網站管理員在開放權限時,最好要分離所有使用者階層可以訪問的權限,如果使用者的工作是編寫文章,那麼只需要開放「作者」的權限,舉例來說:
- 訂閱者:沒有任何權限,僅可以看到自己的個人註冊資訊。
- 寫手:能夠撰寫文章,但無法直接發佈,發表後會進入待審狀態。
- 作者:擁有完整發表文章的權限,僅能夠編輯、刪除自己發表的文章。
- 編輯:擁有完整文章的控制權限,但無法編輯外觀與外掛等進階功能。
- 管理者:擁有 WordPress 後台網站的完整控制權。
網站安全性與開放角色的權限息息相關,當你指派對的權限給相對應的角色後,就能夠同時兼顧網站的使用性與安全性,確保使用者能正常的使用網站,同時也能確保網站的安全性。
隱匿 WordPress 版本
在預設的情況下,WordPress 的版本會顯示在前端,從檢視原始碼就可以得知網站目前所使用的 WordPress 版本。而你應該隱藏 WordPress 版本,透過隱藏版本,能夠簡單的防止駭客了解你目前網站所使用的 WordPress 版本。
使用合法的 WordPress 主題與外掛
使用 WordPress 的好處之一,就是 WordPress 擁有非常多的主題與外掛,讓你的網站能夠又美觀又具有強大得功能。
但你在安裝主題與外掛時,要確保其來源,否則若是安裝到來路不明的主題外掛時,容易讓你的網站直接被植入木馬與後門,導致駭客直接取得 WordPress 網站的控制權。俗話說的好,有時「免費的最貴」。
以上就是提升 WordPress 網站安全性的方法,若你使用 WordPress 網站,請採用以上的做法,以提升網站的安全。
如果你覺得以上得方法對你使用 WordPress 時有幫助,請不要吝嗇分享給你的朋友~
如果你喜歡這篇文章,請幫我們將這篇文章分享出去。你也可以在 Facebook 與 Instagram 上按讚追蹤我們,也歡迎加入 Facebook 粉絲團和我們一同交流!
發佈留言