當經營網站越久,就越擔心網站有一天被駭客入侵,但與其擔心害怕,不如事前預防,你或許會覺得自己的網站無法跟其他大網站相提並論,駭客根本看不上,因此完全沒有去思索安全性設定的問題。
但千萬不要這樣想!
駭客攻擊主要是看機率,對於較中小型的網站基本上比較不會是「針對性」的駭客攻擊(大型知名品牌網站/政府網站比較會是「針對性」的攻擊);換個方式想,任何網站被駭客入侵的機率都大致相同,而它們的作法通常鎖住使用者的電腦或加密檔案,如此來勒索金額。
生活在當今的電腦世代裡,科技的確帶來很多的便利,卻也製造了不少安全性的顧慮。根據防毒軟體McAfee的數據指出,光是2019年第一季駭客就製造超過6千5百萬個惡意軟體。另外,網路安全風險投資公司Cybersecurity Ventures,預計2021年網路犯罪每年造成全球大大小小企業六萬億美元的損失,而且每11秒就有企業淪為勒索軟體的受害者。這個數字聽起來如此驚人,絕對不能小看!
如果你是用WordPress架站,它本身就是一個安全性較高的內容管理系統平台,但這也並不代表WordPress不會被駭。更準確一點來說,由於WordPress是當今最大的架站CMS平台(全世界有約40%的網站都架設於它之上),反而讓WordPress網站也成為駭客挑戰入侵的系統。
但別緊張,正所謂「預防勝於治療」,我們可以透過很多種方式來提升WordPress安全性,來防止網站被駭。以下我將介紹七個簡單卻至關重要的機制,趕緊採用這些方法來保護自己辛苦架設的網站吧!
提升WordPress安全性的方法
1.謹慎選擇登入帳密
說真的,不要再用Admin當登入帳號,然後再用123456當密碼了!根據統計指出,在2020年,第一名常見網路密碼是「123456」,共有2百多萬人使用。第二受歡迎的密碼是「 123456789」,其他受歡迎的密碼有「111111」、「123123」等等。密碼管理器專家NordPass的最新一期報告也公布,駭客不用一秒鐘的時間就能破解這些數字密碼。
最理想的密碼設計應該要混合英文字母大小寫、數字和標點符號,長度盡量在12個字母左右。不要使用生日、年齡、姓名等很容易被猜到的數字或單字。如果你實在想不出來一個好的密碼,也可以藉由自動產生密碼的網站幫忙。
另外,最好也將WordPress的預設管理員登入帳號「admin」從後台刪除,並增加一個自行定義的管理員帳號。如果你同時經營多個網站,最好在每個網站的登入後台都設定不同的帳號和密碼,如此才能防範假設一個網站被駭,導致全部網站都掛點的悲劇。
選擇一個複雜的登入帳密是防範駭客入侵的關鍵第一步驟。
2.定期更新你的WordPress網站、主題和外掛程式
WordPress與其他架站平台最大的不同之處就在於它的開源特性,其平台背後是一大群開發人員付出心血的成果。這群開發人員不斷地在精進WordPress的功能與性能,因此在每個更新版本中都會修復任何程式bug、添加新功能、提高性能表現並同時增強現有功能,甚至修補已發現的安全性漏洞。
WordPress人氣外掛程式Sucuri統計顯示被駭客入侵的網站中有39%都是使用未更新的網站版本。也就是說,如果你沒有更新至最新版本的WordPress,那等於把自己的網站暴露在風險之中,有更高的機率成為駭客攻擊的對象。同樣的道理也適用於主題和外掛程式。
要得知WordPress和外掛程式有沒有新版很簡單,只要登入管理後台就行了。一旦登入之後,儀表板左方欄位的「UPDATES」會有紅點代表已有新版本可供下載;左方欄位「PLUGINS」也會在你已安裝的外掛程式提供更新版本時通知你。
3.在WordPress上安裝能夠提升安全性的相關外掛程式
使用WordPress安全性外掛程式旨在防禦針對WordPress的網路駭客攻擊,提供給使用者的工能通常包括網站掃描、WAF(Web Application Firewall ,中文通常叫作「網站應用程式防火牆」)、Google reCAPTCHA等功能。
幾個最深受WordPress使用者愛戴的程式包括Sucuri、Wordfence、iThemes Security、WPScan Security、All In One WP Security & Firewall。這些外掛有免費基礎版也有付費版,付費版的保護功能當然更加強大,很值得一試。老實說,做網站這件事是長期任務,不要為了省小錢而遭受惡意軟體的勒索,屆時悔不當初來不及了,不如現在就開始好好保護自己的網站!
4.使用SSL安全憑證
SSL的完整名稱為Secure Sockets Layer,它是一個網站安全性的基礎,主要目的是在保護敏感資訊在網路中安全地傳遞。這之於電商網站尤其重要,因為消費者必須在你的網站上輸入信用卡、帳單地址、郵寄聯絡資訊等私人資料,那作為電商經營者的你就有責任要好保護這些資料。一旦安裝SSL後,這些資訊均被加密,並只能由預期的接收者(瀏覽器或服務器)解鎖。
除此之外,所有具備SSL安全憑證的網站其網址皆呈現為HTTPS (Hyper Text Transfer Protocol Secure)。搜尋引擎巨頭Google因致力於網路安全性,在2018年7月的Chrome更新版本就提到往後所有不是HTTPS網址的網站都會被列為「不安全」,並有「Not Secure」的字樣顯示於網址欄。無論你的網站是不是電商或有沒有在蒐集敏感資料,這一點都會令訪客有點反感且不信任。
也是因為這個緣故,Google官方還指出它們會優先排名具備SSL的網站,而現實的是越好的搜尋結果排名就越有流量保證,無論從哪個方面看來,SSL都是網站必備的利器。
5.啟用兩步驟驗證(Two-step Verification)保護你的網站
就像是你為了保護網路銀行、電子郵件所啟動兩步驟驗證一樣,你的網站應該也要啟動此一功能。不管你認為自己設定的複雜密碼有多麼安全,總是有被人發現的風險存在。
兩步驟驗證顧名思義意旨登入這個動作必須經過兩個程序。使用者不僅需要使用帳號密碼登錄,還需要第二種方法,通常是藉由簡訊、電話或一次性密碼(OTP)。在大多數情況下,兩步驟驗證能夠防範有心人士登入你的網站,因為他們很難同時擁有你的手機號碼及密碼;就算有,你也很快就能察覺到有異狀。
WordPress官方推薦的幾個人氣兩步驟驗證外掛程式為:Duo、Google Authenticator、Rublon、Two-Factor、WordFence。
另外也請謹記,不要以為有了兩步驟驗證就能隨便選密碼。最理想的辦法是採用複雜的密碼加上兩步驟驗證,一層一層的為網站加裝防護功能,確保其安全無虞。
6.使用優秀有口碑的網站託管服務商
所有優秀的託管服務商都將在各個方案裡為網站提供安全防護。有了妥善的託管安全性,你不僅可以保護自己的網站,更重要的是還可以同時保護你的消費者、客戶和訪客的私人資料。因此在選擇託管服務商時,記得仔細查看各個方案裡所包括的安全設定(例如防火牆、安全FTP、SSL、惡意軟體檢測和移除等等),也最好理解服務商如何監控服務器網路和應對任何安全漏洞。
若相比所有託管類型的安全性,說真的共享託管的安全性最低(雖然最便宜)。由於它與其他人「共同分享」,駭客很可能藉此機會使用同一服務器上的其他網站來入侵你的網站。
最安全(但也最昂貴)的託管選項是專用服務器。如果你經營一個高流量的人氣網站,或是你的網站上必須處理客人的敏感資料,為了增加品牌的信任度,也許可以考慮投資專用服務器。
7.備份!備份!備份!一定要備份你的網站
雖然說這一點不是防範網站「被駭」的方法之一,但是有了備份,無論遇上什麼困難你的網站還是能屹立不搖!有時候駭客攻擊的嚴重程度會抹掉網站上所有數據,因此必須藉由備份快速地讓網站直接還原被駭之前的網站最新版本。
每個有經驗的網站經營者都知道定期備份網站至關重要,畢竟一個網站是長期累積以來的心血結晶!幾個知名的WordPress備份外掛:UpdraftPlus、BackupBuddy、Jetpack Backups
📖延伸閱讀 : WordPress備份外掛 教你使用UpdraftPlus保護你的資料
結論
以上是七個強化WordPress安全性的方法。說真的,要提升WordPress網站安全性的方法還有其他十幾種,只是其他的方式必須處理編碼等技術面的問題。而以上這些方法都是即便WordPress新手都可以輕鬆完成的防護任務。
看完這篇後,請認真花一點時間修改帳密、更新WP版本、安裝安全性與備份的外掛程式、選擇優秀的託管服務商並啟用兩步驟驗證,如此就能把被駭的機率降到最低。