提升 WordPress 網站安全 - 6 個簡單方法快速強化網站的安全性

TL;DR — WordPress 安全不需要裝一堆外掛。抓好 HTTPS、資料庫隔離、密碼管理、角色控管、外掛來源、備份這六條底線，就能擋掉九成以上的常見攻擊。

WordPress 本身不是問題，你的設定習慣才是。

根據 W3Techs 截至 2026 年的統計，WordPress 在全球所有網站的市佔率約 43.5%，在已知 CMS 市場中超過 60%。這表示同一套系統有數千萬個網站在跑，攻擊成本極低。寫一個掃描腳本就能大規模搜尋特定外掛的已知漏洞，然後批量嘗試入侵。但反過來說，全球也有大量開發者在幫忙修補漏洞，社群回應速度通常比封閉系統更快。所以核心問題不是「WordPress 安不安全」，而是「你有沒有做好自己該做的那幾件事」。

這篇文章不給你一份「安裝十幾個安全外掛就沒事」的清單。下面整理的每一項，都是實際管理 WordPress 網站時最基本卻也最容易被忽略的防線，大部分不靠外掛就能做到。

為什麼 WordPress 特別容易被盯上

原因很直白：WordPress 的全球市佔率超過 43%，這意味著數千萬個網站跑同一套系統。攻擊者寫一個掃描腳本，就能批量搜尋特定外掛的已知漏洞，然後大規模嘗試入侵。目標基數太大，即使成功率只有一小部分也值得投入。

開源本身是優勢也是風險。任何人都能讀到原始碼，包含有心人士。但全球也有大量開發者在幫忙修補漏洞，社群回應速度通常比封閉系統更快。所以問題的核心不是「WordPress 安不安全」，而是「你有沒有做好自己該做的那幾件事」。很多人花很多時間在找讓網站變快的方法，卻忽略安全這個更基本的課題，順序其實搞反了。

HTTPS 不是選配，是基本盤

如果你的網站還在跑 HTTP，在 2026 年等於是完全沒有防備。HTTPS 不只是加密傳輸，它影響的範圍從資料安全到 SEO 排名再到使用者信任度，全都跟它有關。

加密傳輸到底擋住了什麼

HTTP 協議下，所有資料都是明文傳送。你的登入帳號、密碼、表單填寫的個人資料，在中間人攻擊（Man-in-the-Middle）面前完全透明。任何一個在同一個咖啡廳 Wi-Fi 網路裡的人，只要用對工具就能截取這些資料。HTTPS 透過 SSL/TLS 憑證將傳輸內容加密，即使封包被攔截，看到的也只是一堆亂碼。這對於有開放留言互動的網站尤其重要，使用者在表單中輸入的任何個人資訊都應該受到保護。

實務面上，多數虛擬主機服務商現在都提供免費的 Let’s Encrypt SSL 憑證，有些甚至預設就幫你裝好了。像 Bluehost、SiteGround、Kinsta 這些主流主機商，SSL 憑證通常一鍵就能啟用。如果你用的是 Cloudflare CDN，可以在「SSL/TLS」設定裡面開啟「Always Use HTTPS」，強制將所有 HTTP 請求轉為加密連線。設定過程通常不超過五分鐘，卻能帶來顯著的安全提升。

HTTPS 對 SEO 的實際影響

Google 從 2014 年就把 HTTPS 列為排名訊號之一。雖然權重不算最高，但在競爭激烈的關鍵字戰場上，一個小差距就能決定勝負。HTTPS 同時也是 Google 排名的重要因素之一，這是 Google 自己公開說明的。更直接的影響是，沒有 HTTPS 的網站，Chrome 會在網址列直接標示「不安全」，訪客看到就跑了，網站的跳出率與停留時間都會受到連帶影響，進而拖累搜尋引擎中的整體表現。

從 HTTP 升級到 HTTPS 不只是安全性考量，對 SEO 排名也有正面幫助。如果你還在猶豫要不要做，答案很明確：現在就做。這是少數同時提升安全性和 SEO 的舉措，沒有不做好的理由。

資料庫存取權限，別讓全世界都能連

WordPress 的所有文章、頁面、設定、使用者資料全都存在 MySQL 資料庫裡面。如果有人能直接連進你的資料庫，等於拿到了整個網站的控制權，而且你可能完全不會察覺。他們可以竄改文章內容、植入惡意連結、偷走使用者個資，甚至直接把資料庫清空。

wp-config.php 裡的敏感資料

資料庫的連線帳號、密碼、主機位址全部寫在 wp-config.php 這個檔案裡面。這個檔案就是你網站的鑰匙圈，上面掛了所有重要房間的鑰匙。如果你用 Filester 或 RunCloud 這類工具在後台管理檔案，請確保這個檔案的權限設定正確（建議 440 或 400），不要讓任何外部請求有機會讀取到它。同時建議修改資料庫前置詞（預設是 wp_，改成其他不容易猜到的字串），這能降低 SQL 注入攻擊的成功率。

限制遠端連線 IP

如果你的主機允許自訂 MySQL 的遠端存取規則，把連線來源限定在 WordPress 伺服器的 IP 位址。意思是，只有你的網站伺服器能連進資料庫，其他任何 IP 一律拒絕。這樣一來，就算資料庫帳密洩漏，攻擊者也無法從外部直接連線。這個設定在 phpMyAdmin 或主機控制台裡面就能調整。搭配適當的緩存快取設定，能在不犧牲效能的前提下做好資料庫安全。

如果你使用的是熱門 WordPress 主機方案，多數共享主機預設就不開放遠端連線，這方面可以稍微放心。但如果你用 VPS 或自架伺服器，這一點要自己確認。很多 VPS 預設的 MySQL 設定是接受所有來源連線的，這是個常被忽略的大洞。

密碼管理：別再用那組「萬用密碼」了

這大概是最常見、也最不願意改的壞習慣。很多人的 WordPress 管理者密碼跟 FTP 密碼、資料庫密碼都是同一組，甚至跟自己的 Email 密碼一樣。更糟的是，密碼通常是一個有意義的單字加上幾個數字，像是「mywebsite123」。這種密碼在現代的暴力破解工具面前，撐不過幾分鐘。

密碼強度的實際標準

一組合格的密碼至少要 16 個字元以上，包含大小寫字母、數字、特殊符號。這種密碼人腦記不住，也沒必要記。用密碼管理工具（Bitwarden、1Password 都可以）來產生並儲存密碼，每個服務用一組獨立的密碼，互不影響。

特別注意這些帳號的密碼一定要獨立：WordPress 管理者後台、FTP/SFTP、資料庫、主機控制台（cPanel / Plesk / RunCloud）、網域註冊商（像 Namecheap）。只要有一組被攻破，其他帳號不該跟著淪陷。

雙因素驗證不是麻煩，是保命符

密碼再強都可能外洩，可能是資料庫被駭、釣魚郵件、或只是你在某台不安全的電腦上登入過。雙因素驗證（2FA）等於加了一層保險：就算密碼被偷走，攻擊者沒有你的手機也登不進去。WordPress 可以透過外掛啟用 2FA，設定簡單，花不到十分鐘，卻能擋掉絕大多數的自動化暴力破解攻擊。保護 WordPress 網站的安全做法裡面也有提到這一點，這是目前性價比最高的安全投資。

使用者角色與權限：只給需要的，不多給

很多網站的管理者帳號共用，或是每個人都給管理者權限「圖方便」。這種做法一旦其中一個帳號被盜，整個網站就跟著淪陷。在資安領域有一個基本原則叫「最小權限原則」（Principle of Least Privilege）：每個使用者只該擁有完成工作所需的最低權限。聽起來很直覺，但實際執行的人少之又少。

WordPress 內建五種角色，搞清楚再指派

訂閱者（Subscriber）：只能管理自己的帳號資料，無法進入後台編輯任何內容。適合一般會員註冊。
寫手（Contributor）：可以撰寫草稿，但不能發佈。文章送出後進入待審狀態。適合外部投稿或新進作者。
作者（Author）：能夠撰寫並發佈自己的文章，但動不到別人的。適合固定供稿的團隊成員。
編輯（Editor）：擁有全部文章的管理權限，可以編輯、發佈、刪除任何人的文章。但無法安裝外掛或修改佈景主題。適合負責內容管理的核心團隊。
管理者（Administrator）：擁有完整後台控制權，包含安裝外掛、修改主題、管理使用者等所有功能。這個角色應該只保留給真正需要管理網站架構的人。

管理者帳號數量壓到最低，理想上不超過兩個。日常營運用編輯或作者角色就夠了。如果網站有開放會員註冊的功能，更要嚴格控管預設角色的權限。同時也建議定期檢查使用者列表，移除不再需要存取權限的帳號。

別讓駭客一眼看出你的 WordPress 版本

WordPress 預設會在頁面的原始碼裡面標示目前使用的版本號碼。對攻擊者來說，這就像在你家門口貼了一張「我家用哪牌的鎖」的貼紙。只要知道版本號，就能精準搜尋該版本的已知漏洞來嘗試攻擊。攻擊者不需要一個一個試，自動化工具可以在幾秒鐘內掃描數千個網站的版本資訊。

如何移除版本資訊

在你使用的佈景主題的 functions.php 裡面加上一段程式碼就能移除：

remove_action('wp_head', 'wp_generator');

這行指令會把 <meta name="generator"> 標籤從前端原始碼移除。不過要注意，RSS feed 和部分 CSS/JS 檔案的路徑裡面也可能帶有版本號，如果要做到更徹底的隱藏，可以用外掛來處理。修改子佈景主題的 functions.php 比直接改主題檔案更安全，主題更新時你的修改不會被覆蓋。

隱藏版本號是增加攻擊難度的手段之一，不是萬靈丹。更重要的是保持 WordPress 核心、佈景主題、外掛都在最新版本，因為每一次更新通常都包含安全性修補。新版本修補的漏洞資訊是公開的，如果你的網站還在跑舊版，等於是把已知漏洞攤在陽光下。

外掛和主題的來源，決定了你的風險等級

WordPress 生態系最大的魅力在於外掛和佈景主題的豐富選擇，但這也是安全隱患最集中的地方。根據 Sucuri 歷年的網站威脅報告，外掛漏洞佔了 WordPress 被入侵案例的最大宗，遠超過核心程式的漏洞。每多裝一個外掛，就多了一個可能的攻擊入口。

三條鐵律

只用官方來源或信譽良好的開發商：WordPress.org 官方外掛庫有基本的審查機制，雖然不完美，但比非官方管道安全得多。付費外掛直接從開發商官網購買，不要從來路不明的「免費下載」網站取得破解版。這些破解版十之八九被動過手腳。
定期清理沒在用的外掛：停用的外掛雖然不會主動執行，但檔案還在伺服器上，如果本身有漏洞，一樣可以被利用。不需要的就直接刪除，不要只是停用。
更新不要拖：看到後台出現更新提示，尤其是標示為安全性更新的，盡快處理。更新前先用 UpdraftPlus 做一次完整備份，這樣就算更新出問題也能馬上還原。拖延更新的每一天，都是在增加被攻擊的窗口期。

「免費的最貴」這句話在 WordPress 外掛的世界裡尤其真實。一個來路不明的「免費」付費外掛，背後可能藏了後門程式、木馬或挖礦腳本。省幾十塊美金的代價，可能是整個網站被清空或被植入惡意程式碼，損失遠遠超過那個外掛的費用。如果不確定某個外掛是否安全，可以先在測試環境中試用，不要直接裝在正式網站上。

備份是你的最後一道防線

就算你把上面提到的每一項都做足了，也無法保證 100% 不會出事。零日漏洞（Zero-day）隨時可能出現，主機商也可能發生意外。備份是你在最壞情況下的還原按鈕，沒有備份就等於沒有退路。

做法很簡單：安裝 UpdraftPlus，設定每週自動備份一次（包含檔案和資料庫），備份檔案存到雲端空間（Google Drive、Dropbox 都可以），不要只放在同一台主機上。如果你的主機是 Kinsta 或其他有內建自動備份功能的主機商，那就等於多了一層保障，但自己額外做一份異地備份還是比較保險。備份的「3-2-1 原則」是個好參考：三份備份、兩種儲存媒介、一份放在異地。千萬不要只靠單一來源的備份方案。

加上驗證碼，擋掉自動化攻擊腳本

暴力破解登入頁面是 WordPress 最常見的自動化攻擊之一。攻擊者用字典檔嘗試數千組帳號密碼組合，如果你沒有防禦機制，遲早會被猜中。尤其是很多人習慣用「admin」作為管理者帳號名稱，這等於幫攻擊者省了一半的功夫。

傳統的 Google reCAPTCHA 雖然有效，但對使用者體驗影響不小，每次都要選紅綠燈或商店招牌。建議改用 Cloudflare Turnstile，這是一種無感驗證碼，使用者在不知不覺中就完成了驗證。如果你的網站已經用 Cloudflare 的 DNS 或 CDN 服務，整合起來更是無縫。同時也建議把預設的登入網址從 /wp-login.php 改成自訂路徑，雖然不是真正的安全措施，但能過濾掉大量自動化掃描。

監測網站狀態，問題發生時第一時間知道

安全防護不是設好就放著不管。你需要知道網站隨時的運作狀態，如果被入侵或掛掉，要能在最短的時間內發現並處理。很多被駭的網站其實早就被植入惡意程式碼了，只是站長沒有發現，直到搜尋引擎把網站標記為不安全或訪客反映才驚覺。這種情況下，損失的不只是網站資料，還有使用者的信任和搜尋引擎的排名。

Simple Ops 是一款免費的網站監測工具，能即時紀錄網站的運行狀態和性能表現。搭配網站速度測試工具定期檢查，可以幫你及早發現異常。如果你的 TTFB（Time to First Byte）突然飆高，有可能是被注入了惡意程式碼在背景執行。你同時可以設定 Google Search Console 的 Email 通知，當 Google 偵測到你的網站有安全問題時會主動通知你。

常見問題

WordPress 本身的安全性到底好不好？

WordPress 核心程式的安全性是相當不錯的，有專職的安全團隊在維護，漏洞修補速度也很快。每次有重大漏洞被通報，通常幾天內就會釋出修補版本。真正出問題的大多是外掛、佈景主題、以及使用者的設定習慣。只要保持更新、謹慎選擇外掛來源、做好基本防護，WordPress 的安全性完全可以滿足一般網站的需求。

需要安裝安全外掛嗎？裝哪一種？

不一定要裝，但如果你管理多個網站或網站流量較大，裝一個防火牆類的外掛（像是 Wordfence 或 Solid Security）確實有幫助。重點是不要裝太多，一個就夠了。裝三個安全外掛不等於三倍安全，反而增加了外掛之間衝突和額外漏洞的風險。選擇一款評價好、持續更新的安全外掛，正確設定好比裝一堆來得有用。好的安全外掛應該要能提供登入嘗試限制、檔案變更監控、惡意程式碼掃描這幾個核心功能。

多久應該更新一次 WordPress？

安全性更新建議看到就盡快安裝，通常發佈後幾天內處理就好。重大版本更新可以稍等幾天，確認社群沒有回報大規模相容性問題後再更新。你也可以開啟 WordPress 的自動更新功能，讓次要版本和安全修補自動安裝。無論哪種更新，更新前都先備份整個網站，這是最基本的保險。

免費主題和外掛一定不安全嗎？

不一定。WordPress 官方外掛庫和主題庫裡的免費資源都經過基本審查，多數是安全的。很多知名的免費外掛（像是 UpdraftPlus 的基礎版）都有數百萬使用者，品質和安全性都有一定保障。風險主要來自從非官方管道下載的「破解版」付費外掛或主題。這些檔案經常被植入後門或木馬，是 WordPress 安全事故最常見的禍首之一。想找安全又適合的佈景主題，可以參考新手挑選 WordPress 主題的完整指南。

被駭了怎麼辦？

第一件事不要慌。先斷開網站的公開存取（啟用 maintenance mode 或暫時將網站設為私密），防止惡意程式碼繼續影響訪客。然後從最近的乾淨備份還原。如果沒有備份，請專業的資安人員協助清理，不要自己亂砍檔案，可能會讓情況更糟或遺漏隱藏的後門。事後一定要找出被入侵的管道，是外掛漏洞？密碼外洩？還是權限設定不當？找到原因才能防止同樣的事再次發生。

WordPress 安全防護沒有銀彈，也不需要銀彈。把 HTTPS 裝好、資料庫鎖好、密碼管好、權限分好、外掛選好、備份做好，這六件事扎實執行，你的網站就已經贏過大多數的 WordPress 站長了。如果你剛開始用 WordPress 架站，建議從了解 SEO 基礎開始，同時把安全設定一起搞好，後面才不會手忙腳亂。選擇一台穩定的主機也是基本功，可以從我們整理的WordPress 主機完整評價開始比較，找到適合自己需求和預算的方案。

在選擇網域名稱的時候也別忘了，DNS 層面的安全同樣重要。使用像 Cloudflare 這樣的 DNS 服務商，不只加速你的網站，還能提供額外的安全防護層，包含 DDoS 防禦和 WAF（Web Application Firewall）。這和你在註冊購買網域時選擇可靠的註冊商一樣重要，都是保護網站安全的一環。DNS 被劫持的後果不亞於網站被駭，攻擊者可以把你的網域指向他們的伺服器。

WordPress SEO 外掛和緩存快取外掛雖然主要用途不是安全，但它們也屬於你安裝在網站上的第三方程式碼，同樣需要保持更新和從可信來源取得。尤其是像 WP Rocket 這類會修改網站前端輸出的外掛，如果有漏洞，影響範圍可能比你想像的大。安裝任何外掛之前，花幾分鐘看一下它的安裝數量、評分、最後更新時間，這三個指標能幫你快速判斷一個外掛是否值得信任。