曾經歷經過網站被駭客盜取,網頁內容都被竄改的窘境,真的花了很大的工夫才把網站架設回來....。剛開始架 WordPress 網站時,忽略了網站安全這塊,埋頭於把網頁設計得精美一點,結果被駭客教訓了一頓QQ,資安工具還是記得要用啊! 因為不放心 WordPress 安全外掛,所以我還是有額外購買資安工具,整體應該是很夠防禦的推薦了,以下就來介紹我有使用的 WordPress 安全工具吧。
駭客常以暴力破解、漏洞、木馬等來取得攻擊流量,而 WordPress 為開源的內容管理系統/網站製作平台,我們無法確保 WordPress 的開源應用程式的每個開發者都有落實資安防護,網站安裝的外掛或佈景主題等是否有安全漏洞我們皆無法確定。2022 年 WordPress 架站已經佔全球超過 40%,但 WordPress 外掛與佈景主題等資安漏洞也呈上升趨勢,依據 Patchstack 數據指出 2021 年 WordPress 外掛程式及主題的漏洞更已增加到 99.42%! WordPress 的開源環境與高使用率的特點何嘗不是最受駭客攻擊的目標。
WPS Hide Login 可以隱藏 WordPress 後台登入網址(更改登入網址),WordPress 的使用者應該都知道 WordPress 預設的網站登入網址為 http(s)://您的網域/wp-login.php 或 /wp-admin.php,若不隱藏後台登入網址那豈不是讓駭客只要透過機器人試帳密就可以輕鬆進入你的網站,並進行網站竄改與竊取資料。安裝 WPS Hide Login 主要目的就是不讓駭客輕易找到網站後台登入頁面。
WordPress 網站容易遭駭客暴力破解,常常收到被嘗試登入的通知,而使用 Limit Login Attempts 可限制 WordPress 後台登入次數、設定 IP 封鎖時間、黑白名單等,若有駭客嘗試登入失敗 Limit Login Attempts 就會立刻透過 Email 告知網站管理員,並在 WordPress 後台紀錄嘗試登入失敗的資訊。利用 Limit Login Attempts 外掛別給有心人士不斷嘗試登入或駭客透過機器人破解帳密的機會!
WAF (Website Application Firewall) 主要作用是保護網站應用程式、API 等,可防護 DDoS 攻擊、SQL 注入與其它網路攻擊,WAF 透過監控與過濾 HTTP/HTTPS 流量,並阻擋可疑、惡意流量進入網站。新型的 WAF 可透過邏輯引擎與機器學習比對惡意程式與病毒等,精準的辨識未知威脅或新網路攻擊模式,相較於傳統防火牆 (Firewall),WAF 辨識的範圍可至 OSI 模型第 7 層應用層,抵禦更高階的駭客攻擊,切記傳統防火牆是不能代替 WAF 功能的。
開頭的數據報告可知 WordPress 安全漏洞有上升趨勢,因此偶爾會讓我的 WordPress 網站進行弱點掃描,當然能定期做弱掃還是比較好。弱點掃描可以檢測網站是否存在資安漏洞,並提供檢測報告與漏洞修繕建議,達到提早發現網站弱點並即時修補的目地,避免惡意程式或病毒從網站漏洞入侵。
駭客常利用瀏覽器或網頁漏洞植入木馬或惡意程式,當瀏覽者進入有惡意程式的頁面時,這些惡意程式就會悄悄地入侵瀏覽者的電腦中竊取資料! 使用網頁掛馬掃描是為了每日自動偵測網站是否有被植入惡意程式,如果有惡意程式與病毒就會收到通知,它還會立即進行相關防護,防禦網站數據漏洞或是遭惡意軟體、病毒威脅。網頁掛馬掃描認證會在網路上顯示入侵掃描認證標章,還能提升網站信譽!