WordFence Security 教學:強大 WordPress 安全性資安外掛(完整設定)

WordFence Security 教學:強大 WordPress 安全性資安外掛(完整設定)

這是一篇完整的「 WordFence Security 教學 」。

定期備份 網站是重要的,這是防範網站有什麼意外的最後一個盾牌,因為網站出問題隨時都能還原。

如果你搭配的 WordPress 主機,有幫忙做定期備份那更好,這表示你買了雙重保險。

當確認有完整備份,接著站長們可能會需要一個 WordPress 安全性外掛(因為沒人想網站動不動就出問題吧 ..),確保你的網站能抵檔外來的攻擊。

像是暴力登錄、惡意流量攻擊、惡意軟體漏洞等 ..,這些都是常見的攻擊手法,稍微一不注意可能就會讓站長多年的心寫,都功虧一潰 ..。

這也是為什麼我會寫這篇文章的原因,WordFence 是熱門的 WordPress 資安外掛(下面有更詳細介紹),它有提供免費版可使用,且免費版功能就很完整,非常適合站長們使用。

好囉,這篇文章我會帶大家從 WordFence 外掛安裝,到相關設定的調整,都會盡量的與你分享,目錄如下:

那我們就開始學習囉:)


1. WordFence 是什麼?

WordFence 專業的資安+防毒外掛
WordFence 專業的資安+防毒外掛

WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,幫助站長抵擋外來的惡意攻擊。更多完整 WordFence 資安教學

你也可以搭配 WordFence 詳細影片學習,方便更進入狀況。

網站防火牆(Web Application Firewall,簡稱 WAF)

WordFence 的網站防火牆是它的強項之一,這跟一般單純只提醒資安相關問題的外掛不同,因為能把網站防火牆完整處理好,並能防範最新攻擊,是需要強大的資安技術。

它們團隊花了大把時間在防火牆的更新維護上(看 WordFence 外掛內,有超多的防火牆規則就知道 ..),確保能幫 WordPress 站長,抵擋最新的惡意攻擊&惡意流量。

而 WordFence 採用的是端點防火牆,等於說它在你的網站統一把關,確保不會有任何駭客繞過防護,杜絕所有的漏洞。

惡意軟體掃描(網站漏洞掃描)

WordFence 提供全站掃描機制,能幫你找出可能潛在資安漏洞,不論是網站上現有的主題或網站外掛(惡意軟體掃描)。

或是站長可能過去有安裝一些主題或外掛,但是已經刪除不用了,但舊檔案還是存留在網站中,這些都可能成為潛在的風險。

WordFence 會幫你進行全盤的檢查(可自行選擇掃描程度,有點類似防毒軟體),對有問題的檔案進行警告,並提供相關處理的方法。

如果 WordPress 核心程式(就是直接從 WordPress.org 下載的那包檔案)有被進行變更,WordFence 同樣也會提醒你注意。

還有訪客相關的留言、評論等,是否有可疑的留言或連結,也會同步警告。

後台登錄防護

WordFence 有提供兩階段的身份認證(2FA),站長可用像是 Google Authenticator 進行第二步驟認證,強化網站安全性。

登錄頁面也提供 Google reCAPTCHA 整合,能幫助站長阻止殭屍程序登錄。

WordFence 也對試圖暴力登錄進行 IP 封鎖,還有站長可設定嘗試登入幾次失敗,則進行動作封鎖,讓有意人士無法操作。

至於改變 WordPress 登入路徑,也是簡單實用的安全性提升方法,更多 WPS Hide Login 教學

多種資安控管功能

  • 即時流量監控:這是 WordFence 用來幫你統計網站上目前的流量狀況,像是用戶登錄、惡意訪問來源、被封鎖的使用者等 ..,讓你進一步了解目前網站狀況。
  • 用戶 IP 封鎖器:設定想阻擋的惡意 IP,讓他無法再訪問你的網站。
  • 還有多種設定:完整的資安功能設定,站長可依照需求調整。

如果你有預算考量,WordFence 會是你的最佳選擇,因為它的免費版就十分強大。

特色:端點網站防火牆、網站弱點掃描+處理、即時流量監測 ..。

費用:免費版就很強大,但進階版提供更即時的 IP 黑名單更新、即時防火牆規則、即時惡意軟體簽名,進階版費用 $99 美元 / 年。


2. 安裝 WordFence 外掛

這章節開始安裝 WordFence 外掛。

前往 WordPress 外掛 > 安裝外掛,搜尋 WordFence 關鍵字,然後安裝+啟用。

WordFence Security 教學 :WordFence 外掛安裝
WordFence Security 教學 :WordFence 外掛安裝

填入你的信箱,這個信箱請務必留你會使用的,因為如果有網站上的資安通知,WordFence 會發信件通知你。

可選擇是否收到 WordFence 寄過來的 WordPress 相關資安通知,如果選擇 YES 請記得到 Email 打開信件,點擊裡面的連結激活。

勾選服務條款,完成後下一步。

WordFence Security 教學 : WordFence 註冊申請
WordFence 註冊申請

這是填入 WordFence 進階版憑證的地方,如果你有購買可在這輸入,如果沒有的話點 No Thanks。

WordFence Security 教學 : WordFence 外掛安裝
WordFence 外掛安裝

接著,如果 WordFence 會自動導向到 Dashboard 儀表板,就會看到非常多資安功能出現了:)

如果沒有自動導向的話,就點擊前往 WordFence > Dashboard,也會前往儀表板唷。

WordFence Security 教學 :WordFence 儀表板頁面
WordFence 儀表板頁面

3. 配置網站防火牆(Firewall)

WordFence 安裝完成,首要做的是就是配置網站防火牆(這也是 WordFence 最重要的功能)。

我們也會看到 Dashboard 也有提示,點擊 Click Here To Configure 前往設定。

備註:另一個提示是詢問,是否開啟 WordFence 外掛的自動更新功能,兩個選擇都可以,依照你的需求即可。

WordFence 開始配置網站防火牆
WordFence 開始配置網站防火牆

接著,會前往防火牆的配置項(或是前往 WordFence > Firewall),這裡可選擇需配置的伺服器,但 WordFence 預設會幫你偵測最適合的類型,沒特別需求就用預設即可。

網站防火牆開始正式配置前,WordFence 會要求你下載 .htaccess 檔案(因為開始配置後會改寫裡面的內容),那因為我的主機類型還有一份檔案需下載,如果你的沒有就不用理會。

總之都下載起來備份,然後點下一步繼續。

優化 WordFence 防火牆配置
優化 WordFence 防火牆配置

這樣網站防火牆(Web Application Firewall)就配置成功啦,是不是很簡單呢。

接下來,我們來了解一下防火牆介面部分,預設的模式是用 Learning Mode(學習模式),這是因為 WordFence 正在學習你網站的操作模式,並會針對你的操作,做出最適合的防火牆配置。

WordFence 預設學習時間是一週,時間到後會自動切換成 Enabled and Protecting(啟用和保護模式),並開始在你的網站正式運作防火牆。

WordFence Security 教學 :WordFence 防火牆功能介面
WordFence 防火牆功能介面

但如果你的網站已經遭遇到惡意攻擊,才安裝 WordFence 打算進行掃毒除錯,這時就可直接切換成 Enabled and Protecting 應對(就不需要等學習時間了),免得使用掃毒功能除錯完,之後還是遭受到一樣的攻擊。

WordFence Security 教學 :更改防火牆模式
WordFence Security 教學 :更改防火牆模式

一開始都先建議讓 WordFence 使用學習模式,除非有特殊狀況再直接運作防火牆。

好囉,以上就是防火牆設定相關教學。


4. 網站漏洞掃描(Scan)

前往 WordFence > Scan,這裡面是有關「 網站漏洞掃描 」的功能,WordFence 會幫你做全站式的檢查。

像是網站主題 / 外掛是否存在惡意軟體、檔案是否存在惡意程式碼、訪客留言是否存在危險連結等 ..。

執行網站掃描&資安修復

點擊 Start New Scan,就能開始網站掃描。

WordFence Security 教學 :執行網站資安掃描
執行網站資安掃描

網站掃描完成後,如果沒問題就恭喜你啦,就不需要做額外修復。

但如果你出現相關調整提示,就可依照 WordFence 的建議進行資安調整,像是我這個網站,就是有網站外掛&主題還沒升級為最新版,所以 WordFence 提示我升級(下圖)。

WordFence Security 教學 :依照 WordFence 指示調整內容
依照 WordFence 指示調整內容

備註:如果 WordFence 提示的項目,你已經確認過沒問題且不需修改,可點上圖的 Make as Fixed 按鈕,就會放入到已處裡。

有時後會出現紅色警告(危險級別比較高),可能是網站有不知名的檔案 or 惡意程式碼,WordFence 就會提示你將檔案刪除。

如果是這種狀況,就建議直接照 WordFence 的建議處理掉。

依照需求調整掃描等級

WordFence 有提供掃描等級的修改,點擊 Manage Scan。

WordFence Security 教學 :設定 WordFence 掃描等級
設定 WordFence 掃描等級

預設會是 Standard Scan(標準掃描),可往上或下向調整。

用 High Sensitivity(高靈敏度掃描)為舉例,掃描執行中的主機消耗資源會變多,但掃描會更全面。

WordFence Security 教學 :多種網站掃描等級
多種網站掃描等級

這邊順邊分享一個小概念,因為 WordFence 是在你的網站上運作的(非屬於雲管理),所以任何的執行掃描都會佔用主機資源。

除非你遇到重大資安問題,否則會建議用 Standard Scan (標準掃描)就可以了,特別是共享主機,因為共享主機本身的主機資源就有限。參考 主機類型差別


5. 即時流量監測(Tools > Live Traffic)

前往 WordFence > Tools > Live Traffic,裡面最重要功能應該就是 Live Traffic(即時流量監測),會幫你列出用戶登錄數據、被防火牆阻止的請求、訪客 IP 位置等 ..。

WordFence 預設的流量紀錄模式是 Security Only,就是只會紀錄與安全性相關的流量,其他的數據不會紀錄。

WordFence Security 教學 :Live Traffic 即時流量監測
Live Traffic 即時流量監測

Security Only 會是比較推薦的方式(也是 WordFence 預設值),也是最有效率的模式。

All Traffic 則是會紀錄大部分的數據,這會很耗費主機資源,除非特殊情況不然不建議使用。

當有任何的流量數據紀錄,WordFence 就會列出給你參考。


6. 兩階段身份認證(Two-Factor Authentication)

前往 WordFence > Login Security,WordFence 有提供兩階段驗證功能(Two-Factor Authentication)。

簡單來說就是除了一般的帳密輸入,還必須透過第三方給的臨時碼,才有辦法登入到 WordPress 網站。

兩階段身份認證設定

這裡我推薦使用 Google Authenticator 這款 APP,蘋果 or Android 系統都可下載,下面有設定步驟。

WordFence 兩階段身份認證
WordFence 兩階段身份認證

Step1:首先,用這款 APP 掃描 QR Code 做驗證。

Step2:下載還原密碼,這是如果你不小心遺失手機了,可以用這 5 組密碼中其中一組做登錄,每組只能使用一次(請把密碼保存在安全地方)。

Step3:然後輸入 APP 提供的臨時碼(有時間限制,會跳動)。

Step4:點擊啟用。

參考上面流程就可把兩階段身份驗證(2FA),給設定完成囉。

當你在 WordPress 後台登入輸入帳密後,就會顯示這個畫面,你就需打開你下載的 Google Authenticator,並輸入裡面的密碼,才有辦法登入 WordPress 唷!

WordFence Security 教學 :2FA 密碼登入
2FA 密碼登入

相關設定調整

切換到 Login Security > Settings,可對 2FA 的控制權限做調整,依照自己的需求就可以了。

如果你常在固定地方作業,覺得每次都需雙重認證很麻煩,就可把地點 IP 放入到白名單,之後在固定地點,就不會要求你輸入了。

WordFence Security 教學 :2FA 相關設定
WordFence Security 教學 :2FA 相關設定

設定完成後,記得點 Save 儲存。


7. reCAPTCHA 驗證設定

WordFence 和 reCAPTCHA 有良好的整合,激活此功能後,在 WordPress 後台登入&註冊頁面,就會出現 Google 資安防護功能。

小教學:

reCAPTCHA 是 Google 提供用來分辨登入者是否真實為人類。

目前 reCAPTCHA v3 版本,採用分數制驗證系統,對使用者在網站上的動作進行評分,若分數過低則會被判定為機器人。

接續上一章的流程,同樣在 WordFence > Login Security(登入安全性) > Settings(設定),會看到 reCAPTCHA 相關功能。

首先,把 reCAPTCHA 功能打開,然後前往 Google 申請 reCAPTCHA 憑證(下圖第 3 步驟,等憑證申請完後,再回來這裡貼上即可)。

WordFence 使用 reCAPTCHA 功能
WordFence 使用 reCAPTCHA 功能

進入後選 v3 Admin Console(不是 Get Started 唷,不然會走到付費流程)。

WordFence 教學:申請 recaptcha 功能
申請 recaptcha 功能

輸入標籤(可輸入網站網域,方便辨認用),選擇 reCAPTCHA v3,還有網站網域&電子信箱等 ..,完成後送出即可。

WordFence 教學:recaptcha 申請
recaptcha 申請

接著,就會產生 reCAPTCHA 的網站金鑰&密碼啦!

只要分別貼到 WordFence 的 reCAPTCHA 相關欄位(上面有提到)並進行儲存,就順利激活成功囉。

WordFence 教學:複製網站金鑰&密碼
WordFence 教學:複製網站金鑰&密碼

至於完成品大概就是長這樣,就能幫助你在表單提交時,嚴謹性變得更高了(防範機器人)!

WordFence Security 教學 :Google recaptcha 資安工具
Google recaptcha 資安工具

8. 配置設定(All Options)

前往 WordFence > All Options,有多項配置可讓站長自行調整,但基本上我會建議都先用預設值即可,除非你很確定用法。

這邊跟大家分享,一些我自己有做的小調整,你可以參考並依照自己需求設定。

Email Alert Preferences 信件通知設定

WordFence Security 教學 :信件通知設定
WordFence Security 教學 :信件通知設定

基本上都用預設,只有調整了人員從新設備 or 新位置登錄到後台,我才會收到通知(不然每次有人登錄,都會收到信件會有點 xxx,特別是網站有多位操作者的狀況)。

還有更改了掃描通知級別,改為 Medium 中間等級才會收到信件(預設是 Low 低等級)。

暴力破解防護設定(Brute Force Protection)

WordFence Security 教學 :暴力破解防護設定
暴力破解防護設定

WordFence 預設嘗試登錄次數好像設滿高的,這邊我自己是調為 5 次。

基本掃描類型選項(Basic Scan Type Options)

這剛上面有提到過,WordFence 預設是用 Standard 標準掃描,你也可進行調整,設定完成後就會變為默認值。

好囉!如果設定都調整完畢,記得要儲存才會生效唷。


9. 還有什麼需注意的?

WordFence 是一款非常棒的 WordPress 資安軟體,但需注意 WordFence 是在自己的主機上進行運作,所以使用的都是自己主機的資源(這也是唯一的小缺點)。

所以如果你的主機資源不夠,或是有受到管轄(特別是共享主機),在即時流量監測(Live Traffic),記得用比較不耗費資源的方式運作(這上面都有提到),或是進行掃描時避免在訪客眾多時候操作。

確保網站不會因為使用資源過大,而造成速度變慢,或是被主機商警告的問題。

當然,不論是 佈景主題網站外掛,都需審慎挑選,盡量找知名的進行安裝,免得產生了安全漏洞。

好囉,以上就是有關於 WordFence 相關的教學,記得 定期備份 是最重要的,別忘記了唷!


常見問題

WordFence 是什麼呢?


WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,能幫助站長抵擋外來的惡意攻擊。

它提供多種防護功能,像是網站防火牆、網站掃描、即時流量監測、兩階段身份認證等 ..,完整的資安功能。

一個網站適合安裝多個資安外掛嗎?


基本上會建議安裝一種即可(除非能互補,但還是建議安裝一種就好)。

原因是,不同資安外掛可能會有衝突問題,而且外掛多對網站也是負擔,其實都是沒必要的。

WordFence 的優勢在哪裡?


WordFence 最強大的地方在於網站防火牆&網站漏洞掃描,這是其他資安軟體比較沒辦法複製的技術。

因為技術門檻高,這跟只是單純提供資安建議的外掛是不同等級的。

除了 WordFence 還有其他推薦的同等級資安外掛嗎?


當然是有的,畢竟網站資安是個重要的課題。最常被拿來討論的(同等級的),就是 Sucuri。

他們都是非常棒的外掛,在網站防火牆&網站漏洞掃描,都有強大的技術能力!


WordPress 學習資源

學習 WordPress 網站架設流程中,或許會遇到一些解決不了問題,你可以在下方留言給我,我會盡力協助解答。

或是給我一些鼓勵也可以,讓我更有動力提供學習資源給大家,我會非常感謝:)

我最近也開啟了 YouTube 頻道,裡面有些影片教學,你也能配上 Blog 一起學習,應該會來的更加順手(歡迎訂閱我+開啟小鈴鐺,可收到第一手影片教學通知)。

當然,如果怕問題描述不清楚,也可以加入 WordPress 教學時光屋 – 小犬網站 ,我同步也會在社團中幫忙解惑。

希望這些對你有所幫助,祝架站順利啦。

小犬網站:wordpress教學社團
小犬網站:wordpress教學社團

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

回到頂端