搜尋 WordPress 安全性，映入眼簾的會(huì)是一堆 X 個(gè)方法提昇 WordPress 網(wǎng)路安全性、WordPress 弱點(diǎn)等結(jié)果，佔(zhàn)據(jù)世界網(wǎng)站 30% 的網(wǎng)站架構(gòu)，究竟是「安全」的，還是「不安全」的這點(diǎn)還是有待爭論。

即便從 WordPress.com 中也不難找到官方推薦指南中，對(duì)於安全性的建議要點(diǎn)，大致上可以分為幾個(gè)方向：

1. 從網(wǎng)站架構(gòu)、備份著手
2. 密碼與兩階段驗(yàn)證
3. 密碼的選用原則

密碼與資安意識(shí)的重要性在網(wǎng)站中更須注重

上述要點(diǎn)〈2〉密碼與兩階段驗(yàn)證、〈3〉密碼的選用原則，其實(shí)很容易做到，簡單來說記得密碼在設(shè)定時(shí)，要使用高強(qiáng)度密碼（或以工具輔助產(chǎn)生複雜密碼），幫網(wǎng)站建立兩階段驗(yàn)證機(jī)制（尤其是 admin 權(quán)限之使用者），使用完畢記得登出（尤其電腦不是隨身攜帶時(shí)）。

確切落實(shí)以上步驟，某種程度上就可以杜絕取得最高使用者權(quán)限後的侵?jǐn)_，當(dāng)你的管理者權(quán)限流落在外時(shí)，外部駭客可以任意更改網(wǎng)站中所有資訊、資料庫、程式，最終即便要修復(fù)、復(fù)元，處理起來難度也大幅提高。故除上述密碼使用原則外，不明連結(jié)、不明信件之附件等等都需要特別注意。

上面的項(xiàng)目都完成了，然後呢？

複習(xí)一下管控 WordPress 資安風(fēng)險(xiǎn)，一般 User 可以做到的事情：

1. 升級(jí)核心，但不一定要最即時(shí)
2. 外掛的慎選以及升級(jí)
3. 安全防護(hù)外掛及其設(shè)定
4. 帳號(hào)密碼意識(shí)與管控
5. 資安意識(shí)：釣魚信件、連結(jié)、防毒軟體、電腦帳號(hào)安全

進(jìn)階問題交給專業(yè)程式/服務(wù)商，讓網(wǎng)站有強(qiáng)力後盾

根據(jù)專業(yè)防護(hù)公司 Sucuri 報(bào)告指出，超過一半的 CMS （內(nèi)容管理後臺(tái)），沒有將系統(tǒng)升級(jí)至最新版，其中舊版本潛在的安全性漏洞，就是駭客著手的目標(biāo)。

每次更新核心、更新外掛總是忐忑不安？或是不確定更新的時(shí)機(jī)、備份應(yīng)如何進(jìn)行嗎？CTK Pro 也維護(hù)多個(gè)客戶的網(wǎng)站，包含電商網(wǎng)站的為運(yùn)、更新，除了低風(fēng)險(xiǎn)的更新外，我們也會(huì)協(xié)助將更新後的問題修正。當(dāng)有相衝或更新 bug 時(shí)，若僅需幾行 code 可以解決的問題，我們會(huì)盡量協(xié)助客戶的外掛版本更新到最新。

除此之外 CTK 還會(huì)在主機(jī)端幫客戶多上一層保險(xiǎn)，例如用上 WAF、Sucuri 等主機(jī)層級(jí)的安全防護(hù)，雖然在費(fèi)用上可能會(huì)多一些，但防護(hù)的效力絕對(duì)不是等到 Hack 進(jìn)到主機(jī)後才能保護(hù)的外掛能夠比擬。有網(wǎng)站安全相關(guān)需求，歡迎聯(lián)絡(luò)我們。

下面列出部分我們協(xié)助客戶執(zhí)行的項(xiàng)目，希望能夠幫助到所有使用 WordPress 架站的 user：

• 調(diào)整使用者權(quán)限、關(guān)閉部分user的編輯權(quán)限
• 表單類別增加 reCaptcha
• 關(guān)閉自動(dòng)更新（避免更新後的網(wǎng)站功能失效，由 CTK Pro 協(xié)助測(cè)試後手動(dòng)更新）
• 密碼建議與管理建議
• 將部分機(jī)敏檔案調(diào)換位置
• 確認(rèn)資料夾、檔案權(quán)限
• 若不需要留言或相關(guān)欄位，關(guān)閉之
• 從主機(jī)端有快照之備份＋第三方備份
• 關(guān)閉 XML-PRC
• 弱點(diǎn)掃描及相關(guān)修正