WordFence Security 教學:強大 WordPress 安全性資安外掛(完整設定)

WordFence Security 教學:強大 WordPress 安全性資安外掛(完整設定)

這是一篇完整的「 WordFence Security 教學 」。

定期備份 網站是重要的,這是防範網站有什麼意外的最後一個盾牌,因為網站出問題隨時都能還原。

如果你搭配的 WordPress 主機,有幫忙做定期備份那更好,這表示你買了雙重保險。

當確認有完整備份,接著站長們可能會需要一個 WordPress 安全性外掛(因為沒人想網站動不動就出問題吧 ..),確保你的網站能抵檔外來的攻擊。

像是暴力登錄、惡意流量攻擊、惡意軟體漏洞等 ..,這些都是常見的攻擊手法,稍微一不注意可能就會讓站長多年的心寫,都功虧一潰 ..。

這也是為什麼我會寫這篇文章的原因,WordFence 是熱門的 WordPress 資安外掛(下面有更詳細介紹),它有提供免費版可使用,且免費版功能就很完整,非常適合站長們使用。

好囉,這篇文章我會帶大家從 WordFence 外掛安裝,到相關設定的調整,都會盡量的與你分享,目錄如下:

那我們就開始學習囉:)


1. WordFence 是什麼?

WordFence 專業的資安+防毒外掛
WordFence 專業的資安+防毒外掛

WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,幫助站長抵擋外來的惡意攻擊。更多完整 WordFence 資安教學

你也可以搭配 WordFence 詳細影片學習,方便更進入狀況。

網站防火牆(Web Application Firewall,簡稱 WAF)

WordFence 的網站防火牆是它的強項之一,這跟一般單純只提醒資安相關問題的外掛不同,因為能把網站防火牆完整處理好,並能防範最新攻擊,是需要強大的資安技術。

它們團隊花了大把時間在防火牆的更新維護上(看 WordFence 外掛內,有超多的防火牆規則就知道 ..),確保能幫 WordPress 站長,抵擋最新的惡意攻擊&惡意流量。

而 WordFence 採用的是端點防火牆,等於說它在你的網站統一把關,確保不會有任何駭客繞過防護,杜絕所有的漏洞。

惡意軟體掃描(網站漏洞掃描)

WordFence 提供全站掃描機制,能幫你找出可能潛在資安漏洞,不論是網站上現有的主題或網站外掛(惡意軟體掃描)。

或是站長可能過去有安裝一些主題或外掛,但是已經刪除不用了,但舊檔案還是存留在網站中,這些都可能成為潛在的風險。

WordFence 會幫你進行全盤的檢查(可自行選擇掃描程度,有點類似防毒軟體),對有問題的檔案進行警告,並提供相關處理的方法。

如果 WordPress 核心程式(就是直接從 WordPress.org 下載的那包檔案)有被進行變更,WordFence 同樣也會提醒你注意。

還有訪客相關的留言、評論等,是否有可疑的留言或連結,也會同步警告。

後台登錄防護

WordFence 有提供兩階段的身份認證(2FA),站長可用像是 Google Authenticator 進行第二步驟認證,強化網站安全性。

登錄頁面也提供 Google reCAPTCHA 整合,能幫助站長阻止殭屍程序登錄。

WordFence 也對試圖暴力登錄進行 IP 封鎖,還有站長可設定嘗試登入幾次失敗,則進行動作封鎖,讓有意人士無法操作。

至於改變 WordPress 登入路徑,也是簡單實用的安全性提升方法,更多 WPS Hide Login 教學

多種資安控管功能

  • 即時流量監控:這是 WordFence 用來幫你統計網站上目前的流量狀況,像是用戶登錄、惡意訪問來源、被封鎖的使用者等 ..,讓你進一步了解目前網站狀況。
  • 用戶 IP 封鎖器:設定想阻擋的惡意 IP,讓他無法再訪問你的網站。
  • 還有多種設定:完整的資安功能設定,站長可依照需求調整。

如果你有預算考量,WordFence 會是你的最佳選擇,因為它的免費版就十分強大。

特色評論

WordFence 擁有端點網站防火牆、網站弱點掃描+處理、即時流量監測 ..。

免費版就很強大,但進階版提供更即時的 IP 黑名單更新、即時防火牆規則、即時惡意軟體簽名,進階版費用可至 官方網站 查詢。


2. 安裝 WordFence 外掛

這章節開始安裝 WordFence 外掛。

前往 WordPress 外掛 > 安裝外掛,搜尋 WordFence 關鍵字,然後安裝+啟用。

WordFence Security 教學 :WordFence 外掛安裝
WordFence Security 教學 :WordFence 外掛安裝

填入你的信箱,這個信箱請務必留你會使用的,因為如果有網站上的資安通知,WordFence 會發信件通知你。

可選擇是否收到 WordFence 寄過來的 WordPress 相關資安通知,如果選擇 YES 請記得到 Email 打開信件,點擊裡面的連結激活。

勾選服務條款,完成後下一步。

WordFence Security 教學 : WordFence 註冊申請
WordFence 註冊申請

這是填入 WordFence 進階版憑證的地方,如果你有購買可在這輸入,如果沒有的話點 No Thanks。

WordFence Security 教學 : WordFence 外掛安裝
WordFence 外掛安裝

接著,如果 WordFence 會自動導向到 Dashboard 儀表板,就會看到非常多資安功能出現了:)

如果沒有自動導向的話,就點擊前往 WordFence > Dashboard,也會前往儀表板唷。

WordFence Security 教學 :WordFence 儀表板頁面
WordFence 儀表板頁面

3. 配置網站防火牆(Firewall)

WordFence 安裝完成,首要做的是就是配置網站防火牆(這也是 WordFence 最重要的功能)。

我們也會看到 Dashboard 也有提示,點擊 Click Here To Configure 前往設定。

備註:另一個提示是詢問,是否開啟 WordFence 外掛的自動更新功能,兩個選擇都可以,依照你的需求即可。

WordFence 開始配置網站防火牆
WordFence 開始配置網站防火牆

接著,會前往防火牆的配置項(或是前往 WordFence > Firewall),這裡可選擇需配置的伺服器,但 WordFence 預設會幫你偵測最適合的類型,沒特別需求就用預設即可。

網站防火牆開始正式配置前,WordFence 會要求你下載 .htaccess 檔案(因為開始配置後會改寫裡面的內容),那因為我的主機類型還有一份檔案需下載,如果你的沒有就不用理會。

總之都下載起來備份,然後點下一步繼續。

優化 WordFence 防火牆配置
優化 WordFence 防火牆配置

這樣網站防火牆(Web Application Firewall)就配置成功啦,是不是很簡單呢。

接下來,我們來了解一下防火牆介面部分,預設的模式是用 Learning Mode(學習模式),這是因為 WordFence 正在學習你網站的操作模式,並會針對你的操作,做出最適合的防火牆配置。

WordFence 預設學習時間是一週,時間到後會自動切換成 Enabled and Protecting(啟用和保護模式),並開始在你的網站正式運作防火牆。

WordFence Security 教學 :WordFence 防火牆功能介面
WordFence 防火牆功能介面

但如果你的網站已經遭遇到惡意攻擊,才安裝 WordFence 打算進行掃毒除錯,這時就可直接切換成 Enabled and Protecting 應對(就不需要等學習時間了),免得使用掃毒功能除錯完,之後還是遭受到一樣的攻擊。

WordFence Security 教學 :更改防火牆模式
WordFence Security 教學 :更改防火牆模式

一開始都先建議讓 WordFence 使用學習模式,除非有特殊狀況再直接運作防火牆。

好囉,以上就是防火牆設定相關教學。


4. 網站漏洞掃描(Scan)

前往 WordFence > Scan,這裡面是有關「 網站漏洞掃描 」的功能,WordFence 會幫你做全站式的檢查。

像是網站主題 / 外掛是否存在惡意軟體、檔案是否存在惡意程式碼、訪客留言是否存在危險連結等 ..。

執行網站掃描&資安修復

點擊 Start New Scan,就能開始網站掃描。

WordFence Security 教學 :執行網站資安掃描
執行網站資安掃描

網站掃描完成後,如果沒問題就恭喜你啦,就不需要做額外修復。

但如果你出現相關調整提示,就可依照 WordFence 的建議進行資安調整,像是我這個網站,就是有網站外掛&主題還沒升級為最新版,所以 WordFence 提示我升級(下圖)。

WordFence Security 教學 :依照 WordFence 指示調整內容
依照 WordFence 指示調整內容

備註:如果 WordFence 提示的項目,你已經確認過沒問題且不需修改,可點上圖的 Make as Fixed 按鈕,就會放入到已處裡。

有時後會出現紅色警告(危險級別比較高),可能是網站有不知名的檔案 or 惡意程式碼,WordFence 就會提示你將檔案刪除。

如果是這種狀況,就建議直接照 WordFence 的建議處理掉。

依照需求調整掃描等級

WordFence 有提供掃描等級的修改,點擊 Manage Scan。

WordFence Security 教學 :設定 WordFence 掃描等級
設定 WordFence 掃描等級

預設會是 Standard Scan(標準掃描),可往上或下向調整。

用 High Sensitivity(高靈敏度掃描)為舉例,掃描執行中的主機消耗資源會變多,但掃描會更全面。

WordFence Security 教學 :多種網站掃描等級
多種網站掃描等級

這邊順邊分享一個小概念,因為 WordFence 是在你的網站上運作的(非屬於雲管理),所以任何的執行掃描都會佔用主機資源。

除非你遇到重大資安問題,否則會建議用 Standard Scan (標準掃描)就可以了,特別是共享主機,因為共享主機本身的主機資源就有限。參考 主機類型差別


5. 即時流量監測(Tools > Live Traffic)

前往 WordFence > Tools > Live Traffic,裡面最重要功能應該就是 Live Traffic(即時流量監測),會幫你列出用戶登錄數據、被防火牆阻止的請求、訪客 IP 位置等 ..。

WordFence 預設的流量紀錄模式是 Security Only,就是只會紀錄與安全性相關的流量,其他的數據不會紀錄。

WordFence Security 教學 :Live Traffic 即時流量監測
Live Traffic 即時流量監測

Security Only 會是比較推薦的方式(也是 WordFence 預設值),也是最有效率的模式。

All Traffic 則是會紀錄大部分的數據,這會很耗費主機資源,除非特殊情況不然不建議使用。

當有任何的流量數據紀錄,WordFence 就會列出給你參考。


6. 兩階段身份認證(Two-Factor Authentication)

前往 WordFence > Login Security,WordFence 有提供兩階段驗證功能(Two-Factor Authentication)。

簡單來說就是除了一般的帳密輸入,還必須透過第三方給的臨時碼,才有辦法登入到 WordPress 網站。

兩階段身份認證設定

這裡我推薦使用 Google Authenticator 這款 APP,蘋果 or Android 系統都可下載,下面有設定步驟。

WordFence 兩階段身份認證
WordFence 兩階段身份認證

Step1:首先,用這款 APP 掃描 QR Code 做驗證。

Step2:下載還原密碼,這是如果你不小心遺失手機了,可以用這 5 組密碼中其中一組做登錄,每組只能使用一次(請把密碼保存在安全地方)。

Step3:然後輸入 APP 提供的臨時碼(有時間限制,會跳動)。

Step4:點擊啟用。

參考上面流程就可把兩階段身份驗證(2FA),給設定完成囉。

當你在 WordPress 後台登入輸入帳密後,就會顯示這個畫面,你就需打開你下載的 Google Authenticator,並輸入裡面的密碼,才有辦法登入 WordPress 唷!

WordFence Security 教學 :2FA 密碼登入
2FA 密碼登入

相關設定調整

切換到 Login Security > Settings,可對 2FA 的控制權限做調整,依照自己的需求就可以了。

如果你常在固定地方作業,覺得每次都需雙重認證很麻煩,就可把地點 IP 放入到白名單,之後在固定地點,就不會要求你輸入了。

WordFence Security 教學 :2FA 相關設定
WordFence Security 教學 :2FA 相關設定

設定完成後,記得點 Save 儲存。


7. reCAPTCHA 驗證設定

WordFence 和 reCAPTCHA 有良好的整合,激活此功能後,在 WordPress 後台登入&註冊頁面,就會出現 Google 資安防護功能。

小教學:

reCAPTCHA 是 Google 提供用來分辨登入者是否真實為人類。

目前 reCAPTCHA v3 版本,採用分數制驗證系統,對使用者在網站上的動作進行評分,若分數過低則會被判定為機器人。

接續上一章的流程,同樣在 WordFence > Login Security(登入安全性) > Settings(設定),會看到 reCAPTCHA 相關功能。

首先,把 reCAPTCHA 功能打開,然後前往 Google 申請 reCAPTCHA 憑證(下圖第 3 步驟,等憑證申請完後,再回來這裡貼上即可)。

WordFence 使用 reCAPTCHA 功能
WordFence 使用 reCAPTCHA 功能

進入後選 v3 Admin Console(不是 Get Started 唷,不然會走到付費流程)。

WordFence 教學:申請 recaptcha 功能
申請 recaptcha 功能

輸入標籤(可輸入網站網域,方便辨認用),選擇 reCAPTCHA v3,還有網站網域&電子信箱等 ..,完成後送出即可。

WordFence 教學:recaptcha 申請
recaptcha 申請

接著,就會產生 reCAPTCHA 的網站金鑰&密碼啦!

只要分別貼到 WordFence 的 reCAPTCHA 相關欄位(上面有提到)並進行儲存,就順利激活成功囉。

WordFence 教學:複製網站金鑰&密碼
WordFence 教學:複製網站金鑰&密碼

至於完成品大概就是長這樣,就能幫助你在表單提交時,嚴謹性變得更高了(防範機器人)!

WordFence Security 教學 :Google recaptcha 資安工具
Google recaptcha 資安工具

8. 配置設定(All Options)

前往 WordFence > All Options,有多項配置可讓站長自行調整,但基本上我會建議都先用預設值即可,除非你很確定用法。

這邊跟大家分享,一些我自己有做的小調整,你可以參考並依照自己需求設定。

Email Alert Preferences 信件通知設定

WordFence Security 教學 :信件通知設定
WordFence Security 教學 :信件通知設定

基本上都用預設,只有調整了人員從新設備 or 新位置登錄到後台,我才會收到通知(不然每次有人登錄,都會收到信件會有點 xxx,特別是網站有多位操作者的狀況)。

還有更改了掃描通知級別,改為 Medium 中間等級才會收到信件(預設是 Low 低等級)。

暴力破解防護設定(Brute Force Protection)

WordFence Security 教學 :暴力破解防護設定
暴力破解防護設定

WordFence 預設嘗試登錄次數好像設滿高的,這邊我自己是調為 5 次。

基本掃描類型選項(Basic Scan Type Options)

這剛上面有提到過,WordFence 預設是用 Standard 標準掃描,你也可進行調整,設定完成後就會變為默認值。

好囉!如果設定都調整完畢,記得要儲存才會生效唷。


9. 還有什麼需注意的?

WordFence 是一款非常棒的 WordPress 資安軟體,但需注意 WordFence 是在自己的主機上進行運作,所以使用的都是自己主機的資源(這也是唯一的小缺點)。

所以如果你的主機資源不夠,或是有受到管轄(特別是共享主機),在即時流量監測(Live Traffic),記得用比較不耗費資源的方式運作(這上面都有提到),或是進行掃描時避免在訪客眾多時候操作。

確保網站不會因為使用資源過大,而造成速度變慢,或是被主機商警告的問題。

當然,不論是 佈景主題網站外掛,都需審慎挑選,盡量找知名的進行安裝,免得產生了安全漏洞。

好囉,以上就是有關於 WordFence 相關的教學,記得 定期備份 是最重要的,別忘記了唷!


常見問題

WordFence 是什麼呢?

WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,能幫助站長抵擋外來的惡意攻擊。

它提供多種防護功能,像是網站防火牆、網站掃描、即時流量監測、兩階段身份認證等 ..,完整的資安功能。

一個網站適合安裝多個資安外掛嗎?

基本上會建議安裝一種即可(除非能互補,但還是建議安裝一種就好)。

原因是,不同資安外掛可能會有衝突問題,而且外掛多對網站也是負擔,其實都是沒必要的。

WordFence 的優勢在哪裡?

WordFence 最強大的地方在於網站防火牆&網站漏洞掃描,這是其他資安軟體比較沒辦法複製的技術。

因為技術門檻高,這跟只是單純提供資安建議的外掛是不同等級的。

除了 WordFence 還有其他推薦的同等級資安外掛嗎?

當然是有的,畢竟網站資安是個重要的課題。最常被拿來討論的(同等級的),就是 Sucuri。

他們都是非常棒的外掛,在網站防火牆&網站漏洞掃描,都有強大的技術能力!


WordPress 學習資源

學習 WordPress 網站架設流程中,或許會遇到一些解決不了問題,可以在下方留言給我,我會盡力協助解答。

如果你沒有時間自己架站,或是想委託專人服務,那可以參考我們的 網站建置服務

我最近也開啟了 YouTube 頻道,裡面有些影片教學,你也能搭配 Blog 一起學習,應該會來的更加順手(歡迎訂閱我+開啟小鈴鐺,可收到第一手影片教學通知)。

當然,如果怕問題描述不清楚,也可以加入 WordPress 教學時光屋 – 犬哥網站 ,我同步也會在社團中幫忙解惑。

希望這些對你有所幫助,祝架站順利啦。

犬哥網站:wordpress教學社團

20 thoughts on “WordFence Security 教學:強大 WordPress 安全性資安外掛(完整設定)”

    1. 小犬網站 - Luna

      哈囉,冰:

      CloudFlare 本身就有維護資安的功能,如果你想要再額外安裝 WordFence 來使用也是可以的。

      不過可能會遇到透過 CloudFlare 加速的 IP 被 WordFence 鎖住的問題。

      如果遇到,你可以參考 這篇文章 看看

      希望我的回答有幫助到你:)

  1. 您好,
    很感謝您提供超級有用的資訊,按照您提供的步驟,讓我的網站安全性大大提升!
    不過有件事情想請教,Google Authenticator部分我設定完後,當下有重試登入,輸入當時的跳動驗證碼,有成功進去後台。

    但是,今天再次登入的時候,卻失敗了,我有嘗試使用無痕也無解,甚至搬上recovery code也都是顯示:「錯誤: 請正確解決驗證問題。」也有去查wordfence的相關資料如下,仍依舊無解:https://www.wordfence.com/help/tools/two-factor-authentication/#how-to-use-recovery-codes

    有透過主機商(cloudways)詢問此事,對方也表示無解,只能恢復上一個未安裝wordfence的版本了QQ

    不知道小犬在這個地方有什麼建議嗎?

    1. 犬哥網站 - Luna

      嗨,Ching,

      有的時候外掛更新會造成一些衝突,這可能是很多原因造成,所以降版本才解決了更新的問題。

      也很開心你能順利解決,如果你希望 WordFence 可以做得更好,建議你可以將你遇到的情況透過 支援論壇 告訴他們,

      讓他們可以在新版本排除類似的錯誤:)

      1. 嗨犬哥,
        後來我還是不死心去找其他解決方案,後來找到這篇文章:https://wordpress.org/support/topic/2fa-wont-recognize-authenticator-codes-or-recovery-codes/
        然後拿這篇文章,請cloudways客服幫忙,進到後台把外掛停掉,就可以登入進去了!

        後來發現有可能是Advanced noCaptcha & invisible Captcha這個外掛起衝突了(我是透過此篇文章得知的https://fellmarlin.com/wordfence-security-locked/)
        目前看來運作還好,如果有後續更新會在這裡分享XDD
        謝謝犬哥!

        1. 犬哥網站 - Luna

          恭喜你順利解決,也謝謝你的分享,

          後續有任何架站心得,都可以持續留言分享唷,

          能一起幫助到使用 WordPress 架站的愛好者~

  2. 犬哥你好,

    如果網站目前已經遭受到攻擊,經過掃描發現sever status 也出現驚嘆號黃色標誌,
    是否建議升級付費透過wordfence 處理?我有試圖聯絡主機商bluehost,
    它們一直推薦我直接使用site lock 最高階的版本,兩者價格有頗多差距,
    想了解對於資金有限的新手該如何選擇,謝謝!

    1. 犬哥網站 - Luna

      嗨,HC,

      根據一些使用經驗,我會推薦你使用 WordFence 的付費版本,

      價格上來說,WordFence 長期續購下來會更划算,付費提供的功能方面,價格也較 Sitelock 便宜,

      舉例來說,雖然如果被惡意攻擊,WordFence 無法幫你還原站點,但 Sitelock 需要花費至少 200 美元清理站點,

      因此在受到惡意攻擊之後,有無保有原本的網站檔案,以便隨時還原,會比使用 Sitelock 的清理功能,來得實際也節省許多,所以隨時備份網站檔案很重要,

      有需要可以參考: WordPress 備份網站外掛推薦清單 ,來挑選適合你的備份外掛。

      而且 WordFence 已是老字號的 WordPress 安全性外掛,安全防護+防火牆功能是非常強大的,

      因此兩者相比較下來,我會更推薦你使用 WordFence 進階版:)

      1. 謝謝你的回答!之前已經透過你的另一份教學使用備份外掛了,重新架站的這段時間,非常感謝你提供詳盡的教學!:)

        1. 犬哥網站 - Luna

          不客氣唷!也建議你在購買之前多比較兩者差異,再決定哪一款方案較適合你,祝架站順利!:)

  3. 您好,不知道為什麼突然每次登入,都會需要使用2FA密碼。於是很快的,先前下載的密碼一下子就都使用過了,也不見有寄送新的密碼,導致現再往頁進不去。請問該怎麼呢?哪裡可以找到新密碼QAQ

    1. 犬哥網站 - Luna

      嗨,Alice,

      一開始在設置 2FA 密碼時,可以將你的 IP 加入白名單,或是勾選登入身份才需啟用該功能,這部分在文章中有提到唷,

      如果已經沒辦法登入,那有兩個方法,可以先繞過 2FA 認證,你可以試試看:

      1. 若有將網站添加到 Wordfence Central:

      登錄 Wordfence.com > Configuration 選項 > 點擊網站的齒輪 > 向下找到「 Login Security Options section 」區塊

      接著在「 Whitelisted IP addresses that bypass 2FA 」部分中,加入你的電腦所在的 IP 位置。

      儲存後再次嘗試登入你的網站試試看。

      2. 未將網站添加到 Wordfence Central:

      使用 FTP/SFTP,如果主機商有提供 cPanel,直接登入即可,然後在網站檔案夾中,在「 /wp-content/plugins/ 」資料夾中,找到「 wordfence 」,並重新命名為「 wordfence.bak 」,

      重新登入網站成功後,再將名字改回「 wordfence 」即可。

      接著就可以將自己的 IP 加入 WordFence 的白名單中囉,也許你需要重新設置 2FA,以便你重新取得遺失碼:)

  4. 犬哥你好,
    想請問若已經安裝WordFence Security
    (你上文有提到此外掛可以防止惡意留言)
    是否還需要安裝Akismet Anti-Spam這款外掛呢?
    謝謝!

    1. 犬哥網站 - Luna

      嗨,noco,

      建議安裝 WordFence 後,還是可以安裝 Akismet Anti-Spam 外掛,幫助網站先一步刷掉第一波的垃圾留言唷!

      因為 WordFence 會擋住重複 IP 攻擊,但無法幫助我們審核留言:)

  5. 哈囉犬哥,今天收到WordFence來信,告訴我位在英國的IP 嘗試登入超過次數被鎖住……
    真是嚇壞我了,我只是個新手,文章都還沒上架過一篇,怎就會有IP想要攻擊我的後台啊~~~~
    這樣算是正常的嗎? 第一次遇到這種情形,幸好我事先有裝好外掛了 ><?

    1. 嗨,新手cat,

      IP 暴力攻擊是網站還蠻常見的攻擊手法,幸好你有先安裝好安全外掛:)

      建議你再多多觀察情況,才能夠及時防護好自己的網站唷!

  6. 犬哥您好~ 我對電腦很多東西不太熟,但這篇文章寫得很清楚,照著說明一步一步做,很快就設定好了!

    再次感謝您分享經驗!

  7. 感謝犬哥的文章 🙂

    最近剛使用NAS架設Wordpress網站,正在查有哪些外掛能增加網站安全性,
    你的教學很詳細對我很有幫助,謝謝!

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

回到頂端