本篇來自合作夥伴 i Know 網,《傑瑞窩在這》獲授權轉載。
WordPress 是一個非常受歡迎且容易使用的平台,並且在網路世界中佔有一席之地。然而,大部分的人都不會談論關於這個平台的缺點。我個人很喜歡 WordPress,我也用它來創建我絕大部分的網站,但它也很容易成為駭客的目標。
為什麼 WordPress 會是駭客的目標?
現今,網路上有大約 27 % 的網站都是使用 WordPress 。27 % 已經是超過 2700 萬個網站,是非常龐大的數目,而一般的駭客也都很清楚這點。
通常一般人想到駭客時,出現在他們腦海中的是一個孤單的男生穿著黑色帽 T 在家裡坐在電腦前面入侵銀行之類的。
你應該擔心的不是這種人。老實說,如果一個很老練的駭客嘗試攻擊你的網站,除了我們在這篇文章中會提到的基本保護措施外,大部分的情況,你沒辦法有其他方式可以防止他。
如何保護你的網站讓它免於駭客攻擊?
作為 WordPress 網站管理員,你最需要擔心的是「自動」的攻擊,意思是一個黑帽駭客編寫的程式碼,而這些程式碼能找到並入侵數百萬個 WordPress 網站。
雖然不可能百分之百保證,但要保護你的網站避免多數此類的攻擊,實際上非常簡單。
你應按照下列的做法(沒有特定順序):
基本常識:連你媽媽都應該知道的事情
第一部分的建議可能會讓你覺得這些是大家都知道的,但我們還是先從基礎開始講起再進入到比較進階的部分。
#1 幫你的 WordPress 和虛擬主機設定強度高的密碼
老實說,我曾經犯過這個錯誤,而我也為此付出了代價。
很多人會幫 WordPress 設定強度高的密碼,卻幫虛擬主機設定簡單的密碼。問題是,大部分的虛擬主機會自動把你的 FTP 密碼設成跟你的虛擬主機密碼一樣。
這代表說如果他們可以破解你簡單的虛擬主機密碼,他們就能夠得到你的 FTP 密碼並直接進入你的網站後台。
總結來說,你應該把所有和你的網站相關的密碼都設定的複雜一點,並將這些密碼保存在安全的地方。
#2 幫你的網站取得 SSL 安全憑證
你有在使用 Google 搜尋時看過在網址中的 S 嗎?
這裡的 S 代表 Secure,也就是安全的意思。
這在所有的網站上都是一樣的,即使你並沒有使用 WordPress。如果你使用的虛擬主機服務不錯,通常都會包括在內,並且是完全免費的。
如果你需自己安裝,你可以從 Letsencrypt.org 取得一個免費的 SSL 憑證。抑或是你對於科技並沒有特別了解,你可以詢問你的虛擬主機供應商,看他們能否免費提供給你。
總之,它會為你的網站加上多一層的加密和保護。
#3 不要使用便宜的虛擬主機
我能夠理解你可能有其他的專案或者才剛開始自己的事業,所以不想花那麼多錢在虛擬主機上。我也曾經經歷過那個時期。我沒有要建議你馬上升級或花一筆很貴的費用買東西。
然而,如果你有足夠的經費或有認真在經營的事業,你不應再如此排斥花錢買值得的東西。
跟 WordPress 一樣,駭客們知道大部分的網站站主都使用便宜的虛擬主機。
因此,當駭客們想要發起自動程式碼/程式去攻擊一大部分的網站,他們會選擇去攻擊使用便宜虛擬主機的網站。這時你會發現有許多對於網站安全性沒那麼了解的站主成了無辜的受害者。
更糟糕的是,大部分的便宜虛擬主機提供共享虛擬主機,意思是你的網站和其他人一起共享同一個伺服器,如果他們的網站遭到駭客入侵,你的網站很可能就會是下一個受害者。
再加上,如果你有任何問題,優質的虛擬主機較願意不額外收費來幫助你解決問題。
而較便宜的虛擬主機通常會一直向你推銷東西,要求你使用金錢購買東西來解決問題。
#4 總是備份你的網站
我自己的 WordPress 網站,我個人喜歡使用 Back Up Buddy 的外掛。WordPress 以外的網站,我通常會付費使用虛擬主機提供的備份服務或者直接把那些網站的 HTML(或其他我在使用的體系)儲存在一個安全的地方。
通常,你的虛擬主機會提供免費的備份服務,然而,除此之外,安裝 Back Up Buddy,它會把你的資料直接存到 Dropbox、Google Drive 或者任何你想要的地方。
如果你使用的是便宜的虛擬主機,它們的免費備份服務通常會有一些奇怪的條件或容量限制。Backup Buddy 會每個星期(或你自己設定多久一次)自動備份你的網站。
這樣一來,如果你真的走投無路,至少你還可以把你的心血復原。
WordPress 用戶可以怎麼做?
終於,我們可以來談談只適用於 WordPress 的東西了。
首先,我們必須從一個無腦的建議開始,
#5 隨時更新
隨時更新你的 WordPress 安裝和外掛,尤其是如果你使用很多免費的外掛的時候。
再次強調,駭客總是在尋找簡單的目標。如果他們發覺了舊版Wordpress的弱點,或更糟,擁有上百萬用戶的人氣外掛不隨時維護系統、修正弱點,這時駭客們必定會趁機攻擊。
總之,一定要隨時更新外掛以及把你沒有在使用的外掛刪掉。
#6 使用付費的主題(甚至是外掛)
我知道,花錢很煩。
然而,免費的東西不一定會定期更新維護,這些過舊的軟體也就成為駭客會趁機攻擊的地方。
反觀需要付費的東西,因為這些開發者需要依賴這些東西賺錢,他們才比較有可能花時間去更新及維護他們的東西,不論是主題、外掛或是其他東西都是一樣的。
再加上,它是需要付費的,擁有的用戶也會比較少,也因為這樣駭客才不會想攻擊這些軟體。
如果你沒有那麼多經費或不想花錢購買任何東西,請記得時常更新。
#7 安裝 Wordfence 外掛
Wordfence 是一個很優質的外掛,我裝有這個外掛的每個網站從來都沒有被駭客入侵。長話短說,它會建立一道防火牆來防止惡意程式和 IP 位址,保護你的網站安全。
我個人只有使用免費的版本。
#8 安裝 Limit Login Attempts 外掛
大部分的時候,WordPress 會透過你的 URL(網址) 後面加上「wp-admin」來進行登入。也就是說,如果一個駭客辨識到你正在使用一個 WordPress 網站,他們的系統可以自動導入到你的登入頁面。
駭客也知道這點,一個能防止他們破解你密碼的簡單方式就是安裝 Limit Login Attempts 的外掛。
就如它的名稱字面上的意思,它只會提供你幾次機會來登入你的網站。
#9 刪除舊用戶
照理來說,愈多人使用你的網站,就越容易出現問題。你應刪除舊的用戶,或至少限制他們擁有的權限。
相信我,不管你告訴過一個人多少次要他設定複雜的密碼,不代表他一定有聽進去。
如果他們忘記你分配給他們的密碼,他們很有可能會把密碼換成簡單一點的。
刪除他們吧。
如何實際運用到你的 WordPress 網站?
最後,如果你不太確定要如何將這些建議和撇步實際運用到你的網站上,你可以閱讀這篇 WordPress 教學來了解更多。閱讀這篇教學後,你將會學到管理 WordPress 網站的基礎知識。
總結想法和撇步
總的來說,保護自己免於大多數的自動攻擊其實相當簡單。你只需要花點時間按照下列的方法:
- 總是使用複雜的密碼(不管是你的虛擬主機或 FTP)
- 定時更新你的主題、外掛和 WordPress 安裝
- 把你沒有在使用的外掛刪除
- 升級到 SSL 憑證
- 備份你的網站
- 如果你有經費的話,總是試著去使用優質的虛擬主機和付費外掛及主題
你還有其他建議嗎?如果有的話,歡迎在下方留言。