侃瑞科技

WordPress 安全性強化教學:防止網站被駭的 5 個必做設定

完整整理 WordPress 新站必做的安全強化設定,涵蓋帳號管理、外掛更新策略、登入保護、檔案權限、備份驗證與被駭後的緊急處理 SOP。

WordPress安全性外掛資安防駭cPanel網站維護教學安全性強化Imunify360暴力破解2FA

WordPress 會被打,不代表它不能用;真正的問題通常是站長把最基本的防護都留到出事後才補。這篇不會講一堆過度進階的資安術語,而是先把最值得優先做、最能立即降低風險的設定排好。

你如果不想每次都只是照著別人的畫面一步一步跟著按,卻不知道自己到底改了什麼,這篇會比較適合你。重點不是讓你背流程,而是讓你下次遇到類似情況時,還知道該怎麼自己判斷。

你會學到什麼

  • 知道哪些 WordPress 安全設定該先做,哪些可以後補。
  • 分辨帳號、外掛、備份與登入防護各自處理的是什麼風險。
  • 建立一套不需要每天提心吊膽的基本安全習慣。
  • 萬一被駭,知道完整的緊急處理流程。

什麼情況最適合先看這篇

  • 剛接手虛擬主機、想自己把網站日常維護做好的人
  • 你現在正要處理「WordPress 安全性強化」這類操作
  • 你希望做完之後不只功能能用,連驗證與排錯也有概念

開始前先確認

  • 先確認 WordPress、外掛與佈景都可正常登入。
  • 如果是正式站,先做一份完整備份。
  • 盤點目前有哪些管理員帳號和外掛。

先提醒你一件事

cPanel 很多功能都和網域、目錄、Email、憑證綁在一起,設定前先確認你改的是哪個站。

WordPress 安全防護架構

詳細教學與操作步驟

為什麼 WordPress 需要特別加強安全性?

由於 WordPress 是全球使用率最高的內容管理系統(超過 40% 的網站使用),這也讓它成為駭客的首要目標。雖然 WordPress 核心程式相對安全,但大多數攻擊是針對弱密碼、未更新的外掛或主題。

侃瑞科技的虛擬主機均配備 Imunify360 專業防火牆,能自動阻斷常見攻擊,但身為網站管理者的你仍有幾件必做的事情。

步驟一:保持所有內容最新

這聽起來很簡單,但卻是最重要的一步。根據統計,超過 50% 的 WordPress 被駭事件是因為使用了過時的外掛。

核心更新:

  • 確保 WordPress 版本始終為最新。
  • 小版本更新(例如 6.4.1 → 6.4.2)通常是安全修補,建議開啟自動更新。
  • 大版本更新(例如 6.4 → 6.5)建議先備份再手動更新。

外掛與主題管理:

  • 刪除不使用的外掛與主題。即使停用了,存在伺服器上就是風險。
  • 對正在使用的內容開啟「自動更新 (Enable auto-updates)」。
  • 定期(每月至少一次)登入後台檢查更新狀態。

更新前的安全守則:

  1. 做備份(參考 備份教學)。
  2. 先在低流量時段操作。
  3. 更新後立即測試網站前後台。

步驟二:強化帳號安全

管理員帳號

  • 絕對不要用 admin 當使用者名稱。 這是暴力破解的第一個目標。
  • 如果你的管理員帳號就是 admin
    1. 建立一個新的管理員帳號(用自訂名稱)。
    2. 用新帳號登入。
    3. 刪除舊的 admin 帳號(系統會問你要把文章歸屬給誰,選新帳號)。

密碼策略

  • 使用強密碼產生器建立長度超過 16 位的複雜密碼。
  • 每個管理員帳號用不同密碼。
  • 用密碼管理器(1Password、Bitwarden)儲存,不要存在瀏覽器或記事本。

雙因素驗證(2FA)

安裝安全性外掛為 WordPress 登入加上 2FA:

  1. 安裝「Two Factor Authentication」或「WP 2FA」外掛。
  2. 啟用後,用 Google Authenticator 或 Authy 掃描 QR Code。
  3. 每次登入除了密碼,還需要輸入動態驗證碼。

就算密碼被偷,沒有你的手機也進不去後台。

管理員帳號盤點

定期檢查「使用者」頁面:

  • 只保留必要的管理員帳號。
  • 其他人員盡量給「編輯」或「作者」角色,不要給「管理員」。
  • 離職人員的帳號立即停用或刪除。

步驟三:限制登入嘗試

駭客常使用「暴力破解 (Brute Force)」來不斷嘗試你的密碼。

安裝 Limit Login Attempts Reloaded:

  1. 在「外掛」→「安裝外掛」搜尋「Limit Login Attempts Reloaded」。
  2. 安裝並啟用。
  3. 到設定頁面調整:
    • 允許嘗試次數:3-5 次
    • 封鎖時間:20 分鐘
    • 增加封鎖次數:3 次
    • 增加封鎖時間:24 小時

這能大幅減輕伺服器的負擔,同時保護帳號安全。

步驟四:隱藏 WordPress 登入網址

預設的登入網址是 yourdomain.com/wp-admin,這是駭客最容易發動攻擊的地方。

使用 WPS Hide Login:

  1. 安裝「WPS Hide Login」外掛。
  2. 到「設定」→「WPS Hide Login」。
  3. 把登入 URL 改為自訂網址,例如 yourdomain.com/my-secret-login
  4. 存檔後,原本的 /wp-admin 會回傳 404。

注意: 改完後一定要記住新的登入網址。如果忘記了,可以用 FTP 進入 wp-content/plugins/wps-hide-login 資料夾改名來停用外掛,恢復預設路徑。

步驟五:啟用 HTTPS 加密連線

確保你的網站已啟用 SSL。這能防止你的登入資訊在傳輸過程中被截獲。請參考 SSL 憑證設定教學 完成設定。

進階安全設定

以下設定適合想做更多防護的站長:

修改資料表前綴

WordPress 預設的資料表前綴是 wp_,駭客知道這個。如果你是新站,在安裝時就改成別的(例如 kn_ 或隨機字串)。

停用檔案編輯器

WordPress 後台有個內建的佈景主題/外掛編輯器,如果管理員帳號被入侵,駭客可以直接在裡面寫惡意程式碼。

wp-config.php 加入:

define('DISALLOW_FILE_EDIT', true);

保護 wp-config.php

.htaccess 加入:

<Files wp-config.php>
Order deny,allow
Deny from all
</Files>

停用 XML-RPC

XML-RPC 是 WordPress 的遠端呼叫介面,但現在幾乎沒有正當用途,卻常被用來做暴力破解攻擊。

.htaccess 加入:

<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>

注意: 如果你使用 Jetpack 外掛或手機 WordPress App,停用 XML-RPC 可能會影響功能。

檔案權限確認

確認以下權限設定(到 cPanel File Manager 檢查):

檔案/目錄建議權限
wp-config.php644640
.htaccess644
wp-content/755
wp-content/uploads/755
其他 PHP 檔案644
其他目錄755

絕對不要把任何檔案設成 777

安全性檢查清單

每月做一次以下檢查:

項目頻率怎麼做
WordPress 核心更新有更新就做後台 → 更新
外掛和主題更新每週確認後台 → 更新
備份驗證每月下載一份確認能開
管理員帳號盤點每月使用者 → 確認只有必要帳號
安全掃描每月Imunify360 或 Wordfence 掃描
密碼更換每季特別是在有人員異動時

被駭了怎麼辦?緊急處理 SOP

第一步:確認被駭範圍

常見被駭症狀:

  • 網站被導到奇怪的網站(尤其是手機版)。
  • 網站首頁被改成駭客宣言。
  • Google Search Console 顯示大量垃圾頁面。
  • 主機帳號被暫停(因為被偵測到惡意活動)。
  • 你的密碼突然失效。

第二步:暫時下線

  1. 在 cPanel 的 File Manager 找到 .htaccess
  2. 在最上面加入:
# 暫時下線維護
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^你的IP$
RewriteRule .* - [F,L]

這樣只有你的 IP 可以訪問網站,訪客會看到 403。

第三步:更改所有密碼

按以下順序更改:

  1. cPanel 密碼
  2. WordPress 所有管理員密碼
  3. 資料庫密碼(改完要同步更新 wp-config.php
  4. FTP 密碼
  5. Email 密碼

第四步:清除惡意程式

  1. 檢查 Imunify360 有沒有標記的惡意檔案,如果有就清除。
  2. 用 Wordfence 做完整掃描。
  3. 檢查 wp-content/uploads/ 目錄有沒有不應該存在的 .php 檔案。
  4. 檢查主題和外掛目錄有沒有可疑檔案。

第五步:還原乾淨版本

如果惡意程式太多難以一一清除:

  1. 從乾淨的備份還原(參考 備份教學)。
  2. 還原後立即更新所有外掛和主題。
  3. 更改所有密碼。

第六步:防範再次發生

  1. 確認漏洞來源(通常是過時的外掛)。
  2. 刪除不必要的外掛和主題。
  3. 做好本篇教學的所有安全設定。
  4. 設定自動更新。

如果你處理不來,侃瑞科技提供 全代管 VPS 服務,包含更進階的安全加固,適合對安全性有極高要求的企業用戶。

做完後怎麼確認自己真的有設對

  • 試著用 yourdomain.com/wp-admin 存取,確認已被隱藏或正常轉到新路徑。
  • 試著連續輸入錯誤密碼 5 次,確認會被封鎖。
  • 確認 2FA 有啟用,登入需要動態驗證碼。
  • 確認沒有多餘的管理員帳號。
  • 到 cPanel 的 Imunify360 確認沒有安全警告。

這一題最常踩的坑

  • 只裝安全外掛,卻不更新核心和外掛本身。
  • 備份有做但從來沒驗過能不能還原。
  • 管理員帳號太多、權限太大,風險很難收斂。
  • 改了登入網址後自己忘記,被自己鎖在外面。
  • 以為有 Imunify360 就百毒不侵,忽略了 WordPress 層面的防護。

如果你要往下一步走

如果你還沒處理備份,建議接著看 cPanel 網站備份與還原教學。如果你想確保 SSL 設定正確,可以參考 SSL 憑證設定教學。如果你想把這些功能直接用在穩定環境,侃瑞的 cPanel 虛擬主機方案 可以直接對照本文操作。

需要主機來實作?

侃瑞科技提供 cPanel 虛擬主機與 VPS,教學裡的操作開箱即用。

查看方案 →
上一篇

cPanel 子網域設定教學:輕鬆建立 subdomain 擴展網站功能

下一篇

SSL 憑證轉檔與檢測工具教學:常見格式轉換與安裝正確性檢查

LINE 諮詢