這是一篇完整的「 WordFence Security 教學 」。
定期備份 網站是重要的,這是防範網站有什麼意外的最後一個盾牌,因為網站出問題隨時都能還原。
如果你搭配的 WordPress 主機,有幫忙做定期備份那更好,這表示你買了雙重保險。
當確認有完整備份,接著站長們可能會需要一個 WordPress 安全性外掛(因為沒人想網站動不動就出問題吧 ..),確保你的網站能抵檔外來的攻擊。
像是暴力登錄、惡意流量攻擊、惡意軟體漏洞等 ..,這些都是常見的攻擊手法,稍微一不注意可能就會讓站長多年的心寫,都功虧一潰 ..。
這也是為什麼我會寫這篇文章的原因,WordFence 是熱門的 WordPress 資安外掛(下面有更詳細介紹),它有提供免費版可使用,且免費版功能就很完整,非常適合站長們使用。
好囉,這篇文章我會帶大家從 WordFence 外掛安裝,到相關設定的調整,都會盡量的與你分享,目錄如下:
- 1. WordFence 是什麼?
- 2. 安裝 WordFence 外掛
- 3. 配置網站防火牆(Firewall)
- 4. 網站漏洞掃描(Scan)
- 5. 即時流量監測(Tools > Live Traffic)
- 6. 兩階段身份認證(Two-Factor Authentication)
- 7. reCAPTCHA 驗證設定
- 8. 配置設定(All Options)
- 9. 還有什麼需注意的?
- 常見問題
- 聯絡犬哥網站
那我們就開始學習囉:)
1. WordFence 是什麼?
WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,幫助站長抵擋外來的惡意攻擊。更多完整 WordFence 資安教學。
網站防火牆(Web Application Firewall,簡稱 WAF)
WordFence 的網站防火牆是它的強項之一,這跟一般單純只提醒資安相關問題的外掛不同,因為能把網站防火牆完整處理好,並能防範最新攻擊,是需要強大的資安技術。
它們團隊花了大把時間在防火牆的更新維護上(看 WordFence 外掛內,有超多的防火牆規則就知道 ..),確保能幫 WordPress 站長,抵擋最新的惡意攻擊&惡意流量。
而 WordFence 採用的是端點防火牆,等於說它在你的網站統一把關,確保不會有任何駭客繞過防護,杜絕所有的漏洞。
惡意軟體掃描(網站漏洞掃描)
WordFence 提供全站掃描機制,能幫你找出可能潛在資安漏洞,不論是網站上現有的主題或網站外掛(惡意軟體掃描)。
或是站長可能過去有安裝一些主題或外掛,但是已經刪除不用了,但舊檔案還是存留在網站中,這些都可能成為潛在的風險。
WordFence 會幫你進行全盤的檢查(可自行選擇掃描程度,有點類似防毒軟體),對有問題的檔案進行警告,並提供相關處理的方法。
如果 WordPress 核心程式(就是直接從 WordPress.org 下載的那包檔案)有被進行變更,WordFence 同樣也會提醒你注意。
還有訪客相關的留言、評論等,是否有可疑的留言或連結,也會同步警告。
後台登錄防護
WordFence 有提供兩階段的身份認證(2FA),站長可用像是 Google Authenticator 進行第二步驟認證,強化網站安全性。
登錄頁面也提供 Google reCAPTCHA 整合,能幫助站長阻止殭屍程序登錄。
WordFence 也對試圖暴力登錄進行 IP 封鎖,還有站長可設定嘗試登入幾次失敗,則進行動作封鎖,讓有意人士無法操作。
至於改變 WordPress 登入路徑,也是簡單實用的安全性提升方法,更多 WPS Hide Login 教學。
多種資安控管功能
- 即時流量監控:這是 WordFence 用來幫你統計網站上目前的流量狀況,像是用戶登錄、惡意訪問來源、被封鎖的使用者等 ..,讓你進一步了解目前網站狀況。
- 用戶 IP 封鎖器:設定想阻擋的惡意 IP,讓他無法再訪問你的網站。
- 還有多種設定:完整的資安功能設定,站長可依照需求調整。
如果你有預算考量,WordFence 會是你的最佳選擇,因為它的免費版就十分強大。
特色評論
WordFence 擁有端點網站防火牆、網站弱點掃描+處理、即時流量監測 ..。
免費版就很強大,但進階版提供更即時的 IP 黑名單更新、即時防火牆規則、即時惡意軟體簽名,進階版費用可至 官方網站 查詢。
2. 安裝 WordFence 外掛
這章節開始安裝 WordFence 外掛。
前往 WordPress 外掛 > 安裝外掛,搜尋 WordFence 關鍵字,然後安裝+啟用。
填入你的信箱,這個信箱請務必留你會使用的,因為如果有網站上的資安通知,WordFence 會發信件通知你。
可選擇是否收到 WordFence 寄過來的 WordPress 相關資安通知,如果選擇 YES 請記得到 Email 打開信件,點擊裡面的連結激活。
勾選服務條款,完成後下一步。
這是填入 WordFence 進階版憑證的地方,如果你有購買可在這輸入,如果沒有的話點 No Thanks。
接著,如果 WordFence 會自動導向到 Dashboard 儀表板,就會看到非常多資安功能出現了:)
如果沒有自動導向的話,就點擊前往 WordFence > Dashboard,也會前往儀表板唷。
3. 配置網站防火牆(Firewall)
WordFence 安裝完成,首要做的是就是配置網站防火牆(這也是 WordFence 最重要的功能)。
我們也會看到 Dashboard 也有提示,點擊 Click Here To Configure 前往設定。
備註:另一個提示是詢問,是否開啟 WordFence 外掛的自動更新功能,兩個選擇都可以,依照你的需求即可。
接著,會前往防火牆的配置項(或是前往 WordFence > Firewall),這裡可選擇需配置的伺服器,但 WordFence 預設會幫你偵測最適合的類型,沒特別需求就用預設即可。
網站防火牆開始正式配置前,WordFence 會要求你下載 .htaccess 檔案(因為開始配置後會改寫裡面的內容),那因為我的主機類型還有一份檔案需下載,如果你的沒有就不用理會。
總之都下載起來備份,然後點下一步繼續。
這樣網站防火牆(Web Application Firewall)就配置成功啦,是不是很簡單呢。
接下來,我們來了解一下防火牆介面部分,預設的模式是用 Learning Mode(學習模式),這是因為 WordFence 正在學習你網站的操作模式,並會針對你的操作,做出最適合的防火牆配置。
WordFence 預設學習時間是一週,時間到後會自動切換成 Enabled and Protecting(啟用和保護模式),並開始在你的網站正式運作防火牆。
但如果你的網站已經遭遇到惡意攻擊,才安裝 WordFence 打算進行掃毒除錯,這時就可直接切換成 Enabled and Protecting 應對(就不需要等學習時間了),免得使用掃毒功能除錯完,之後還是遭受到一樣的攻擊。
一開始都先建議讓 WordFence 使用學習模式,除非有特殊狀況再直接運作防火牆。
好囉,以上就是防火牆設定相關教學。
4. 網站漏洞掃描(Scan)
前往 WordFence > Scan,這裡面是有關「 網站漏洞掃描 」的功能,WordFence 會幫你做全站式的檢查。
像是網站主題 / 外掛是否存在惡意軟體、檔案是否存在惡意程式碼、訪客留言是否存在危險連結等 ..。
執行網站掃描&資安修復
點擊 Start New Scan,就能開始網站掃描。
網站掃描完成後,如果沒問題就恭喜你啦,就不需要做額外修復。
但如果你出現相關調整提示,就可依照 WordFence 的建議進行資安調整,像是我這個網站,就是有網站外掛&主題還沒升級為最新版,所以 WordFence 提示我升級(下圖)。
備註:如果 WordFence 提示的項目,你已經確認過沒問題且不需修改,可點上圖的 Make as Fixed 按鈕,就會放入到已處裡。
有時後會出現紅色警告(危險級別比較高),可能是網站有不知名的檔案 or 惡意程式碼,WordFence 就會提示你將檔案刪除。
如果是這種狀況,就建議直接照 WordFence 的建議處理掉。
依照需求調整掃描等級
WordFence 有提供掃描等級的修改,點擊 Manage Scan。
預設會是 Standard Scan(標準掃描),可往上或下向調整。
用 High Sensitivity(高靈敏度掃描)為舉例,掃描執行中的主機消耗資源會變多,但掃描會更全面。
這邊順邊分享一個小概念,因為 WordFence 是在你的網站上運作的(非屬於雲管理),所以任何的執行掃描都會佔用主機資源。
除非你遇到重大資安問題,否則會建議用 Standard Scan (標準掃描)就可以了,特別是共享主機,因為共享主機本身的主機資源就有限。參考 主機類型差別。
5. 即時流量監測(Tools > Live Traffic)
前往 WordFence > Tools > Live Traffic,裡面最重要功能應該就是 Live Traffic(即時流量監測),會幫你列出用戶登錄數據、被防火牆阻止的請求、訪客 IP 位置等 ..。
WordFence 預設的流量紀錄模式是 Security Only,就是只會紀錄與安全性相關的流量,其他的數據不會紀錄。
Security Only 會是比較推薦的方式(也是 WordFence 預設值),也是最有效率的模式。
All Traffic 則是會紀錄大部分的數據,這會很耗費主機資源,除非特殊情況不然不建議使用。
當有任何的流量數據紀錄,WordFence 就會列出給你參考。
6. 兩階段身份認證(Two-Factor Authentication)
前往 WordFence > Login Security,WordFence 有提供兩階段驗證功能(Two-Factor Authentication)。
簡單來說就是除了一般的帳密輸入,還必須透過第三方給的臨時碼,才有辦法登入到 WordPress 網站。
兩階段身份認證設定
這裡我推薦使用 Google Authenticator 這款 APP,蘋果 or Android 系統都可下載,下面有設定步驟。
Step1:首先,用這款 APP 掃描 QR Code 做驗證。
Step2:下載還原密碼,這是如果你不小心遺失手機了,可以用這 5 組密碼中其中一組做登錄,每組只能使用一次(請把密碼保存在安全地方)。
Step3:然後輸入 APP 提供的臨時碼(有時間限制,會跳動)。
Step4:點擊啟用。
參考上面流程就可把兩階段身份驗證(2FA),給設定完成囉。
當你在 WordPress 後台登入輸入帳密後,就會顯示這個畫面,你就需打開你下載的 Google Authenticator,並輸入裡面的密碼,才有辦法登入 WordPress 唷!
相關設定調整
切換到 Login Security > Settings,可對 2FA 的控制權限做調整,依照自己的需求就可以了。
如果你常在固定地方作業,覺得每次都需雙重認證很麻煩,就可把地點 IP 放入到白名單,之後在固定地點,就不會要求你輸入了。
設定完成後,記得點 Save 儲存。
7. reCAPTCHA 驗證設定
WordFence 和 reCAPTCHA 有良好的整合,激活此功能後,在 WordPress 後台登入&註冊頁面,就會出現 Google 資安防護功能。
小教學:
reCAPTCHA 是 Google 提供用來分辨登入者是否真實為人類。
目前 reCAPTCHA v3 版本,採用分數制驗證系統,對使用者在網站上的動作進行評分,若分數過低則會被判定為機器人。
接續上一章的流程,同樣在 WordFence > Login Security(登入安全性) > Settings(設定),會看到 reCAPTCHA 相關功能。
首先,把 reCAPTCHA 功能打開,然後前往 Google 申請 reCAPTCHA 憑證(下圖第 3 步驟,等憑證申請完後,再回來這裡貼上即可)。
進入後選 v3 Admin Console(不是 Get Started 唷,不然會走到付費流程)。
輸入標籤(可輸入網站網域,方便辨認用),選擇 reCAPTCHA v3,還有網站網域&電子信箱等 ..,完成後送出即可。
接著,就會產生 reCAPTCHA 的網站金鑰&密碼啦!
只要分別貼到 WordFence 的 reCAPTCHA 相關欄位(上面有提到)並進行儲存,就順利激活成功囉。
至於完成品大概就是長這樣,就能幫助你在表單提交時,嚴謹性變得更高了(防範機器人)!
8. 配置設定(All Options)
前往 WordFence > All Options,有多項配置可讓站長自行調整,但基本上我會建議都先用預設值即可,除非你很確定用法。
這邊跟大家分享,一些我自己有做的小調整,你可以參考並依照自己需求設定。
Email Alert Preferences 信件通知設定
基本上都用預設,只有調整了人員從新設備 or 新位置登錄到後台,我才會收到通知(不然每次有人登錄,都會收到信件會有點 xxx,特別是網站有多位操作者的狀況)。
還有更改了掃描通知級別,改為 Medium 中間等級才會收到信件(預設是 Low 低等級)。
暴力破解防護設定(Brute Force Protection)
WordFence 預設嘗試登錄次數好像設滿高的,這邊我自己是調為 5 次。
基本掃描類型選項(Basic Scan Type Options)
這剛上面有提到過,WordFence 預設是用 Standard 標準掃描,你也可進行調整,設定完成後就會變為默認值。
好囉!如果設定都調整完畢,記得要儲存才會生效唷。
9. 還有什麼需注意的?
WordFence 是一款非常棒的 WordPress 資安軟體,但需注意 WordFence 是在自己的主機上進行運作,所以使用的都是自己主機的資源(這也是唯一的小缺點)。
所以如果你的主機資源不夠,或是有受到管轄(特別是共享主機),在即時流量監測(Live Traffic),記得用比較不耗費資源的方式運作(這上面都有提到),或是進行掃描時避免在訪客眾多時候操作。
確保網站不會因為使用資源過大,而造成速度變慢,或是被主機商警告的問題。
當然,不論是 佈景主題 或 網站外掛,都需審慎挑選,盡量找知名的進行安裝,免得產生了安全漏洞。
好囉,以上就是有關於 WordFence 相關的教學,記得 定期備份 是最重要的,別忘記了唷!
常見問題
WordFence 是什麼呢?
WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,能幫助站長抵擋外來的惡意攻擊。
它提供多種防護功能,像是網站防火牆、網站掃描、即時流量監測、兩階段身份認證等 ..,完整的資安功能。
一個網站適合安裝多個資安外掛嗎?
基本上會建議安裝一種即可(除非能互補,但還是建議安裝一種就好)。
原因是,不同資安外掛可能會有衝突問題,而且外掛多對網站也是負擔,其實都是沒必要的。
WordFence 的優勢在哪裡?
WordFence 最強大的地方在於網站防火牆&網站漏洞掃描,這是其他資安軟體比較沒辦法複製的技術。
因為技術門檻高,這跟只是單純提供資安建議的外掛是不同等級的。
除了 WordFence 還有其他推薦的同等級資安外掛嗎?
當然是有的,畢竟網站資安是個重要的課題。最常被拿來討論的(同等級的),就是 Sucuri。
他們都是非常棒的外掛,在網站防火牆&網站漏洞掃描,都有強大的技術能力!
聯絡犬哥網站
在網站架設+網路行銷的過程中,或許會遇到一些解決不了問題,可以在下方留言給我,我會盡力協助解答!
接下來,額外分享 2 個實用資源,可有效幫助大家解決問題。
資源一:犬哥網站(專業 WordPress 網頁設計&SEO 行銷公司)
如果你沒時間自己架站,或是遇到網站沒有流量、Google 網站排名不理想。歡迎洽詢 犬哥網站(WordPress 網頁設計&SEO 行銷公司),請專家協助你會更容易!
我們有多年網頁設計、SEO 網站排名經驗,加上上百個高質感作品、SEO 實戰案例,絕對能滿足您的需求!
資源二:WordPress+SEO 超強線上課程
這門 WordPress 高手架站課 濃縮了犬哥多年在網頁設計的實戰經驗,從網頁設計觀念、WordPress / WooCommerce 後台操作、熱門主題.外掛教學、品牌網站 / 部落格 / 電商網站,3 大類型網站建置方法等豐富內容,一次教會你。
課程內容非常的紮實(長度超過 20 小時)。如果你剛學習自架網站,這門課程可以讓你用最快的速度,就學會這項技能!
網站建立完畢後,但卻沒有流量怎麼辦?或是只能靠花錢投廣告才會有訂單?
這門 SEO 排名飆升課,教你掌握關鍵字策略、SEO 文章撰寫、多種實戰 SEO 技巧、透視對手 SEO 策略、SEO 必備軟體教學、最新 AI SEO 應用等,大幅提升行銷能力。
帶你衝上 Google 排名第一頁,大量提升網站營收和訂單!
