在網路上查詢 WordPress 網站架設的相關文章,不少的教學都會建議新手安裝 WPS Hide Login、Wordfence Security 等外掛來避免駭客或有心人士入侵網站,但我們只會用到其中一個小功能卻得安裝一整套功能很多的外掛,反而會適得其反,本次的主題就用最簡單無須安裝外掛的方式完成網站安全設定。
Cloudflare 後台登入設定
一般人會安裝 WPS Hide Login 來更改後台登入的網址,讓駭客找不到登入的路徑。雖然這可以防止許多有心人士嘗試多次驗證你的後台帳號密碼,但我卻比較傾向於在 Cloudflare 上直接設定,且可以省下一個外掛的安裝。
登入到 Cloudflare 後,我們可以在左側欄位的網路安全 / WAF 內建立一個新規則:
- 規則名稱:填寫自己能識別的名稱即可。
- 運算式:可以自己用下拉欄位選擇需求,或是直接鍵入 (http.request.uri contains “wp-login.php”)。
- 選擇動作:請選擇受控的查問。
上述三項都設定好之後,請按下「部屬」按鈕即可。
這個設定可以防止大部分駭客的暴力測試密碼,也無須嘗試登入次數與密碼錯誤規則的設定,一切都交由 AI 判斷。金城事務所目前使用在 600 多個網站上,甚少發生誤判的狀況(一個一月不超過 5 次)。
Cloudflare 限制國家登入設定
如果你想要進一步增加安全的設定,只限定台灣的網路才能登入後台,我們可以建立另一個新規則:
- 規則名稱:填寫自己能識別的名稱即可。
- 運算式:可以自己用下拉欄位選擇需求,或是直接鍵入 (http.request.uri contains “wp-login.php” and ip.geoip.country ne “TW”)。。
- 選擇動作:請選擇 封鎖。
上述三項都設定好之後,請按下「部屬」按鈕即可。
如果剛好出國需要登入後台,可以新增允許登入後台的國家,或是暫時關閉這一個安全選項即可。
使用兩步驟驗證增加安全
許多人推薦使用 Google Authenticator 這類的外掛來設定兩步驟驗證,雖然可以提升安全性,但缺點是比較麻煩(我很懶)。
由於已經利用 Cloudflare 調整好資安設定,加上個人的密碼也夠複雜,所以暫時不另外設定兩步驟驗證。如果臨時需要他人登入後台協助,會另外開啟一個新的帳號,待對方使用完畢後再刪除該臨時帳號。
金城老師觀點
Cloudflare 是多數網站營運者會使用的第三方服務,免費提供的功能比許多 WordPress 的付費外掛來得更好用,且完全不會影響到主機效能,如果你只是單一網站,許多安全的設定都比較建議交由 Cloudflare 管理即可,無須再另外購買或安裝額外的外掛。
