8個WordPress網頁保安小貼士

WordPress保安的重要性

WordPress是全球最受歡迎的網站內容管理系統(Content Management System, CMS),據2020年資料,活躍的WordPress網站大約有2,500萬個,首100萬個最受歡迎的網站中,有30萬個是使用WordPress設計的。

由於WordPress多人使用,所以亦最常受到網絡攻擊,據統計,每個月全球有約100萬個WordPress網站受到攻擊,常見的攻擊方法包括: 

  • 撞密碼 Brute Force Attack
  • 透過表格輸入程式碼 SQL Injection
  • 釣魚竊取密碼 Phishing
  • 軟件漏洞 Vulnerability

如果網站受到攻擊,會有可能導致不正常顯示、機密資料被盜,甚至令網站受控再攻擊其他網站。以上種種都會嚴重影響商業運作、商譽及導致客戶損失,故此,公司應時刻注意網站保安,切記網站是公司的重要資產,絕不能掉以輕心。

以下是8個WordPress網站的保安小貼士,不用編寫任何程式都能做到,只要1個小習慣小動作,就可大幅減低網站的保安風險。

 

定期轉換強密碼 並以安全方法儲存

或者你會覺得這個建議很老土很廢,但事實上這是任何保安的最重要一步。密碼不但要夠強(難撞),還要定期更新。強密碼需符合以下條件:

  1. 不含英文詞彙
  2. 混合數字及符號
  3. 8位或以上
  4. 不容易被身邊人猜中
  5. 每項服務用不同的密碼

如果你認為這很困難,可上網搜尋一些密碼產生器,例如Password Generator

安全儲存密碼亦非常重要,不要把密碼貼出來是常識吧。其實網上有很多密碼管理工具(Password manager/Vault),只要記著Vault的密碼,打開後可以管理及儲存各項密碼。

定期更新密碼都是非常重要,單單針對密碼做齊以上3件事,即是強密碼、安全儲存及定期更新,已可減低被撞中的風險。

 

使用雙重驗證登入

另一個WordPress的安全小貼士就是使用雙重驗證(2-factor authentication, 2FA),這是假設黑客很難同時控制使用者的兩部裝置,在一台新電腦登入時,需要以電郵核實。即使密碼被黑客竊取,但由於未能以電郵核實,黑客都不能成功登入系統。WordPress有很多免費2FA Plugin,再配以一個安全儲存且經常轉換的強密碼,Brute Force Attack一類的攻擊方法已很難成功登入系統。

 

不要使用Admin作為用戶名稱

另一個簡單動作是: 不要使用「Admin」作為用戶名稱。因為WordPress在安裝後的首個網站管理員(Administrator)的用戶名稱就是「Admin」,故此網站攻擊者進行Brute Force Attack時都會首先嘗試「Admin」。更改的方法很簡單,就是以「Admin」身份登入後台,加一個新的網站管理員後,將以「Admin」為名的管理員刪除。

 

自動更新軟件

完成登入部份後,就輪到軟件漏洞。與所有如Windows、iOS及Android等系統一樣,WordPress都定期更新,並可啟動自動更新,只要到後台設定即可;WordPress亦有更新提示,只要登入後就會在當眼位置顯示最新的WordPress、Plugin及Theme更新訊息。

 

只使用可靠及經常更新的Plugin及Theme

WordPress的軟件漏洞攻擊(Vulnerability attack)中,大約有7成是針對插件(Plugin, WordPress軟件),餘下才是針對WordPress系統及Theme(主題佈景)。Plugin及Theme是WordPress的重要賣點,所以選擇安裝Plugin及Theme時要留意以下重點:

 

只下載或購買可靠來源的Plugin及Theme

在下載軟件前先查證來源是否可靠,例如WordPress的官方資料庫(Repository)。如需在第三方網站購買,就應只考慮有信譽的軟件開發商,上網搜尋一下,這不會太困難。

 

留意Plugin及Theme使用量及更新頻率

在WordPress.org可下載的Plugin及Theme都會有顯示下載量、評分、最近更新日期及兼容性。只要進入Plugin及Theme的詳細頁面,就能查到詳細更新紀錄及評語。一般而言,如軟件久未更新,就會有潛在保安風險,如軟件有收費版本,下載量、評分等就與開發商收入相關,坦白說,如軟件能帶來收入,開發商才有能力更新軟件,這方面亦可作參考。

定期備份網站

又是常見呼籲,無論保安如何妥善,都仍有可能被黑客入侵,故此定期為網站備份(Backup),並將備份儲存在安全之處,例如Google或Dropbox等,都能大大減少被入侵時的損失。有些網存服務(Web Hosting)亦有自動備份功能,亦可選擇使用免費或付費的備份Plugin。

 

安裝WordPress保安Plugin

WordPress保安Plugin一般有以下功能:

  • 行動紀錄
  • 異樣監察
  • 病毒掃瞄
  • 防止Brute Force Attack

呈上文,最簡單的入侵方法就是嘗試各種密碼,保安軟件能限制登入次數,如用戶嘗試登入數次仍不成功後,就會暫時不容許再試一段時間;亦可將預設登入路徑wp-login.php、wp-admin等改成自設名稱,令攻擊者連在那兒攻擊都毫無頭緒。保安軟件既可掃瞄病毒,又可偵察保安漏洞,當系統已受到惡意程式(Malware)入侵,亦能凍結相關檔案,減低損失。

 

使用高保安度的網存服務

WordPress始終是一套軟件,無論做得多好,但假如伺服器(Server)或硬件不夠安全,網站仍會受到威脅;選擇一間好的網存服務供應商才能做到全方位的保安。Web hosting可做的保安措施包括防火牆(Firewall)、DDoS保護、簡易SSL安裝(即HTTPS)及內容分配網絡(CDN)等。

以上的WordPress網站保安小方法,很多都是一次設定,平日亦要養成良好的密碼處理習慣及保持警覺,就能輕易做到,並不涉及專業知識或編程。請謹記,網站是公司的重要資產,千萬不要因怕麻煩而使用太過簡單的密碼或疏忽處理,以免因小失大。如有需要了解更多網站設計,歡迎聯絡pnetform網頁設計專家 ([email protected])