MO STORIES
WordPress 安全維護教學:7 個步驟打造不被駭的網站(2026)
WordPress 是駭客最常攻擊的 CMS,但做好 7 個基本步驟就能擋掉 95% 的風險。這篇教你從更新、密碼、防火牆到備份,一步步強化網站安全。
結論先講:95% 的 WordPress 被駭,都是因為這 3 件事
① 外掛或主題沒更新。② 密碼太弱。③ 用了來路不明的外掛。
WordPress 本身的安全性沒問題。出事的幾乎都是「管理者習慣」。做好以下 7 個步驟,你的網站安全性就能超過 90% 的 WordPress 站。
WordPress 的安全現狀
WordPress 佔全球 43% 的網站,這讓它成為駭客最常攻擊的 CMS。攻擊量大,但防禦資源也多——官方和社群會持續修補漏洞,安全外掛的選擇也很豐富。
常見的攻擊方式:
| 攻擊類型 | 原理 | 影響 |
|---|---|---|
| 暴力破解(Brute Force) | 不斷嘗試帳密組合 | 帳號被盜 |
| SQL 注入 | 透過表單注入惡意程式碼 | 資料庫被竊取 |
| 跨站腳本(XSS) | 在頁面注入惡意 JavaScript | 使用者資料外洩 |
| 後門植入 | 透過舊版外掛漏洞進入 | 網站被完全控制 |
7 個步驟強化 WordPress 安全
Step 1:保持核心、外掛和主題的更新
這是最重要的一步。WordPress 的安全更新通常是在修補已知漏洞,不更新等於把門打開讓人進來。
執行方式:
| 項目 | 更新頻率 | 操作路徑 |
|---|---|---|
| WordPress 核心 | 有更新就裝 | 儀表板 → 更新 |
| 外掛 | 每週檢查一次 | 外掛 → 已安裝的外掛 |
| 主題 | 每月檢查一次 | 外觀 → 佈景主題 |
建議開啟「自動更新」,至少讓小版本(安全修補)自動裝。
Step 2:使用強密碼 + 雙重驗證(2FA)
弱密碼是暴力破解的主要目標。密碼至少 12 位,混合大小寫、數字、符號。
2FA 推薦外掛:
- WP 2FA
- Google Authenticator
啟用 2FA 後,就算密碼被猜到,沒有手機驗證碼也進不了後台。
Step 3:隱藏登入頁面
WordPress 預設登入網址是 /wp-admin 或 /wp-login.php,全世界都知道。改掉它可以擋掉大量自動化攻擊。
推薦外掛:WPS Hide Login。安裝後把登入路徑改成只有你知道的網址。
Step 4:限制登入嘗試次數
預設的 WordPress 不限制密碼錯誤次數,暴力破解可以一直試。設定限制後,錯誤超過次數就鎖定 IP。
推薦外掛:Limit Login Attempts Reloaded。建議設定:錯誤 3 次鎖定 30 分鐘。
Step 5:安裝防火牆和安全外掛
安全外掛可以主動掃描惡意程式、阻擋可疑流量、監控檔案變動。
| 外掛 | 免費版夠用嗎 | 特色 |
|---|---|---|
| Wordfence | 夠用 | 防火牆 + 掃描 + 即時流量監控 |
| Sucuri | 夠用 | 外部防火牆 + CDN + 清除惡意程式 |
| Solid Security(原 iThemes Security) | 夠用 | 多合一安全設定 |
新手選 Wordfence 免費版就足夠。
Step 6:啟用 HTTPS(SSL 憑證)
HTTPS 加密使用者和伺服器之間的傳輸資料。沒有 HTTPS,帳密和表單資料可能被攔截。
2026 年多數主機商都免費提供 SSL 憑證(Let's Encrypt)。確認你的網站網址開頭是 https:// 就對了。Google 也明確表示 HTTPS 是排名因素之一。
Step 7:定期備份網站
做了再多防護,都要有最後一道保險。定期備份確保出事時能快速復原。
| 備份方式 | 推薦工具 | 備份頻率建議 |
|---|---|---|
| 外掛備份 | UpdraftPlus(免費版) | 每週自動 |
| 主機商備份 | Cloudways 內建 | 每天自動 |
| 手動備份 | 透過 cPanel 或 phpMyAdmin | 大更新前 |
重點:備份要存在「網站以外的地方」(雲端硬碟、本地電腦)。如果只存在主機上,主機被駭,備份也沒了。
進階安全措施
做完 7 個基本步驟後,可以再強化:
| 措施 | 說明 | 難度 |
|---|---|---|
| 使用 CDN | Cloudflare 免費版可擋 DDoS 和惡意流量 | 低 |
| 禁用 XML-RPC | 關掉不需要的遠端呼叫介面,減少攻擊面 | 低 |
| 修改資料庫前綴 | 預設 wp_ 改成自訂值,防 SQL 注入 | 中 |
| 設定檔案權限 | wp-config.php 設為 400 或 440 | 中 |
| 關閉檔案編輯器 | 在 wp-config.php 加一行禁用後台編輯 | 低 |
安全維護檢查清單
每月花 15 分鐘跑一遍:
- WordPress 核心、外掛、主題都是最新版
- 沒有用到的外掛和主題已經刪除
- 備份正常運作(測試還原過)
- 安全外掛掃描沒有異常
- 所有管理員帳號都有強密碼 + 2FA
延伸閱讀
| 你接下來要做的事 | 對應教學 |
|---|---|
| 搞懂 WordPress 基礎 | WordPress 是什麼?新手入門完整介紹 |
| 確認手機版正常 | WordPress 手機跑版怎麼辦? |
| 從零架站 | WordPress 網站架設教學 |
| 選對主題 | WordPress 主題怎麼選? |
常見問題 FAQ
Q1:WordPress 安全嗎?為什麼一直聽到被駭?
WordPress 本身安全性沒問題。被駭的原因幾乎都是管理者疏忽:外掛沒更新、密碼太弱、用了來路不明的主題。做好基本防護就能擋掉絕大多數攻擊。
Q2:安全外掛裝越多越安全嗎?
不是。裝太多安全外掛反而會互相衝突、拖慢速度。選一個主要的(例如 Wordfence)就夠了。
Q3:網站被駭了怎麼辦?
① 立刻改所有管理員密碼。② 用安全外掛掃描並清除惡意程式。③ 從乾淨的備份還原。④ 更新所有外掛和主題。如果情況嚴重,找專業的 WordPress 安全服務協助。
Q4:免費的安全外掛夠用嗎?
對個人站和小型企業站來說,Wordfence 免費版已經足夠。付費版多了即時 IP 黑名單和進階掃描,流量大的網站可以考慮升級。
想一次把網站安全和 SEO 做好?可以看 WordPress SEO 診斷與修復顧問服務,或訂閱《用減法瘦生活》電子報,每週收到 WordPress 維護和經營的實用心法。
看完教學覺得 WordPress 還是太麻煩?
瘦桑與 茉設計 同步提供專業的網站升級服務:
前 5 名諮詢客戶享免費效能報告
延伸閱讀
WooCommerce API 教學:REST API Key 申請、Postman 測試與商品上架範例
WooCommerce API 怎麼用?這篇整理 REST API Key 申請路徑、Consumer Key / Consumer Secret 權限、Postman GET / POST 測試、新增商品 JSON 範例,以及 401、403、404、Permalink、SSL 常見錯誤排查。
WooCommerce 搬到 Zeabur 前要注意什麼?資料庫、金流、Email 與回滾清單
WooCommerce 搬到 Zeabur 不能只同步資料夾。這篇整理 staging、資料庫、wp-content、會員、訂單、金流 callback、Email、DNS 與回滾清單。
WordPress on Zeabur 為什麼不要亂開頁面快取?Breeze 跳版案例解析
WordPress 部署到 Zeabur 後,如果啟用 Breeze 頁面快取,可能遇到 Elementor CSS 舊版快取、部署後跳版、advanced-cache.php 殘留等問題。這篇用實戰案例拆解原因、架構分工與安全設定方式。
訂閱 MO Stories
獲得最新的網頁設計趨勢、Headless CMS 技術洞察與數位變現策略。