這是一篇完整的「 WordFence Security 教學 」。
定期備份 網站是重要的,這是防範網站有什麼意外的最後一個盾牌,因為網站出問題隨時都能還原。
如果你搭配的 WordPress 主機,有幫忙做定期備份那更好,這表示你買了雙重保險。
當確認有完整備份,接著站長們可能會需要一個 WordPress 安全性外掛(因為沒人想網站動不動就出問題吧 ..),確保你的網站能抵檔外來的攻擊。
像是暴力登錄、惡意流量攻擊、惡意軟體漏洞等 ..,這些都是常見的攻擊手法,稍微一不注意可能就會讓站長多年的心寫,都功虧一潰 ..。
這也是為什麼我會寫這篇文章的原因,WordFence 是熱門的 WordPress 資安外掛(下面有更詳細介紹),它有提供免費版可使用,且免費版功能就很完整,非常適合站長們使用。
好囉,這篇文章我會帶大家從 WordFence 外掛安裝,到相關設定的調整,都會盡量的與你分享,目錄如下:
- 1. WordFence 是什麼?
- 2. 安裝 WordFence 外掛
- 3. 配置網站防火牆(Firewall)
- 4. 網站漏洞掃描(Scan)
- 5. 即時流量監測(Tools > Live Traffic)
- 6. 兩階段身份認證(Two-Factor Authentication)
- 7. reCAPTCHA 驗證設定
- 8. 配置設定(All Options)
- 9. 還有什麼需注意的?
- 常見問題
- WordPress 學習資源
那我們就開始學習囉:)
1. WordFence 是什麼?
WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,幫助站長抵擋外來的惡意攻擊。更多完整 WordFence 資安教學。
網站防火牆(Web Application Firewall,簡稱 WAF)
WordFence 的網站防火牆是它的強項之一,這跟一般單純只提醒資安相關問題的外掛不同,因為能把網站防火牆完整處理好,並能防範最新攻擊,是需要強大的資安技術。
它們團隊花了大把時間在防火牆的更新維護上(看 WordFence 外掛內,有超多的防火牆規則就知道 ..),確保能幫 WordPress 站長,抵擋最新的惡意攻擊&惡意流量。
而 WordFence 採用的是端點防火牆,等於說它在你的網站統一把關,確保不會有任何駭客繞過防護,杜絕所有的漏洞。
惡意軟體掃描(網站漏洞掃描)
WordFence 提供全站掃描機制,能幫你找出可能潛在資安漏洞,不論是網站上現有的主題或網站外掛(惡意軟體掃描)。
或是站長可能過去有安裝一些主題或外掛,但是已經刪除不用了,但舊檔案還是存留在網站中,這些都可能成為潛在的風險。
WordFence 會幫你進行全盤的檢查(可自行選擇掃描程度,有點類似防毒軟體),對有問題的檔案進行警告,並提供相關處理的方法。
如果 WordPress 核心程式(就是直接從 WordPress.org 下載的那包檔案)有被進行變更,WordFence 同樣也會提醒你注意。
還有訪客相關的留言、評論等,是否有可疑的留言或連結,也會同步警告。
後台登錄防護
WordFence 有提供兩階段的身份認證(2FA),站長可用像是 Google Authenticator 進行第二步驟認證,強化網站安全性。
登錄頁面也提供 Google reCAPTCHA 整合,能幫助站長阻止殭屍程序登錄。
WordFence 也對試圖暴力登錄進行 IP 封鎖,還有站長可設定嘗試登入幾次失敗,則進行動作封鎖,讓有意人士無法操作。
至於改變 WordPress 登入路徑,也是簡單實用的安全性提升方法,更多 WPS Hide Login 教學。
多種資安控管功能
- 即時流量監控:這是 WordFence 用來幫你統計網站上目前的流量狀況,像是用戶登錄、惡意訪問來源、被封鎖的使用者等 ..,讓你進一步了解目前網站狀況。
- 用戶 IP 封鎖器:設定想阻擋的惡意 IP,讓他無法再訪問你的網站。
- 還有多種設定:完整的資安功能設定,站長可依照需求調整。
如果你有預算考量,WordFence 會是你的最佳選擇,因為它的免費版就十分強大。
特色評論
WordFence 擁有端點網站防火牆、網站弱點掃描+處理、即時流量監測 ..。
免費版就很強大,但進階版提供更即時的 IP 黑名單更新、即時防火牆規則、即時惡意軟體簽名,進階版費用可至 官方網站 查詢。
2. 安裝 WordFence 外掛
這章節開始安裝 WordFence 外掛。
前往 WordPress 外掛 > 安裝外掛,搜尋 WordFence 關鍵字,然後安裝+啟用。
填入你的信箱,這個信箱請務必留你會使用的,因為如果有網站上的資安通知,WordFence 會發信件通知你。
可選擇是否收到 WordFence 寄過來的 WordPress 相關資安通知,如果選擇 YES 請記得到 Email 打開信件,點擊裡面的連結激活。
勾選服務條款,完成後下一步。
這是填入 WordFence 進階版憑證的地方,如果你有購買可在這輸入,如果沒有的話點 No Thanks。
接著,如果 WordFence 會自動導向到 Dashboard 儀表板,就會看到非常多資安功能出現了:)
如果沒有自動導向的話,就點擊前往 WordFence > Dashboard,也會前往儀表板唷。
3. 配置網站防火牆(Firewall)
WordFence 安裝完成,首要做的是就是配置網站防火牆(這也是 WordFence 最重要的功能)。
我們也會看到 Dashboard 也有提示,點擊 Click Here To Configure 前往設定。
備註:另一個提示是詢問,是否開啟 WordFence 外掛的自動更新功能,兩個選擇都可以,依照你的需求即可。
接著,會前往防火牆的配置項(或是前往 WordFence > Firewall),這裡可選擇需配置的伺服器,但 WordFence 預設會幫你偵測最適合的類型,沒特別需求就用預設即可。
網站防火牆開始正式配置前,WordFence 會要求你下載 .htaccess 檔案(因為開始配置後會改寫裡面的內容),那因為我的主機類型還有一份檔案需下載,如果你的沒有就不用理會。
總之都下載起來備份,然後點下一步繼續。
這樣網站防火牆(Web Application Firewall)就配置成功啦,是不是很簡單呢。
接下來,我們來了解一下防火牆介面部分,預設的模式是用 Learning Mode(學習模式),這是因為 WordFence 正在學習你網站的操作模式,並會針對你的操作,做出最適合的防火牆配置。
WordFence 預設學習時間是一週,時間到後會自動切換成 Enabled and Protecting(啟用和保護模式),並開始在你的網站正式運作防火牆。
但如果你的網站已經遭遇到惡意攻擊,才安裝 WordFence 打算進行掃毒除錯,這時就可直接切換成 Enabled and Protecting 應對(就不需要等學習時間了),免得使用掃毒功能除錯完,之後還是遭受到一樣的攻擊。
一開始都先建議讓 WordFence 使用學習模式,除非有特殊狀況再直接運作防火牆。
好囉,以上就是防火牆設定相關教學。
4. 網站漏洞掃描(Scan)
前往 WordFence > Scan,這裡面是有關「 網站漏洞掃描 」的功能,WordFence 會幫你做全站式的檢查。
像是網站主題 / 外掛是否存在惡意軟體、檔案是否存在惡意程式碼、訪客留言是否存在危險連結等 ..。
執行網站掃描&資安修復
點擊 Start New Scan,就能開始網站掃描。
網站掃描完成後,如果沒問題就恭喜你啦,就不需要做額外修復。
但如果你出現相關調整提示,就可依照 WordFence 的建議進行資安調整,像是我這個網站,就是有網站外掛&主題還沒升級為最新版,所以 WordFence 提示我升級(下圖)。
備註:如果 WordFence 提示的項目,你已經確認過沒問題且不需修改,可點上圖的 Make as Fixed 按鈕,就會放入到已處裡。
有時後會出現紅色警告(危險級別比較高),可能是網站有不知名的檔案 or 惡意程式碼,WordFence 就會提示你將檔案刪除。
如果是這種狀況,就建議直接照 WordFence 的建議處理掉。
依照需求調整掃描等級
WordFence 有提供掃描等級的修改,點擊 Manage Scan。
預設會是 Standard Scan(標準掃描),可往上或下向調整。
用 High Sensitivity(高靈敏度掃描)為舉例,掃描執行中的主機消耗資源會變多,但掃描會更全面。
這邊順邊分享一個小概念,因為 WordFence 是在你的網站上運作的(非屬於雲管理),所以任何的執行掃描都會佔用主機資源。
除非你遇到重大資安問題,否則會建議用 Standard Scan (標準掃描)就可以了,特別是共享主機,因為共享主機本身的主機資源就有限。參考 主機類型差別。
5. 即時流量監測(Tools > Live Traffic)
前往 WordFence > Tools > Live Traffic,裡面最重要功能應該就是 Live Traffic(即時流量監測),會幫你列出用戶登錄數據、被防火牆阻止的請求、訪客 IP 位置等 ..。
WordFence 預設的流量紀錄模式是 Security Only,就是只會紀錄與安全性相關的流量,其他的數據不會紀錄。
Security Only 會是比較推薦的方式(也是 WordFence 預設值),也是最有效率的模式。
All Traffic 則是會紀錄大部分的數據,這會很耗費主機資源,除非特殊情況不然不建議使用。
當有任何的流量數據紀錄,WordFence 就會列出給你參考。
6. 兩階段身份認證(Two-Factor Authentication)
前往 WordFence > Login Security,WordFence 有提供兩階段驗證功能(Two-Factor Authentication)。
簡單來說就是除了一般的帳密輸入,還必須透過第三方給的臨時碼,才有辦法登入到 WordPress 網站。
兩階段身份認證設定
這裡我推薦使用 Google Authenticator 這款 APP,蘋果 or Android 系統都可下載,下面有設定步驟。
Step1:首先,用這款 APP 掃描 QR Code 做驗證。
Step2:下載還原密碼,這是如果你不小心遺失手機了,可以用這 5 組密碼中其中一組做登錄,每組只能使用一次(請把密碼保存在安全地方)。
Step3:然後輸入 APP 提供的臨時碼(有時間限制,會跳動)。
Step4:點擊啟用。
參考上面流程就可把兩階段身份驗證(2FA),給設定完成囉。
當你在 WordPress 後台登入輸入帳密後,就會顯示這個畫面,你就需打開你下載的 Google Authenticator,並輸入裡面的密碼,才有辦法登入 WordPress 唷!
相關設定調整
切換到 Login Security > Settings,可對 2FA 的控制權限做調整,依照自己的需求就可以了。
如果你常在固定地方作業,覺得每次都需雙重認證很麻煩,就可把地點 IP 放入到白名單,之後在固定地點,就不會要求你輸入了。
設定完成後,記得點 Save 儲存。
7. reCAPTCHA 驗證設定
WordFence 和 reCAPTCHA 有良好的整合,激活此功能後,在 WordPress 後台登入&註冊頁面,就會出現 Google 資安防護功能。
小教學:
reCAPTCHA 是 Google 提供用來分辨登入者是否真實為人類。
目前 reCAPTCHA v3 版本,採用分數制驗證系統,對使用者在網站上的動作進行評分,若分數過低則會被判定為機器人。
接續上一章的流程,同樣在 WordFence > Login Security(登入安全性) > Settings(設定),會看到 reCAPTCHA 相關功能。
首先,把 reCAPTCHA 功能打開,然後前往 Google 申請 reCAPTCHA 憑證(下圖第 3 步驟,等憑證申請完後,再回來這裡貼上即可)。
進入後選 v3 Admin Console(不是 Get Started 唷,不然會走到付費流程)。
輸入標籤(可輸入網站網域,方便辨認用),選擇 reCAPTCHA v3,還有網站網域&電子信箱等 ..,完成後送出即可。
接著,就會產生 reCAPTCHA 的網站金鑰&密碼啦!
只要分別貼到 WordFence 的 reCAPTCHA 相關欄位(上面有提到)並進行儲存,就順利激活成功囉。
至於完成品大概就是長這樣,就能幫助你在表單提交時,嚴謹性變得更高了(防範機器人)!
8. 配置設定(All Options)
前往 WordFence > All Options,有多項配置可讓站長自行調整,但基本上我會建議都先用預設值即可,除非你很確定用法。
這邊跟大家分享,一些我自己有做的小調整,你可以參考並依照自己需求設定。
Email Alert Preferences 信件通知設定
基本上都用預設,只有調整了人員從新設備 or 新位置登錄到後台,我才會收到通知(不然每次有人登錄,都會收到信件會有點 xxx,特別是網站有多位操作者的狀況)。
還有更改了掃描通知級別,改為 Medium 中間等級才會收到信件(預設是 Low 低等級)。
暴力破解防護設定(Brute Force Protection)
WordFence 預設嘗試登錄次數好像設滿高的,這邊我自己是調為 5 次。
基本掃描類型選項(Basic Scan Type Options)
這剛上面有提到過,WordFence 預設是用 Standard 標準掃描,你也可進行調整,設定完成後就會變為默認值。
好囉!如果設定都調整完畢,記得要儲存才會生效唷。
9. 還有什麼需注意的?
WordFence 是一款非常棒的 WordPress 資安軟體,但需注意 WordFence 是在自己的主機上進行運作,所以使用的都是自己主機的資源(這也是唯一的小缺點)。
所以如果你的主機資源不夠,或是有受到管轄(特別是共享主機),在即時流量監測(Live Traffic),記得用比較不耗費資源的方式運作(這上面都有提到),或是進行掃描時避免在訪客眾多時候操作。
確保網站不會因為使用資源過大,而造成速度變慢,或是被主機商警告的問題。
當然,不論是 佈景主題 或 網站外掛,都需審慎挑選,盡量找知名的進行安裝,免得產生了安全漏洞。
好囉,以上就是有關於 WordFence 相關的教學,記得 定期備份 是最重要的,別忘記了唷!
常見問題
WordFence 是什麼呢?
WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,能幫助站長抵擋外來的惡意攻擊。
它提供多種防護功能,像是網站防火牆、網站掃描、即時流量監測、兩階段身份認證等 ..,完整的資安功能。
一個網站適合安裝多個資安外掛嗎?
基本上會建議安裝一種即可(除非能互補,但還是建議安裝一種就好)。
原因是,不同資安外掛可能會有衝突問題,而且外掛多對網站也是負擔,其實都是沒必要的。
WordFence 的優勢在哪裡?
WordFence 最強大的地方在於網站防火牆&網站漏洞掃描,這是其他資安軟體比較沒辦法複製的技術。
因為技術門檻高,這跟只是單純提供資安建議的外掛是不同等級的。
除了 WordFence 還有其他推薦的同等級資安外掛嗎?
當然是有的,畢竟網站資安是個重要的課題。最常被拿來討論的(同等級的),就是 Sucuri。
他們都是非常棒的外掛,在網站防火牆&網站漏洞掃描,都有強大的技術能力!
WordPress 學習資源
學習 WordPress 網站架設流程中,或許會遇到一些解決不了問題,可以在下方留言給我,我會盡力協助解答!
接下來,額外分享 3 項架站資源,可有效幫助大家處理網站問題。
資源一:犬哥數位(專業 WordPress 網頁設計公司)
如果你沒時間自己架站、或是遇到解決不了的網站問題。歡迎洽詢 犬哥數位(WordPress 網頁設計公司),請專家製作會更有效率!
資源二:WP 精選模組攻略書
由於 WordPress 主題 / 外掛有非常多種,很多網友私訊我不知道安裝哪一款,才有辦法實現功能。或是已經試了很多款外掛,但始終找不到適合自己的。
對此我整理了 高達 100 多款精選主題&外掛大全(電子書),這些都是我們團隊協助客戶開發案件時,會搭配使用的。一來外掛品質優良,二來功能性也足夠強!
資源三:官方教學資源(含 FB 社群解答)
如果你偏愛自架網站,也歡迎持續關注 犬哥網站 Blog,我們都持續有發布新的網站架設、網路行銷教學。
或是你比較喜歡看影片學習,也可關注 YouTube 頻道,幫助你更容易進入狀況。
當然,如果你在操作過程中遇到問題,也可以加入 WordPress 架站 x SEO 教學時光屋 – 犬哥網站 ,除了有網友一同幫你解惑外,犬哥團隊也會同步在社團幫助大家。
你好 請問有使用cloudflare 還需要安裝wordfence這個插件嗎?
哈囉,冰:
CloudFlare 本身就有維護資安的功能,如果你想要再額外安裝 WordFence 來使用也是可以的。
不過可能會遇到透過 CloudFlare 加速的 IP 被 WordFence 鎖住的問題。
如果遇到,你可以參考 這篇文章 看看
希望我的回答有幫助到你:)
您好,
很感謝您提供超級有用的資訊,按照您提供的步驟,讓我的網站安全性大大提升!
不過有件事情想請教,Google Authenticator部分我設定完後,當下有重試登入,輸入當時的跳動驗證碼,有成功進去後台。
但是,今天再次登入的時候,卻失敗了,我有嘗試使用無痕也無解,甚至搬上recovery code也都是顯示:「錯誤: 請正確解決驗證問題。」也有去查wordfence的相關資料如下,仍依舊無解:https://www.wordfence.com/help/tools/two-factor-authentication/#how-to-use-recovery-codes
有透過主機商(cloudways)詢問此事,對方也表示無解,只能恢復上一個未安裝wordfence的版本了QQ
不知道小犬在這個地方有什麼建議嗎?
嗨,Ching,
有的時候外掛更新會造成一些衝突,這可能是很多原因造成,所以降版本才解決了更新的問題。
也很開心你能順利解決,如果你希望 WordFence 可以做得更好,建議你可以將你遇到的情況透過 支援論壇 告訴他們,
讓他們可以在新版本排除類似的錯誤:)
嗨犬哥,
後來我還是不死心去找其他解決方案,後來找到這篇文章:https://wordpress.org/support/topic/2fa-wont-recognize-authenticator-codes-or-recovery-codes/
然後拿這篇文章,請cloudways客服幫忙,進到後台把外掛停掉,就可以登入進去了!
後來發現有可能是Advanced noCaptcha & invisible Captcha這個外掛起衝突了(我是透過此篇文章得知的https://fellmarlin.com/wordfence-security-locked/)
目前看來運作還好,如果有後續更新會在這裡分享XDD
謝謝犬哥!
恭喜你順利解決,也謝謝你的分享,
後續有任何架站心得,都可以持續留言分享唷,
能一起幫助到使用 WordPress 架站的愛好者~
犬哥你好,
如果網站目前已經遭受到攻擊,經過掃描發現sever status 也出現驚嘆號黃色標誌,
是否建議升級付費透過wordfence 處理?我有試圖聯絡主機商bluehost,
它們一直推薦我直接使用site lock 最高階的版本,兩者價格有頗多差距,
想了解對於資金有限的新手該如何選擇,謝謝!
嗨,HC,
根據一些使用經驗,我會推薦你使用 WordFence 的付費版本,
價格上來說,WordFence 長期續購下來會更划算,付費提供的功能方面,價格也較 Sitelock 便宜,
舉例來說,雖然如果被惡意攻擊,WordFence 無法幫你還原站點,但 Sitelock 需要花費至少 200 美元清理站點,
因此在受到惡意攻擊之後,有無保有原本的網站檔案,以便隨時還原,會比使用 Sitelock 的清理功能,來得實際也節省許多,所以隨時備份網站檔案很重要,
有需要可以參考: WordPress 備份網站外掛推薦清單 ,來挑選適合你的備份外掛。
而且 WordFence 已是老字號的 WordPress 安全性外掛,安全防護+防火牆功能是非常強大的,
因此兩者相比較下來,我會更推薦你使用 WordFence 進階版:)
謝謝你的回答!之前已經透過你的另一份教學使用備份外掛了,重新架站的這段時間,非常感謝你提供詳盡的教學!:)
不客氣唷!也建議你在購買之前多比較兩者差異,再決定哪一款方案較適合你,祝架站順利!:)
您好,不知道為什麼突然每次登入,都會需要使用2FA密碼。於是很快的,先前下載的密碼一下子就都使用過了,也不見有寄送新的密碼,導致現再往頁進不去。請問該怎麼呢?哪裡可以找到新密碼QAQ
嗨,Alice,
一開始在設置 2FA 密碼時,可以將你的 IP 加入白名單,或是勾選登入身份才需啟用該功能,這部分在文章中有提到唷,
如果已經沒辦法登入,那有兩個方法,可以先繞過 2FA 認證,你可以試試看:
1. 若有將網站添加到 Wordfence Central:
登錄 Wordfence.com > Configuration 選項 > 點擊網站的齒輪 > 向下找到「 Login Security Options section 」區塊
接著在「 Whitelisted IP addresses that bypass 2FA 」部分中,加入你的電腦所在的 IP 位置。
儲存後再次嘗試登入你的網站試試看。
2. 未將網站添加到 Wordfence Central:
使用 FTP/SFTP,如果主機商有提供 cPanel,直接登入即可,然後在網站檔案夾中,在「 /wp-content/plugins/ 」資料夾中,找到「 wordfence 」,並重新命名為「 wordfence.bak 」,
重新登入網站成功後,再將名字改回「 wordfence 」即可。
接著就可以將自己的 IP 加入 WordFence 的白名單中囉,也許你需要重新設置 2FA,以便你重新取得遺失碼:)
犬哥你好,
想請問若已經安裝WordFence Security
(你上文有提到此外掛可以防止惡意留言)
是否還需要安裝Akismet Anti-Spam這款外掛呢?
謝謝!
嗨,noco,
建議安裝 WordFence 後,還是可以安裝 Akismet Anti-Spam 外掛,幫助網站先一步刷掉第一波的垃圾留言唷!
因為 WordFence 會擋住重複 IP 攻擊,但無法幫助我們審核留言:)
哈囉犬哥,今天收到WordFence來信,告訴我位在英國的IP 嘗試登入超過次數被鎖住……
真是嚇壞我了,我只是個新手,文章都還沒上架過一篇,怎就會有IP想要攻擊我的後台啊~~~~
這樣算是正常的嗎? 第一次遇到這種情形,幸好我事先有裝好外掛了 ><?
嗨,新手cat,
IP 暴力攻擊是網站還蠻常見的攻擊手法,幸好你有先安裝好安全外掛:)
建議你再多多觀察情況,才能夠及時防護好自己的網站唷!
犬哥您好~ 我對電腦很多東西不太熟,但這篇文章寫得很清楚,照著說明一步一步做,很快就設定好了!
再次感謝您分享經驗!
嗨,麥基,
不用客氣,很開心能夠幫助到你:)
感謝犬哥的文章 🙂
最近剛使用NAS架設Wordpress網站,正在查有哪些外掛能增加網站安全性,
你的教學很詳細對我很有幫助,謝謝!
嗨,Luke
謝謝你的留言,能夠幫助到你很開心~!
安装之后 后台特别卡 怎么弄
嗨,阿
WordFence 本身的檔案還蠻大的,如果會造成後台卡頓,建議你可更換成其他安全外掛,或是諮詢主機廠商客服,關於後台卡頓的相關疑問唷!