WordPress安全外掛 :7 個資安防護推薦(完整比較)

WordPress安全外掛 :7 個資安防護推薦(完整比較)

這篇文章,會與大家分享知名的「 WordPress安全外掛(或稱資安外掛)」,幫助站長抵擋外來的網站攻擊,或修復網站現有的資安漏洞。

WordPress 核心軟體(程式碼),本身就經過嚴謹的程式設計,站長可完全放心使用。

製作網站 時,站長通常為了實現某種特定功能,安裝了許多不是很知名 or 不安全的外掛(或是主題),等外掛漏洞被攻破後,導致網站整個被影響,出現類似釣魚中毒的視窗等 ..,都是很常看到的事件。

就算事後刪除了出問題的外掛,但絕大多數外掛並不會完整移除相關檔案(還有資料庫數據),所以潛在的資安漏洞,其實還是持續著 ..。

剛就只有單從惡意軟體方面的探討,但有關攻擊網站手法是非常多種的,像是 DDoS 流量攻擊、SQL 資料庫注入攻擊、Cookie 連線竊取、XSS 跨站指令碼攻擊等 ..。

額外小知識:

4% 網站流量是惡意的、全球每天約 370w 個網站被攻擊、125% DDoS 攻擊逐年增加 ..(數據來自 Sucuri)。

其實太多攻擊手法了,如果要詳細說明,這篇文章應該也都說不完,之後再寫一篇文章,跟大家分享常見的網路攻擊手法。但無論如何,持續進行 網站備份,是最重要的事。

好囉,回到這篇文章主題,看完剛剛的攻擊手法介紹,應該知道 WordPress 要搭配一個完整且強大的資安外掛,是非常重要的吧。

這篇文章,我整理了多個知名的「 WordPress 安全外掛 」,方便你做挑選。


安全性外掛,挑選重點有哪些?

每種 WordPress 資安外掛的防護功能性,和主打的核心特色都不太一樣。

像是 WordFence、Sucuri 這兩款的網站防火牆 & 網站漏洞掃描能力,就是主要核心特色(當然還有其他防護功能),因為技術專業相對高很多,這也是很多人愛用的原因。

也有像是 All in One WP Security、iThemes Security,這兩款就用比較多種的評鑑面向,提醒站長哪些地方資安防護做的不足,有點多角度防護的概念,安裝次數同樣也很高。

下面我列舉幾個,常見的 WordPress 資安外掛,所提供的防護功能。

  • 網站防火牆(Web Application Firewall,簡稱 WAF)
  • 惡意軟體掃描(網站漏洞掃描)
  • 後台登錄防護
  • 即時流量監測
  • 非本人試圖登錄到後台,發送資安信件通知
  • 封鎖惡意流量 IP
  • 監視系統文件,是否有潛在風險的權限修改
  • 數據庫安全
  • 垃圾留言 / 垃圾連結阻擋

因為大多數資安外掛,不一定會同時擁有上面的所有功能,就算如此也不太可能都專精(就像雜貨店,每種東西可能都買得到,但不一定是你喜歡的品質)。

所以呢,在下面的「 WordPress安全外掛 」推薦,我也會特別指出這些外掛比較優勢的地方,方便你做選擇。

好囉,那我們開始吧:)


1. WordFence

WordFence 專業的資安+防毒外掛
WordFence 專業的資安+防毒外掛

WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,幫助站長抵擋外來的惡意攻擊。更多完整 WordFence 資安教學

你也可以搭配 WordFence 詳細影片學習,方便更進入狀況。

網站防火牆(Web Application Firewall,簡稱 WAF)

WordFence 的網站防火牆是它的強項之一,這跟一般單純只提醒資安相關問題的外掛不同,因為能把網站防火牆完整處理好,並能防範最新攻擊,是需要強大的資安技術。

它們團隊花了大把時間在防火牆的更新維護上(看 WordFence 外掛內,有超多的防火牆規則就知道 ..),確保能幫 WordPress 站長,抵擋最新的惡意攻擊&惡意流量。

而 WordFence 採用的是端點防火牆,等於說它在你的網站統一把關,確保不會有任何駭客繞過防護,杜絕所有的漏洞。

惡意軟體掃描(網站漏洞掃描)

WordFence 提供全站掃描機制,能幫你找出可能潛在資安漏洞,不論是網站上現有的主題或網站外掛(惡意軟體掃描)。

或是站長可能過去有安裝一些主題或外掛,但是已經刪除不用了,但舊檔案還是存留在網站中,這些都可能成為潛在的風險。

WordFence 會幫你進行全盤的檢查(可自行選擇掃描程度,有點類似防毒軟體),對有問題的檔案進行警告,並提供相關處理的方法。

如果 WordPress 核心程式(就是直接從 WordPress.org 下載的那包檔案)有被進行變更,WordFence 同樣也會提醒你注意。

還有訪客相關的留言、評論等,是否有可疑的留言或連結,也會同步警告。

後台登錄防護

WordFence 有提供兩階段的身份認證(2FA),站長可用像是 Google Authenticator 進行第二步驟認證,強化網站安全性。

登錄頁面也提供 Google reCAPTCHA 整合,能幫助站長阻止殭屍程序登錄。

WordFence 也對試圖暴力登錄進行 IP 封鎖,還有站長可設定嘗試登入幾次失敗,則進行動作封鎖,讓有意人士無法操作。

至於改變 WordPress 登入路徑,也是簡單實用的安全性提升方法,更多 WPS Hide Login 教學

多種資安控管功能

  • 即時流量監控:這是 WordFence 用來幫你統計網站上目前的流量狀況,像是用戶登錄、惡意訪問來源、被封鎖的使用者等 ..,讓你進一步了解目前網站狀況。
  • 用戶 IP 封鎖器:設定想阻擋的惡意 IP,讓他無法再訪問你的網站。
  • 還有多種設定:完整的資安功能設定,站長可依照需求調整。

如果你有預算考量,WordFence 會是你的最佳選擇,因為它的免費版就十分強大。

特色:端點網站防火牆、網站弱點掃描+處理、即時流量監測 ..。

費用:免費版就很強大,但進階版提供更即時的 IP 黑名單更新、即時防火牆規則、即時惡意軟體簽名,進階版費用 $99 美元 / 年。


2. All in One WP Security

WordPress安全外掛 :All in One WP Security
WordPress安全外掛 :All in One WP Security

All in One WP Security 是由多位資安專家共同開發完成,它提供有趣的安全性評分系統,依據站長啟用的資安功能多寡,衡量網站的安全性程度(有種寓教於樂的感覺)。

多合一的資安功能是這款外掛的最大特點,除了防護功能全面而且也夠深入,不同於其他的多功能資安外掛。

WordPress安全外掛 :All in One WP Security 安全性分數評鑑
WordPress安全外掛 :All in One WP Security 安全性分數評鑑

All in One WP Security 的資安防護,像是用戶帳號安全、用戶登錄安全、用戶註冊安全、數據庫安全、文件系統安全、黑名單功能、網站防火牆功能、暴力登錄功能預防等 ..。

整體資安功能性非常豐富,也算是針對 WordPress 網站,進行了多角度的防護處理。

至於網站防火牆功能,All in One WP Security 表現也很不錯,但專業度還是不像 WordFence 這麼高(因為兩款的設計方向不太一樣)。

如果用綜合防護的角度,來評鑑 All in One WP Security 這款外掛,它的資安功能很完整,而且免費版就有大多數核心功能,是一款值得使用的資安外掛。

特色:安全性評分設計(新手容易上手)、多合一防護的資安外掛、基本網站防火牆。


3. Sucuri

WordPress安全外掛 :Sucuri 資安外掛
WordPress安全外掛 :Sucuri 資安外掛

Sucuri 是一款專業的資安軟體,強大且即時更新的防火牆規則,還有深層的惡意軟體掃描(網站弱點掃描),是它的最大特色。

Sucuri 是採用雲端防火牆,這和 WordFence 的端點防火牆不同(兩派有各自擁護者)。

雲端防火牆的特色是,能夠在任何惡意流量進入到你的主機之前,就被 Sucuri 過濾且清除掉,這代表惡意流量不會消耗你主機的任何資源(換另一個角度來說,就是幫你節省主機費用)。

值得開心的是,Sucuri 有提供 CDN 內容讀取服務,除了幫你抵擋惡意流量,還幫助你的網站速度提升。因為 Sucuri 全球有多個伺服器地點,以亞洲來說有新加坡、日本,可供網站內容讀取。

除此之外,還有暴力攻擊防護、封鎖惡意流量 IP、即時流量監測(Sucuri 雲端自動處理)、資安信件通知等 ..,多種網站防護功能。

雖然 Sucuri 有提供免費版方案,但最核心的功能並不在此內(包括雲防火牆),所以如果有興趣的站長,會建議使用進階版,才能完全解鎖它的強大能力。

最重要的是,使用 Sucuri 進階版的用戶,如果你的網站有受到惡意軟體攻擊,或是任何已經造成網站影響的資安漏洞,Sucuri 都會幫你免費修復(這是服務項目之一)。

特色:雲端防火牆、惡意軟體掃描、CDN 快取服務、無限次數的專人清理服務。

費用:$199.9 美元 / 年。


4. iThemes Security

WordPress安全性外掛 :iThemes Security 安全性外掛
iThemes Security 安全性外掛

iThemes Security 是 iThemes 公司旗下的一款 WordPress 資安軟體,iThemes 公司還有 BackupBuddy 網站備份外掛、Restrict Content Pro 會員解決方案,都是知名的外掛。

iThemes Security 站長提供了 30 多種資安保護方法,像是暴力破解防護、最大嘗試登入錯誤設定、強制 SSL 連線、密碼安全性要求、禁止訪問黑名單設置、網站資安信件通知等 ..。

iThemes Security 操作介面一覽
iThemes Security 操作介面一覽

iThemes Security 的操作介面很好理解,就是每個資安功能放在各自的區塊,點擊進入可編輯細項。

這算是一款綜合型的防護外掛,但可惜的是 iThemes Security 沒有網站防火牆功能,至於惡意軟體掃描功能,則是進階版才有的(而且使用的是 Sucuri 的 Sitecheck 掃描軟體)。

簡單來說,iThemes Security 雖提供多方面資安檢測,但對於惡意攻擊防護的深度,感覺並不是這麼足夠,尤其是沒有網站防火牆功能。

特色:多項網站資安檢測、易上手的操作介面。

缺點:沒有網站防火牆、惡意軟體掃描是付費版功能。


5. WP Cerber Security

WordPress安全外掛 :wp cerber security
WordPress安全外掛 :wp cerber security

WP Cerber Security 保護站長免除駭客攻擊、垃圾郵件騷擾、木馬&惡意軟體的危害,同樣是一款專業的 WordPress 安全性外掛。

順便跟大家分享冷知識,Cerber 是什麼意思呢?Cerber 源自名稱 Cerberus。

在希臘和羅馬神話中,Cerberus 是隻多頭狗,有一條蛇的尾巴,一條蛇的鬃毛和一隻獅子的爪子,沒有人可以繞開這隻憤怒的狗。

WP Cerber Security 提供多種資安防護,像是暴力攻擊防護、惡意流量阻擋、允許自定義登錄 URL、反垃圾郵件、安全掃描程序、阻止對 XML-RPC、基礎 DDoS 攻擊防護 ..

它把主要功能都區分為個別分頁,操作起來也很好上手。

WP Cerber Security 操作介面
WP Cerber Security 操作介面

曾經有使用過 WP Cerber Security 一陣子,整體該有的功能都具備,偵測惡意流量也很犀利。

唯一可惜的地方,是它的惡意軟體掃描功能,雖然它有把認為危險的檔案查出來,但卻沒有像 WordFence 那樣,有完整的後續解決方案,會讓人不知道該如何走下一步。

這款資安外掛,整理來說還算不錯,也算是值得使用的一款,但如果開發者能優化一下這個問題,那會變得更棒!

特色:多面向的資安功能、易上手的操作介面、用戶授權分級。

缺點:惡意軟體掃描功能,後續的解決方案可再優化。

6. JetPack

wordpress jetpack 外掛
wordpress jetpack 外掛

JetPack 是一款熱門的綜合型外掛,是由 WordPress.com 所開發的,軟體品質不需懷疑。更多 WordPress.com vs org 差別

它算是三位一體的外掛,主要提供網站安全 / 速度 / 流量,相關優化服務。

免費版有多種功能,單從資安相關功能來看,像是暴力密碼破解防護、停機時間監控、過濾惡意留言等 ..,給許多新手站長最基礎的網站保護。

WordPress安全性外掛 :JetPack 安全性介面一覽
JetPack 安全性介面一覽

因為 JetPack 是 網站架設 完成後,WordPress 預先會推薦安裝的一款外掛,通常新手站長都會配置一個,這是良好的選擇。

如果覺得免費版資安功能太少,JetPack 進階版有每日自動備份(異地)、一鍵自動還原網站、網站漏洞掃描、留言或表單防護等 .. 可使用。

但通常來說,隨著網站規模成長,站長對於資安的防護要求會更高,我們會建議使用 Sucuri、WordFence 這類更專精的資安軟體,來抵擋潛在的危險。

特色:WordPress.com 開發、整合自動備份功能、新手站長基礎資安防護的好選擇。

費用:每日安全方案,約 $ 368 台幣 / 月(年付款)。



7. BulletProof Security

WordPress安全性外掛 :BulletProof Security
WordPress安全性外掛 :BulletProof Security

BulletProof Security 也是 WordPress 評價滿不錯的一款資安外掛,有免費和付費版本。

這款資安外掛功能性十足,對於一些高級開發人員,這類型的外掛比較能滿足需求,但對於一般用戶來說,它的操作介面不是很友善(目前不太推薦新手使用)。

BulletProof 免費版提供,登錄安全性&監視、MScan 惡意軟體掃描、反垃圾郵件、數據庫備份協助等 ..。

至於進階版方案有許多高級功能,像是入侵檢測(BPS Pro ARQ)、加密防護系統(ARQ IDPS)等 ..,都是內部獨特的專業開發。

這款資安外掛的守備範圍很優質,但唯獨使用者介面不太友善,是目前較大的缺點。

特色:適合想自行設置的高級開發人員。


綜合比較,哪款比較適合我?

這邊分享了多個優質的 WordPress 資安外掛,先謝謝這些開發者為全球的 WordPress 站長,提供了這麼強大的網站盾牌。

當然,每次分享多種外掛不外乎就是要做個總結,方便大家做挑選。

下面我會用自己的觀點來看,你可以當作參考,因為最主要還是以你本身的需求為主。

新手入門,但有預算考量的最佳首選

新手入門,如果有預算上的考量,但又希望有一款外掛能抵擋外來的攻擊,會建議使用 WordFence。

因為 WordFence 免費版功能就非常完整,像是網站防火牆、惡意軟體掃描、即時流量監測、登入安全性防守等 ..,幾乎都能免費使用,是非常佛心的資安外掛。詳細 WordFence 使用教學

唯一需留意的,因為 WordFence 是採用端點防火牆,雖然有強大的網站防守,但相對會比較吃主機資源(因為是用自己的主機分析流量,跟雲防火牆性質不同)。

如果你發現使用 WordFence,卻發現網站速度變慢,那可用 All in One WP Security 進行替代。

All in One WP Security 是我的免費版資安外掛的第二首選,多合一的資安防護,該有的也都具備。

適合各階段站長,預算稍微足夠的

至於有些預算的站長,不論是新手或是中老手,使用 WordFence 進階版或是 Sucuri 都是可以的。

WordFence 整體設定流程會比較好上手(大多數都先設定好了),而 Sucuri 有部分流程需進行 DNS 指向設定(這可能會讓網站短暫停機)。

加上國外有部分網評討論,Sucuri 的專人資安服務比較不即時(也有可能是剛剛好?),所以這也是我沒使用它滿重要的一點。

畢竟,當網站真的出事情了,這個時間是分秒必爭的,不容許等待的。

好囉,如果要使用付費版,會優先推薦 WordFence 進階版(當然一切還是以自己的需求為主)。

想更全盤了解,自己網站資安狀況的人

All in One WP Security、iThemes Security 這兩款外掛,用不同的資安角度,協助站長檢視網站資安事項。

尤其是 All in One WP Security 多合一資安外掛,搭配有趣的安全性分數評鑑,除了讓站長能更充分了解自己網站,且用簡單勾選的方式就能升級資安,是頗有趣的設計。

好囉,希望以上的簡單歸類有幫助到大家挑選到心中所愛的 WordPress 資安外掛,我們下篇文章再見啦:)


常見問題

WordPress 資安外掛有很多,請問有最推薦的嗎?

WordFence 是我最推薦的,因為免費版功能就非常強大。但如果你的主機負擔不了,可改使用 All in One WP Security,這同樣是一款很棒的資安外掛。

WordFence 最主要的優勢是什麼?

強大的網站防火牆、深度漏洞掃描、即時流量監測等 ..,都是很強大的功能。

All in One WP Security 最主要的優勢是什麼?

多面向的資安防護功能、網站資安評分設計、新手易上手的設計 ..。

我的虛擬主機是使用 Cloudways,預設有幫我裝 Bot Protection 這款外掛,請問安裝新的資安外掛,這個還有需要保留嗎?

可以直接刪掉,因為 Bot Protection 背後的運作基礎是 Malcare(另一款 WordPress 資安外掛)。更多 Cloudways 主機教學

一個網站會建議裝一個優質的資安外掛即可。

端點防火牆和雲端防火牆,哪個比較好?

這答案沒有絕對,只有都有各自的優缺點。

兩者相比,端點防火牆的好處是確保不會有任何攻擊能繞過防火牆,缺點是稍微吃主機效能一點。

雲端防火牆的好處是,統一交給雲服務公司處理就好(包含資源也不會用到自己的),但有一些人會擔心駭客是否會繞過雲防火牆,直接攻擊網站(所以需選擇優質的資安公司,避免此問題)。


WordPress 學習資源

學習 WordPress 網站架設流程中,或許會遇到一些解決不了問題,你可以在下方留言給我,我會盡力協助解答。

或是給我一些鼓勵也可以,讓我更有動力提供學習資源給大家,我會非常感謝:)

我最近也開啟了 YouTube 頻道,裡面有些影片教學,你也能配上 Blog 一起學習,應該會來的更加順手(歡迎訂閱我+開啟小鈴鐺,可收到第一手影片教學通知)。

當然,如果怕問題描述不清楚,也可以加入 WordPress 教學時光屋 – 犬哥網站 ,我同步也會在社團中幫忙解惑。

希望這些對你有所幫助,祝架站順利啦。

犬哥網站:wordpress教學社團

2 thoughts on “WordPress安全外掛 :7 個資安防護推薦(完整比較)”

  1. 您好,這篇文章獲益良多!
    想詢問Sucuri和Wordfence,是否下載後就能對現有網站進行惡意軟體掃描?
    因為網站目前有會隨機跳轉垃圾網頁的問題,在考慮使用您所介紹的「有惡意軟體偵測功能的防火牆外掛」,或使用掃毒外掛例如「malcare」(https://www.malcare.com/pricing/)。
    不好意思打擾了,謝謝您!

    1. 嗨~Alice:

      Sucuri 和 WordFence 下載後,需進行基本設定,才能讓它們開始幫你的網站工作,但惡意掃描功能是這兩個軟體都有的。

      直接使用 Malcare 也可以,可以掃看看,看能否把你的問題處理掉。

      如果都沒辦法的話,會建議使用 Sucuri 或是 WordFence 的進階版,他們都有提供專人資安服務,會幫你處理問題。

      Sucuri 是確定有包含在收費內,WordFence 我不確定可能需了解一下。

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

回到頂端