侃瑞科技

cPanel 主機安全檢查清單:SSL、PHP、檔案權限、備份與 2FA

cPanel 主機常見安全問題包含 SSL 未正確設定、PHP 版本過舊、檔案權限錯誤、沒有備份與未啟用 2FA。本文整理站長可以定期檢查的基礎清單。

cPanel主機安全SSLPHP檔案權限備份2FASPFDKIMDMARCImunify360WordPress

cPanel 虛擬主機不需要你自己維護整台伺服器,但站長仍然要管理網站、信箱、PHP 版本、檔案權限、備份與帳號安全。這份清單適合每月或每次網站重大更新前做一次,先把最常見、最容易被忽略的風險整理好。

重點不是追求「百分之百安全」,而是降低明顯風險,讓你知道哪些問題可以自己處理,哪些問題應該請主機商或工程師協助。

你會先搞懂這幾件事

  • SSL 正常不只看有沒有鎖頭,也要看 mixed content 與到期狀態。
  • PHP 版本過舊會影響安全與相容性。
  • 檔案權限錯誤可能讓網站被寫入或執行不該執行的檔案。
  • 備份要能還原,不能只相信「有備份」三個字。
  • Email 安全設定會影響網域信譽與冒名寄信風險。

1. SSL 是否正常且沒有 mixed content

先確認:

  • 網站是否能用 https:// 正常開啟。
  • 瀏覽器是否顯示安全鎖頭。
  • 是否有圖片、CSS、JavaScript 仍從 http:// 載入。
  • SSL 憑證是否接近到期。
  • http:// 是否會導向 https://

可以參考 cPanel SSL 憑證設定教學SSL 憑證轉檔與檢測工具

2. PHP 版本是否仍受支援

PHP 版本過舊時,外掛、主題與框架的安全修補可能不再完整。你可以在 cPanel MultiPHP Manager 或主機控制面板查看目前版本。

檢查重點:

  • 是否使用仍受支援的 PHP 版本。
  • WordPress、外掛、主題是否相容新版 PHP。
  • 升級前是否已完成備份。
  • 升級後是否測試前台、後台、表單、付款或會員功能。

可以先看 cPanel PHP 版本切換教學

3. WordPress / 外掛 / 主題是否更新

WordPress 常見風險不一定來自核心,而是外掛、主題與弱帳號。請檢查:

  • WordPress 核心是否更新。
  • 外掛與主題是否更新。
  • 沒有使用的外掛與主題是否已刪除。
  • 管理員帳號是否過多。
  • 是否啟用 2FA 或登入限制。

延伸閱讀:WordPress 安全性強化教學WordPress 網站被駭前常見的 10 個徵兆

4. 檔案與目錄權限是否異常

一般網站常見權限大致如下:

類型常見權限注意事項
目錄755通常不應隨便設成 777
PHP / HTML / CSS / JS 檔644避免所有人可寫入
wp-config.php640644依主機環境調整
上傳目錄755不應讓 PHP 在上傳目錄任意執行

不同主機環境可能有差異,不要只因網路文章建議就大量改權限。先備份,再針對異常項目處理。

5. 是否啟用 2FA

cPanel、WordPress、信箱與客戶中心都應該優先啟用雙因素驗證。2FA 不能保證不會出事,但可以降低密碼外洩後被直接登入的風險。

建議啟用順序:

  1. 主機客戶中心。
  2. cPanel 帳號。
  3. WordPress 管理員。
  4. 重要 Email 帳號。
  5. 域名註冊商與 DNS 管理平台。

6. 是否有備份且能還原

備份檢查不是只看「有沒有」。你要確認:

  • 備份包含網站檔案、資料庫、Email 與 DNS 設定。
  • 備份保留在主機以外的位置。
  • 你知道怎麼下載與還原。
  • 你曾經做過還原測試。
  • 重大更新前會手動建立備份。

可以參考 cPanel 網站備份與還原教學

7. Email 安全設定:SPF、DKIM、DMARC

公司網域信箱如果沒有 SPF、DKIM、DMARC,比較容易被冒名或被收件方判為不可信。請確認:

  • SPF 是否包含實際寄信服務。
  • DKIM 是否已啟用並通過驗證。
  • DMARC 是否至少有基本政策與報告信箱。
  • 不同服務不要互相覆蓋 DNS 記錄。

可以先看 Email DNS 設定教學

8. Resource Usage 是否有異常

cPanel Resource Usage 可以幫你看 CPU、記憶體、I/O、Entry Processes 是否異常。資源暴增可能是正常流量,也可能是外掛問題、暴力破解、惡意程式或備份排程卡住。

建議每月看一次:

  • 是否常常觸碰限制。
  • 是否集中在特定時間。
  • 是否和外掛更新、行銷活動或異常登入同時發生。
  • 是否需要優化、升級方案或改用 VPS。

延伸閱讀:cPanel 資源用量監控教學

9. Imunify360 或安全工具警告如何處理

如果安全工具跳出 malware、suspicious file、blocked request,不要只按忽略。先確認:

  • 受影響檔案路徑。
  • 檔案修改時間。
  • 是否屬於你正在使用的外掛或主題。
  • 同帳號其他網站是否也有警告。
  • 清理後是否會重複出現。

如果同一問題反覆出現,通常代表入口沒有補掉,需要回頭檢查 WordPress、密碼、外掛、權限與備份版本。

需要協助判斷目前環境是否安全?

如果你已經有網站、VPS、cPanel、WordPress、AI 工具或掃描報告,但不確定哪些問題要先處理,可以到侃瑞科技官方網站取得初步判斷。

查看資安健檢服務

延伸閱讀

需要協助判斷目前環境是否安全?

如果你已經有網站、VPS、cPanel、WordPress、AI 工具或掃描報告,但不確定哪些問題要先處理,可以到侃瑞科技官方網站取得初步判斷。

查看資安健檢服務 →

相關閱讀

伺服器資安教學

中小企業資安健檢清單:DNS、Email、SSL、備份與帳號權限

中小企業不一定一開始就需要高強度滲透測試,但應先做好 DNS、Email、SSL、備份、帳號權限、主機更新與網站安全盤點。本文整理基礎檢查清單。

伺服器資安教學

WordPress 網站被駭前常見的 10 個徵兆

WordPress 網站如果出現陌生管理員、奇怪跳轉、搜尋結果被插廣告、檔案異常增加或主機資源暴增,可能已經有安全風險。本文整理常見徵兆與初步排查方向。

伺服器資安教學

公司信箱被冒名寄信怎麼辦?SPF、DKIM、DMARC 與寄信紀錄基礎排查

收到客戶反映有人冒用公司網域寄信時,先不要只改密碼。本文整理如何分辨帳號被盜、網域被冒名、SPF/DKIM/DMARC 設定錯誤、寄信紀錄與黑名單排查方向。

上一篇

SSH 被暴力破解怎麼辦?Fail2Ban、防火牆與登入日誌檢查

下一篇

AI 工具部署在 VPS 上之前,應該先檢查哪些安全設定?