WordPress安全外掛 :7 個資安防護推薦(完整比較)

WordPress安全外掛 :7 個資安防護推薦(完整比較)

這篇文章,會與大家分享知名的「 WordPress安全外掛(或稱資安外掛)」,幫助站長抵擋外來的網站攻擊,或修復網站現有的資安漏洞。

WordPress 核心軟體(程式碼),本身就經過嚴謹的程式設計,站長可完全放心使用。

製作網站 時,站長通常為了實現某種特定功能,安裝了許多不是很知名 or 不安全的外掛(或是主題),等外掛漏洞被攻破後,導致網站整個被影響,出現類似釣魚中毒的視窗等 ..,都是很常看到的事件。

就算事後刪除了出問題的外掛,但絕大多數外掛並不會完整移除相關檔案(還有資料庫數據),所以潛在的資安漏洞,其實還是持續著 ..。

剛就只有單從惡意軟體方面的探討,但有關攻擊網站手法是非常多種的,像是 DDoS 流量攻擊、SQL 資料庫注入攻擊、Cookie 連線竊取、XSS 跨站指令碼攻擊等 ..。

額外小知識:

4% 網站流量是惡意的、全球每天約 370w 個網站被攻擊、125% DDoS 攻擊逐年增加 ..(數據來自 Sucuri)。

其實太多攻擊手法了,如果要詳細說明,這篇文章應該也都說不完,之後再寫一篇文章,跟大家分享常見的網路攻擊手法。但無論如何,持續進行 網站備份,是最重要的事。

好囉,回到這篇文章主題,看完剛剛的攻擊手法介紹,應該知道 WordPress 要搭配一個完整且強大的資安外掛,是非常重要的吧。

這篇文章,我整理了多個知名的「 WordPress 安全外掛 」,方便你做挑選。


安全性外掛,挑選重點有哪些?

每種 WordPress 資安外掛的防護功能性,和主打的核心特色都不太一樣。

像是 Sucuri、WordFence 這兩款的網站防火牆 & 網站漏洞掃描能力,就是主要核心特色(當然還有其他防護功能),因為技術專業相對高很多,這也是為什麼這麼多人愛用的原因。

另外也有像是 All in One WP Security、iThemes Security,這兩款就用比較多種的評鑑面向,提醒站長哪些地方資安防護做的不足,有點像是多角度處理的概念。

下面我列舉幾個,常見的 WordPress 資安外掛,所提供的防護功能。

  • 網站防火牆(Web Application Firewall,簡稱 WAF)
  • 惡意軟體掃描(網站漏洞掃描)
  • 後台登錄防護
  • 即時流量監測
  • 非本人試圖登錄到後台,發送資安信件通知
  • 封鎖惡意流量 IP
  • 監視系統文件,是否有潛在風險的權限修改
  • 數據庫安全
  • 垃圾留言 / 垃圾連結阻擋

因為大多數資安外掛,不一定會同時擁有上面的所有功能,就算如此也不太可能都專精(就像雜貨店,每種東西可能都買得到,但不一定是你喜歡的品質)。

所以呢,在下面的「 WordPress安全外掛 」推薦,我也會特別指出這些外掛比較優勢的地方,方便你做選擇。

好囉,那我們開始吧:)


1. Sucuri

WordPress安全外掛 :Sucuri 資安外掛
WordPress安全外掛 :Sucuri 資安外掛

Sucuri 是一款極度專業的資安軟體,在 WordPress 安全性外掛算是殿堂級的外掛,強大且即時更新的防火牆規則,還有深層的惡意軟體掃描(網站弱點掃描),是它的最大特色。

Sucuri 是採用雲端防火牆,這和 WordFence 的端點防火牆不同(兩派有各自擁護者)。

雲端防火牆的特色是,能夠在任何惡意流量進入到你的主機之前,就被 Sucuri 過濾且清除掉,這代表惡意流量不會消耗你主機的任何資源(換另一個角度來說,就是幫你節省主機費用)。

值得開心的是,Sucuri 有提供 CDN 內容讀取服務,除了幫你抵擋惡意流量,還幫助你的網站速度提升。因為 Sucuri 全球有多個伺服器地點,以亞洲來說有新加坡、日本,可供網站內容讀取。

除此之外,還有暴力攻擊防護、封鎖惡意流量 IP、即時流量監測(Sucuri 雲端自動處理)、資安信件通知等 ..,多種網站防護功能。

雖然 Sucuri 有提供免費版方案,但最核心的功能並不在此內(包括雲防火牆),所以如果有興趣的站長,會建議使用進階版,才能完全解鎖它的強大能力。

最重要的是,使用 Sucuri 進階版的用戶,如果你的網站有受到惡意軟體攻擊,或是任何已經造成網站影響的資安漏洞,Sucuri 都會幫你免費修復。

因為這是進階版的服務之一,等於說你聘請一群非常專業的資安團隊,24 小時待命服務,這是非常划算的投資。

主要特色:雲端防火牆、惡意軟體掃描、CDN 快取服務、無限次數的專人清理服務。

外掛費用:$199.9 美元 / 年。


2. WordFence

WordFence 專業的資安+防毒外掛
WordFence 專業的資安+防毒外掛

WordFence 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,幫助站長抵擋外來的惡意攻擊。可參考完整 WordFence 使用教學

網站防火牆是它的強項之一,這跟一般單純只提醒資安相關問題的外掛不同,因為能把網站防火牆完整處理好,並能防範最新攻擊,是需要強大的資安技術。

WordFence 安全性外掛,完整影片教學

WordFence Security 教學:強大 WordPress 安全性資安外掛(完整設定)

WordFence 採用的是端點防火牆,等於說它在你的網站統一把關,確保不會有任何駭客繞過防護,但唯一小缺點是會消耗站長的主機資源。

至於惡意軟體掃描(網站弱點掃描),也是 WordFence 的特色之一,除了能深度掃描,它有提供多種掃描級別,並針對掃描完成的檔案,教你如何進行修復。

除此之外,即時流量監控、惡意 IP 封鎖、兩階段身份認證(2FA)、Google reCAPTCHA 整合等 ..,都是 WordFence 提供的資安功能。

如果你有預算考量,WordFence 會是你的最佳選擇,因為它的免費版就十分強大。

特色:端點網站防火牆、網站深度掃描、即時流量監測。

費用:免費版就很強大,但進階版提供更即時的 IP 黑名單更新、即時防火牆規則、即時惡意軟體簽名,進階版費用 $99 美元 / 年。


3. All in One WP Security

WordPress安全外掛 :All in One WP Security
WordPress安全外掛 :All in One WP Security

All in One WP Security 是由多位資安專家共同開發完成,它提供有趣的安全性評分系統,依據站長啟用的資安功能多寡,衡量網站的安全性程度(有種寓教於樂的感覺)。

多合一的資安功能是這款外掛的最大特點,除了防護功能全面而且也夠深入,不同於其他的多功能資安外掛。

WordPress安全外掛 :All in One WP Security 安全性分數評鑑
WordPress安全外掛 :All in One WP Security 安全性分數評鑑

All in One WP Security 的資安防護,像是用戶帳號安全、用戶登錄安全、用戶註冊安全、數據庫安全、文件系統安全、黑名單功能、網站防火牆功能、暴力登錄功能預防等 ..。

至於網站防火牆功能,All in One WP Security 已經表現很好,但專業度還是不像 Sucuri、WordFence 這麼高。

如果用全觀的方式瀏覽 All in One WP Security,它提供的資安功能很完整,而且是免費使用,是一款值得使用的外掛。

特色:安全性評分系統、多合一的資安外掛。


4. iThemes Security

WordPress安全性外掛 :iThemes Security 安全性外掛
iThemes Security 安全性外掛

iThemes Security 是 iThemes 公司旗下的一款 WordPress 資安軟體,iThemes 公司還有 BackupBuddy 網站備份外掛、Restrict Content Pro 會員解決方案,都是知名的外掛。

iThemes Security 站長提供了 30 多種資安保護方法,像是暴力破解防護、最大嘗試登入錯誤設定、強制 SSL 連線、密碼安全性要求、禁止訪問黑名單設置、網站資安信件通知等 ..。

iThemes Security 操作介面一覽
iThemes Security 操作介面一覽

iThemes Security 的操作介面很好理解,就是每個資安功能放在各自的區塊,點擊進入可編輯細項。

這算是一款綜合型的防護外掛,但可惜的是 iThemes Security 沒有網站防火牆功能,至於惡意軟體掃描功能,則是進階版才有的(而且使用的是 Sucuri 的 Sitecheck 掃描軟體)。

簡單來說,iThemes Security 雖提供多方面資安檢測,但對於惡意攻擊防護的深度,感覺並不是這麼足夠,尤其是沒有網站防火牆功能。

特色:多項網站資安檢測、易上手的操作介面。


5. JetPack

wordpress jetpack 外掛
wordpress jetpack 外掛

JetPack 是一款熱門的綜合型外掛,是由 WordPress.com 所開發的,軟體品質不需懷疑。更多 WordPress.com vs org 差別

它算是三位一體的外掛,主要提供網站安全 / 速度 / 流量,相關優化服務。

免費版有多種功能,單從資安相關功能來看,像是暴力密碼破解防護、停機時間監控、過濾惡意留言等 ..,給許多新手站長最基礎的網站保護。

WordPress安全性外掛 :JetPack 安全性介面一覽
JetPack 安全性介面一覽

因為 JetPack 是 網站架設 完成後,WordPress 預先會推薦安裝的一款外掛,通常新手站長都會配置一個,這是良好的選擇。

如果覺得免費版資安功能太少,JetPack 進階版有每日自動備份(異地)、一鍵自動還原網站、網站漏洞掃描、留言或表單防護等 .. 可使用。

但通常來說,隨著網站規模成長,站長對於資安的防護要求會更高,我們會建議使用 Sucuri、WordFence 這類更專精的資安軟體,來抵擋潛在的危險。

特色:WordPress.com 開發、整合自動備份功能、新手站長基礎資安防護的好選擇。

費用:每日安全方案,約 $ 368 台幣 / 月(年付款)。


6. WP Cerber Security

WordPress安全外掛 :wp cerber security
WordPress安全外掛 :wp cerber security

WP Cerber Security 保護站長免除駭客攻擊、垃圾郵件騷擾、木馬&惡意軟體的危害,同樣是一款專業的 WordPress 安全性外掛。

順便跟大家分享冷知識,Cerber 是什麼意思呢?Cerber 源自名稱 Cerberus。

在希臘和羅馬神話中,Cerberus 是隻多頭狗,有一條蛇的尾巴,一條蛇的鬃毛和一隻獅子的爪子,沒有人可以繞開這隻憤怒的狗。

WP Cerber Security 提供多種資安防護,像是暴力攻擊防護、惡意流量阻擋、允許自定義登錄 URL、反垃圾郵件、安全掃描程序、阻止對 XML-RPC、基礎 DDoS 攻擊防護 ..

它把主要功能都區分為個別分頁,操作起來也很好上手。

WP Cerber Security 操作介面
WP Cerber Security 操作介面

我覺得這款防護外掛,有提供許多其他資安外掛沒有的功能,算是比較特別的地方,有種從另一個角度切入市場的感覺(像是阻止對 XML-RPC 的訪問、用戶權限授權等 ..)。

特色:多面向的資安功能、易上手的操作介面。


7. BulletProof Security

WordPress安全性外掛 :BulletProof Security
WordPress安全性外掛 :BulletProof Security

BulletProof Security 也是 WordPress 評價滿不錯的一款資安外掛,有免費和付費版本。

這款資安外掛功能性十足,對於一些高級開發人員,這類型的外掛比較能滿足需求,但對於一般用戶來說,它的操作介面不是很友善(目前不太推薦新手使用)。

BulletProof 免費版提供,登錄安全性&監視、MScan 惡意軟體掃描、反垃圾郵件、數據庫備份協助等 ..。

至於進階版方案有許多高級功能,像是入侵檢測(BPS Pro ARQ)、加密防護系統(ARQ IDPS)等 ..,都是內部獨特的專業開發。

這款資安外掛的守備範圍很優質,但唯獨使用者介面不太友善,是目前較大的缺點。

特色:適合想自行設置的高級開發人員。


綜合比較,哪款比較適合我?

這邊分享了多個優質的 WordPress 資安外掛,先謝謝這些開發者為全球的 WordPress 站長,提供了這麼強大的網站盾牌。

當然,每次分享多種外掛不外乎就是要做個總結,方便大家做挑選。

下面我會用自己的觀點來看,你可以當作參考,因為最主要還是以你本身的需求為主。

新手入門,但有預算考量的最佳首選

新手入門,如果有預算上的考量,但又希望有一款外掛能抵擋外來的攻擊,會建議使用 WordFence,因為免費版該有的都有了,已經算是非常完整。參考完整 WordFence 使用教學

但使用 WordFence 因為是採用端點防火牆,所以記得做有規範的操作,尤其是流量紀錄模式別全開,不然網站吃的資源過大,很有可能被你的主機商警告(特別是共享主機)。參考常見的主機類型

備註:如果你的主機扛不住 WordFence 使用的資源,那可用 All in One WP Security 進行替代,這款資安外掛一樣很棒。

適合各階段站長,預算稍微足夠的

至於有些預算的站長,不論是新手或是中老手,使用 Sucuri 都是很棒的選擇。

因為它採用的是雲端防火牆(且大部分都是使用 Sucuri 本身的系統資源),所以基本上不太會影響到你的網站效能,而且 Sucuri 的資安權威度,是在業界極為知名的。

Sucuri 的進階版服務,包含了網站資安漏洞修復,如果你的網站已經受到攻擊,Sucuri 都會幫你免費修復(無限次數)。

這等於是你買了一個全球知名的資安團隊,在幫你無時無刻堅守網站,是非常划算的投資。

想更全盤了解,自己網站資安狀況的人

All in One WP Security、iThemes Security 這兩款外掛,用更多角度協助站長檢視網站可優化的資安事項。

尤其是 All in One WP Security 多合一資安外掛,搭配有趣的安全性分數評鑑,除了讓站長能更充分了解自己網站,且用簡單勾選的方式就能升級資安,是頗有趣的設計。

好囉,希望以上的簡單歸類有幫助到大家挑選到心中所愛的 WordPress 資安外掛,我們下篇文章再見啦:)


常見問題

WordPress 資安外掛有很多,請問有最推薦的嗎?


Sucuri、WordFence 這兩款都是我最推薦的,因為都很棒,所以我選不出來。

Sucuri 最主要的優勢是什麼?


這邊是用進階版的觀點,像是強大的雲防火牆功能、遭受攻擊的網站,Sucuri 會幫你除毒修復(不需額外加價)等 ..

WordFence 最主要的優勢是什麼?


免費版的端點防火牆、網站深度漏洞掃描、即時流量監測等 ..,都是很強大的功能。

我的虛擬主機是使用 Cloudways,但預設有幫我裝 Bot Protection 這款外掛,請問安裝新的資安外掛,這個還有需要保留嗎?


可以直接刪掉,因為 Bot Protection 背後的運作基礎是 Malcare(另一款 WordPress 資安外掛)。更多 Cloudways 主機教學

一個網站會建議裝一個優質的資安外掛即可。

端點防火牆和雲端防火牆,哪個比較好?


這答案沒有絕對,只有都有各自的優缺點。

兩者相比,端點防火牆的好處是確保不會有任何攻擊能繞過防火牆,缺點是會耗費自身主機資源。

雲端防火牆的好處是,統一交給雲服務公司處理就好(包含資源也不會用到自己的),但有一些人會擔心駭客是否會繞過雲防火牆,直接攻擊網站。

其實預防這方法最好的方法是,直接選擇最棒的雲服務商,像是 Sucuri。


WordPress 學習資源

學習 WordPress 網站架設流程中,或許會遇到一些解決不了問題,你可以在下方留言給我,我會盡力協助解答。

或是給我一些鼓勵也可以,讓我更有動力提供學習資源給大家,我會非常感謝:)

我最近也開啟了 YouTube 頻道,裡面有些影片教學,你也能配上 Blog 一起學習,應該會來的更加順手(歡迎訂閱我+開啟小鈴鐺,可收到第一手影片教學通知)。

當然,如果怕問題描述不清楚,也可以加入 WordPress 教學時光屋 – 小犬網站 ,我同步也會在社團中幫忙解惑。

希望這些對你有所幫助,祝架站順利啦。

小犬網站:wordpress教學社團
小犬網站:wordpress教學社團

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top