如何保護你的 WordPress 網站免受黑客攻擊

黑客每天都會以具欺騙性的攻擊手法針對 WordPress 網站，目的是竊取資料、安裝惡意軟件，以及劫持你的網上業務。好消息是？只要採取正確的安全策略，你就可以保護自己。本指南會以簡單、經過驗證且證實有效的方法，逐步教你如何保護你的 WordPress 網站免受黑客攻擊。

WordPress 安全威脅的嚴峻現實

WordPress 安全威脅已達危機水平。單在 2024 年，研究人員就發現了4,448 個新漏洞影響 WordPress 網站——較 2023 年發現的 1,745 個漏洞大幅增加 155%。更令人憂慮的是，平均每天約有 337,500 個 WordPress 網站感染惡意軟件。

在 2024 年，WordPress 生態系統中通報了接近8,000 個新漏洞，其中絕大多數針對的是plugins and themes，而非 WordPress core。這表示你網站的安全性，很大程度取決於你安裝的第三方元件。

為甚麼黑客如此專注於 WordPress？原因很簡單——它為互聯網上接近一半的網站提供支援。如此龐大的市場佔有率，令 WordPress 成為網絡罪犯以最少成本造成最大影響的理想目標。

你的 WordPress 網站最脆弱的地方

了解攻擊源頭有助你更有效地集中安全工作。數據揭示了有關 WordPress 漏洞的一些令人意外的模式。

外掛是你最大的安全風險來源。2024 年所有 WordPress 漏洞中，驚人的 96% 都出現在外掛中，而佈景主題佔 4%，WordPress core 本身僅佔 0.1%。這表示你每安裝一個外掛，都可能為黑客打開一個新的攻擊點。

針對 WordPress 網站最危險的攻擊方式包括跨網站指令碼 (XSS) 及 SQL 注入攻擊。XSS 攻擊佔所有新識別安全漏洞的 53.3%，而 SQL 注入則佔已披露漏洞的 47%。

這些攻擊會利用外掛及佈景主題中薄弱的輸入驗證。XSS 攻擊會將惡意指令碼注入你的網站，從而竊取用戶資料及工作階段權杖。SQL 注入攻擊則直接針對你的 MySQL 資料庫，可能讓黑客取得你網站所有資訊的存取權。

每個網站都應採取的基本 WordPress 安全措施

你的第一道防線，是實施可應對最常見攻擊途徑的基本安全做法。這些措施構成任何穩健 WordPress 安全策略的基礎。

保持所有軟件為最新版本

由於大多數漏洞都存在於構成你網站的檔案和程式中，因此保持它們為最新版本至關重要。

• WordPress core 更新可修補安全漏洞，因此一旦有更新可用，請盡快安裝。

• 保持你的 plugins 為最新版本非常重要，因為過時的外掛是最常見的漏洞來源，亦很快會成為攻擊者的目標。

• 定期更新你的 themes and child themes，可確保你擁有最新的安全修補程式，並有助維持與 WordPress core 及 plugins 的相容性。

為 WordPress core 設定自動更新，並在可行情況下為 plugins 啟用 WordPress 自動更新。

實施強效身份驗證措施

弱密碼仍然是黑客取得 WordPress 網站存取權的主要方式之一。切勿使用「admin」作為你的用戶名稱，並建立一個包含大小寫字母、數字及特殊字元的複雜密碼。

如欲了解更多有關保護登入憑證的資訊，請閱讀我們整理的 保護網站的最佳方法。

雙重驗證 (2FA) 會加入更強的安全層，即使黑客取得你的密碼，也會令他們更難存取你的網站。請為所有用戶帳戶啟用 2FA，尤其是管理員帳戶。

你亦可以嘗試較新的技術 passkeys，它透過儲存在你裝置上的 加密金鑰配對 提供免密碼驗證。Passkeys 甚至比傳統密碼和 2FA 更安全，因為它們可消除網絡釣魚及憑證被盜的風險，同時讓用戶透過生物識別或裝置式驗證登入。

取得全面的安全防護

市面上有多款知名的 WordPress 安全工具，可提供更多層的基本監控與防護。Wordfence and Sucuri 是受歡迎的 WordPress 安全外掛，可在任何主機上運作，並提供惡意軟件掃描、防火牆保護及登入安全等功能。Guardian Suite 內建於 EasyWP 主機服務中，專注於自動化安全，包括自動更新及惡意軟件移除。它亦包含 HackGuardian，可將你的 WordPress 檔案系統設為部分唯讀模式，阻止未經授權的變更。

加入防火牆以即時封鎖威脅

雖然安全外掛提供多種保護，但專用防火牆會主動監控及篩選傳入流量，在惡意請求到達你的網站前先行封鎖。這有助在源頭阻止暴力破解登入、SQL 注入及跨網站指令碼等常見攻擊。許多 WordPress 安全外掛都內建防火牆，但你亦可向共享主機供應商使用網頁應用程式防火牆 (WAF)，以增加額外防線。

想更深入了解 WAF 技術，請參閱我們的指南：如何透過共享主機保持受保護。

定期清理未使用的 plugins 和 themes

未使用的外掛和佈景主題不只是雜亂無章——它們更是真正的安全風險。每個停用或過時的外掛或佈景主題，即使目前未啟用，也可能成為黑客的另一個入侵點。養成定期檢查已安裝外掛和佈景主題的習慣，刪除任何你不再使用的項目。這樣可減少攻擊面，並讓你的 WordPress 安裝保持精簡及安全。

提升至最高安全性的進階保護策略

除了基本安全措施外，實施進階保護策略可為複雜攻擊提供全面防禦。

選擇安全的主機與基礎架構

你的主機供應商在網站安全中扮演關鍵角色。應仔細比較及評估各種主機環境的安全功能，包括它們如何保護網頁伺服器及伺服器軟件。

雲端 WordPress 主機供應商提供專門的安全功能，包括強化的伺服器設定、DDoS 防護及網絡層級安全措施。這些供應商通常亦包括自動更新、每日備份及專業安全監控。如果你在同一伺服器上託管多個網站或應用程式，請注意其中一個網站的漏洞可能影響其他網站，因此建議將網站隔離或使用專用資源。

安裝 SSL 憑證

請確保你的主機供應商提供 SSL 憑證，因為這對保護你的網站及訪客至關重要。SSL 憑證會加密所有資料，包括訪客瀏覽器與你的伺服器之間傳輸的資料，令任何試圖攔截的人都無法讀取。這對密碼、付款資料及個人資料等敏感資訊尤其重要。

但 SSL 憑證的作用不止於加密資料。它們亦會透過受信任的憑證授權機構 (CA) 管理的程序，驗證你網站的身份。當 CA 簽發 SSL 憑證時，便會確認你的網站屬合法網站，有助防止網絡釣魚攻擊及網域偽冒。正因如此，瀏覽器才會在網址列顯示鎖頭圖示及 “https://” 等信任標記，讓訪客安心知道你的網站可安全使用。

善用穩健的備份與復原系統

定期備份對於在發生安全事故後迅速復原至關重要。你的 備份策略 應包括備份整個 WordPress 安裝，包括 WordPress core 檔案、媒體，以及所有相關資料庫。建立並安全儲存備份檔案，可確保你在資料遺失、網絡攻擊或伺服器故障後還原網站。

管理用戶角色以減少漏洞風險

WordPress 讓你指派 不同的用戶角色，每個角色都有其權限設定。只給予用戶所需的存取權限——例如 Editor、Author 或 Contributor，而不是 Administrator——即可在帳戶遭入侵時限制潛在損害。請定期檢查你的用戶清單並調整角色，確保沒有人擁有超出必要的權限。這個簡單步驟可防止意外更改，並阻止攻擊者完全控制你的網站。

監察用戶活動記錄

留意用戶活動記錄有助你及早發現可疑行為。活動記錄會追蹤登入、外掛安裝、內容編輯等變更，讓你能快速識別未經授權的操作。許多安全外掛都包含此功能，讓你輕鬆檢視近期活動並調查任何異常。定期監察這些記錄，是在威脅升級前及早發現問題的主動方法。

停用 XML-RPC 以阻擋常見攻擊

XML-RPC 是 WordPress 的一項功能，可讓網站接受遠端連線，但它亦經常成為黑客的攻擊目標。攻擊者常利用 XML-RPC 發動暴力破解攻擊或取得未經授權的存取權。如果你不使用需要 XML-RPC 的遠端發佈工具或應用程式，最好將它完全停用。你可以使用外掛來完成，或透過加入簡單規則到網站的 .htaccess 檔案中，進一步降低網站遭受自動化攻擊的風險。

在黑客出手前先保護你的 WordPress 網站

WordPress 安全需要持續保持警覺，但實施這些措施可大幅降低你成為受害者的風險。先從最優先的項目開始，然後有系統地完成整份檢查清單。你網站的安全與你的安心，都取決於你今天就採取行動。