WordPress 網站安全其實只有兩件事:不讓壞人闖進你的網站,還有不讓人盜走你的登入帳號。你不必裝一堆吃資源的安全外掛,免費的 Cloudflare 加上兩步驟驗證,就能擋掉大部分攻擊。這篇懶人包把 SSL 憑證、後台保護、主機備份、密碼管理、兩步驟驗證,到社群帳號被盜救援,從網站一路顧到帳號,照著做就能把該關的都關好。
為什麼部落客最容易忽略 WordPress 網站安全?
「我的網站又沒多少人看,誰會來駭我?」這是部落客最常問我的問題。實際情況是,來找我求救的自架站站長裡,大概有三分之一都是因為網站疑似被入侵,或是自己不會設定,只裝了一個防火牆外掛,結果外掛把主機資源吃光,網站不是當機就是慢到不行。被入侵通常不是因為你紅、被高手盯上,而是平常沒設定好,門沒鎖,攻擊自己找上門。
WordPress 網站安全聽起來很技術,但對部落客來說就兩件事:第一,不讓壞人闖進你的網站;第二,不讓人盜走你的登入帳號。尤其在 AI 普及之後,自動化攻擊變多也變兇,就算你裝了防火牆外掛,攻擊量一大照樣會把主機拖垮。所以重點不是「裝更多外掛」,而是用對工具。這也是你從痞客邦搬到自架 WordPress 後,安全從平台的事變成你自己的事,一定要補上的一課,建議在部落格搬家前就先想清楚。
WordPress 網站安全第一件事:先保護網站本身
保護網站本身,先顧三塊:連線加密、後台登入、主機備份。
連線加密就是 SSL。Google 早在 2014 年就把 HTTPS 列為排名訊號,而且現在的瀏覽器只要看到網站沒裝 SSL,一律會在網址列標上「不安全」。好在多數主機都附免費的 Let’s Encrypt 憑證,免費 SSL 對部落客來說完全夠用,不用多花一毛錢。
後台登入是最常被攻擊的地方,攻擊程式整天在試你的帳號密碼。與其裝吃資源的安全外掛,我更建議用免費 Cloudflare 保護 WordPress 後台,不裝外掛、不拖慢主機就能擋掉大半。前面提到很多站長吃過外掛把主機拖垮的虧,就是因為防火牆外掛是用你自己的主機在硬扛攻擊,攻擊量一大主機就倒;Cloudflare 是在攻擊還沒進到你主機前就先擋下來,這也是最近很多人遇到 AI 爬蟲把主機爬到當機時的正解。另外網域本身也要顧,網址註冊時選對註冊商、避開地雷,才不會哪天網域被鎖或被盜轉。
很多人會問我:免費 SSL 和付費 SSL 是不是差很多?答案是對部落客來說幾乎沒差,加密強度一樣,免費的 Let’s Encrypt 完全夠用,差別只在企業要的保固和身分驗證等級。
以下這些保護網站的細項文章,我幫你整理在一起:
主機備份:最後一道、也最重要的保險
備份是萬一真的中招時,能不能把網站救回來的關鍵。再怎麼防,總有失手的一天,差別只在於你能在十分鐘內還原,還是整個網站砍掉重練。我看過不少站長被駭之後才發現,主機商的備份要另外付費還原,或是根本沒開過。備份請把握三個原則:第一是自動排程,別靠手動,你一定會忘;第二是異地存放,別只存在同一台主機,主機掛了備份會一起陪葬;第三是定期測試還原,備份打不開等於沒備份。WordPress 可以用 UpdraftPlus 這類外掛自動備份到雲端硬碟,工作室的重要檔案也建議一起納進備份計畫。
WordPress 網站安全第二件事:別讓人盜走你的登入帳號
網站本身顧好了,還有一半在帳號。再強的網站防護,密碼一外洩照樣破功。
第一件事是別再到處用同一組密碼。用 Bitwarden 這類免費密碼管理器,每個網站都產一組高強度的亂碼密碼,就算某個網站被外洩,也不會一個破、全部倒。
第二件事是兩步驟驗證。就算密碼被猜中,沒有你手機上的驗證碼一樣登不進來。WordPress 後台可以裝 WP 2FA 外掛開啟兩步驟驗證,手機端推薦用 Google Authenticator 把驗證碼帶著走。
常被問到一個問題:兩步驟驗證會不會很麻煩?其實設定一次之後,平常登入只多花十秒輸入一組驗證碼,但安全等級直接跳一階,這筆帳很划算。
別忘了社群帳號也是你的資產。Facebook 雙重驗證和 IG、FB 被盜時的 Meta 救援都要先設好,等被盜才處理就太慢了。保護帳號的細項文章一次看:
部落客的 WordPress 網站安全最小清單,哪些該做、哪些不用?
如果你時間有限,先做這幾件投報率最高的就好:裝免費 SSL、用 Cloudflare 擋攻擊、開兩步驟驗證搭配密碼管理器、設定自動備份。這幾件幾乎免費,卻能擋掉大部分的自動化攻擊,就算出事也救得回來。
誰該認真看這篇,我幫你分好:
- 已經自架 WordPress 的部落客
- 剛從痞客邦搬家、第一次自己當站長
- 帳號或網站曾經被盜、心有餘悸
如果你還在用痞客邦這類代管平台,安全大致由平台扛,這篇可以先收藏,不過也別忘了你少了對網站的掌控權,這點可以參考痞客邦該不該搬。
部落客常糾結要不要花錢買安全外掛,我把三種做法攤開比給你看:
| 做法 | 花費 | 主機負擔 | 防護效果 | 適合誰 |
|---|---|---|---|---|
| Cloudflare 免費路線(我推薦) | 免費 | 幾乎不增加 | 攻擊進主機前就擋下、順便加速 | 大多數部落客 |
| 只裝安全外掛擋 | 免費版或付費 | 吃主機資源,量大會當機 | 用自己主機硬扛 | 流量小、主機夠力才勉強 |
| 什麼都不做 | 0 | 0 | 等於門戶大開 | 不建議任何人 |
金城老師觀點
我看過太多部落客辛苦經營好幾年,輸的不是內容,是一次帳號被盜或主機被打趴,流量歸零還被 Google 標成危險網站。這幾年 AI 一普及,自動化攻擊明顯變多,來找我求救的站長有三分之一都卡在安全,而且很多是好心裝了防火牆外掛,結果外掛比駭客還先把主機吃垮。我的建議很實在:別追求一次到位的鐵壁,先用免費的 Cloudflare 把攻擊擋在門外,帳號開兩步驟驗證,再設好自動備份。這三件免費的事做完,你就從「高風險」變成「不值得駭客花時間」,這才是部落客最划算的安全投資。
延伸閱讀
參考資料
常見問題
WordPress 網站安全一定要裝安全外掛嗎?
不一定。對多數部落客來說,免費的 Cloudflare 加上兩步驟驗證、密碼管理器就夠了。安全外掛是用你自己的主機硬扛攻擊,量一大反而會把主機拖垮。
沒裝 SSL 會怎樣?免費的夠用嗎?
現在的瀏覽器只要看到沒 SSL 就會標不安全,訪客會卻步。免費的 Let's Encrypt 加密強度和付費版一樣,部落客用完全夠。
兩步驟驗證會很麻煩嗎?
設定一次之後,平常登入只多花約十秒輸入驗證碼,但就算密碼外洩也擋得住,CP 值很高。
我的部落格沒什麼流量,駭客真的會理我嗎?
會。多數攻擊是自動化程式不挑大小到處掃,門沒關好就會被入侵,跟你紅不紅沒關係。
網站被駭或主機掛了,沒備份怎麼辦?
很可能只能砍掉重練。所以平常就要設自動備份、存到異地,並偶爾測試還原,真的出事才救得回來。