WordPress 支撐著網際網路中極大的一部分,這也使它成為持續的攻擊目標。好消息是,絕大多數 WordPress 遭入侵的案例都利用了一小組可預測的弱點,而且幾乎全部都可以預防。這份 WordPress 安全強化 檢查清單將大致依優先順序,逐步介紹在 2026 年真正見效的措施。

重點速覽

  • 有漏洞且過時的外掛與佈景主題是 WordPress 最大的攻擊途徑;有紀律的更新與移除未使用的程式碼比任何事都重要
  • 強身分驗證(唯一的管理員使用者名稱、強密碼、雙因素驗證、登入速率限制)能堵住第二常見的入口
  • 強化 wp-config.php、檔案權限以及 REST API / XML-RPC 攻擊面,並在網站前端部署 WAF
  • 定期備份並測試還原;良好的備份能把一次入侵從災難變成小麻煩

1. 讓核心、外掛與佈景主題保持最新

過時的外掛與佈景主題是 WordPress 網站被入侵的頭號原因。每個外掛都是以存取你網站的權限執行的第三方程式碼。

  • 為 WordPress 核心啟用自動更新(至少是次要版本)。
  • 及時更新外掛與佈景主題,最好依排程進行,並在預備環境中測試。
  • 移除你不使用的外掛與佈景主題。停用還不夠;刪除才安全。
  • 只從信譽良好、維護紀錄活躍的來源安裝外掛。
  • 留意遭棄置的外掛;無人維護的程式碼即使還能運作也是隱患。

2. 鎖定身分驗證

針對 wp-login.php 的暴力破解與憑證攻擊從不停歇。

  • 絕不使用 admin 作為使用者名稱。使用唯一的管理員名稱。
  • 為每個帳戶強制使用強而唯一的密碼。
  • 為所有管理員與編輯帳戶啟用雙因素驗證(2FA)。
  • 限制登入嘗試次數,並加入速率限制以阻擋暴力破解嘗試。
  • 考慮變更或保護登入 URL,並加入 CAPTCHA 驗證。

3. 套用最小權限的使用者角色

  • 給每位使用者能完成其工作的最低角色。並非每個人都需要成為管理員。
  • 定期稽核使用者帳戶,移除離職員工與未使用的登入。
  • 在安裝會新增自訂能力的外掛後,重新檢視角色。

4. 強化 wp-config.php

wp-config.php 保存著你的資料庫憑證與密鑰,因此值得特別關注。

  • 設定唯一的驗證金鑰與鹽值(salt)。
  • 停用內建檔案編輯器:define('DISALLOW_FILE_EDIT', true);,如此一來取得管理員存取權的攻擊者也無法從控制台編輯佈景主題與外掛程式碼。
  • 在主機設定允許的情況下,將 wp-config.php 移到網站根目錄的上一層,並限制其檔案權限。
  • 在正式環境中讓 WP_DEBUG 保持停用,以免錯誤洩漏資訊。

5. 設定正確的檔案與目錄權限

  • 目錄 755、檔案 644 作為標準基準;絕不使用 777
  • 確保 Web 伺服器使用者擁有這些檔案,但無法在不需要的地方寫入。
  • 保護敏感檔案並停用目錄瀏覽。

6. 縮小攻擊面:XML-RPC 與 REST API

  • 若不使用就停用 XML-RPC;它是常見的暴力破解與 DDoS 放大途徑。
  • 在 REST API 暴露你不想公開的資料之處,對其加以限制或要求身分驗證。
  • 從頁面輸出中移除 WordPress 版本號及其他不必要的資訊揭露。

7. 在前端部署 WAF 與 HTTPS

  • 透過 HTTPS 提供整個網站,並重新導向所有 HTTP 流量。
  • 加入安全標頭(HSTS、X-Content-Type-OptionsX-Frame-Options 或採用 frame-ancestors 的 Content-Security-Policy,以及在可行時的 CSP)。
  • 使用 Web 應用程式防火牆。像 Cloudflare 這樣的 CDN 層級 WAF 會在惡意流量抵達 WordPress 之前加以過濾,並吸收機器人與 DDoS 的壓力。

8. 資料庫與主機強化

  • 在全新安裝時使用非預設的資料庫資料表前綴。
  • 使用僅具備 WordPress 所需權限的專用資料庫使用者。
  • 讓 PHP 保持在受支援的當前版本;生命週期結束的 PHP 是無聲的風險。
  • 選擇能隔離網站並為伺服器技術堆疊修補的主機服務。

9. 監控、備份與復原

  • 執行惡意軟體與檔案完整性掃描,以便快速偵測意外的變更。
  • 啟用安全記錄,讓你能看見登入嘗試與變更。
  • 進行定期、自動、存放於伺服器之外的備份,並測試其還原。未經測試的備份只是希望,而非計畫。

關鍵要點

  • 最大的成效並不亮眼:更新一切、移除未使用的外掛與佈景主題,並以 2FA 強制執行強身分驗證。
  • 強化 wp-config.php、檔案權限以及 XML-RPC / REST API 攻擊面,以縮小攻擊面。
  • 在網站前端部署 HTTPS、安全標頭與 WAF。
  • 定期備份並測試還原,使一次入侵得以復原。

專業的 WordPress 安全強化

檢查清單能帶你走完大部分路程,但 WordPress 安全強化 仍受益於專家的眼光。一次 WordPress 安全稽核 會審查每個外掛與佈景主題,測試身分驗證與存取,並檢查 wp-config.php、資料庫以及 REST API 與 XML-RPC 攻擊面,產出一份依優先順序排序的強化計畫。若想了解涵蓋整個網站與技術堆疊的更全面視角,請參閱面向英國企業的網站安全稽核指南 。如果你的網站在強化之外還需要持續的開發與維護,一位 可雇用的 WordPress 開發者 可以長期保持其安全。

常見問題(FAQ)

WordPress 網站被入侵最常見的方式是什麼? 有漏洞且過時的外掛與佈景主題。第三方外掛程式碼是最大的攻擊途徑,正因如此,及時更新與移除未使用的外掛幾乎比任何事都重要。

我真的需要安全外掛嗎? 信譽良好的安全外掛有助於惡意軟體掃描、登入限制與監控,但它並不能替代基礎工作:更新、強身分驗證、最小權限角色與 WAF。請在良好的安全衛生之上疊加使用它,而非取而代之。

我應該停用 XML-RPC 嗎? 如果你不使用它(例如用於行動應用程式或某些整合),那麼應該停用。XML-RPC 經常被濫用於暴力破解與 DDoS 放大,因此停用它能移除一個常見的攻擊面。

我應該多久備份一次 WordPress 網站? 頻率要足以讓你不會遺失有意義的資料,活躍網站通常每天一次,並存放於伺服器之外。關鍵在於:測試你的還原;一份從未還原過的備份是未經驗證的。

Cloudflare 足以保護 WordPress 嗎? 像 Cloudflare 這樣的 CDN 層級 WAF 會過濾大量惡意流量並吸收機器人與 DDoS 的壓力,但它無法修復有漏洞的外掛、弱密碼或錯誤設定。請把它作為與站內強化並行的一層來使用。