這篇文章,會與大家分享知名的「 WordPress安全外掛(或稱資安外掛)」,幫助站長抵擋外來的網站攻擊,或修復網站現有的資安漏洞。
WordPress 核心軟體(程式碼),本身就經過嚴謹的程式設計,站長可完全放心使用。
但 製作網站 時,站長為了實現某種特定功能,可能會不小心安裝不太知名 or 不安全的外掛(或是主題),等外掛漏洞被攻破後,導致網站被影響,出現釣魚中毒的視窗等 ..,都是很常看到的事件。
就算刪除出問題的外掛,但大多數外掛不會完整移除相關檔案和資料庫數據,所以網站還是藏有潛在的資安漏洞,這會導致訪客的資料安全疏漏,以及網站 SEO 排名下降等 .. 問題。
除了惡意軟體的攻擊,還有許多攻擊網站的手法,像是:DDoS 流量攻擊、SQL 資料庫注入攻擊、Cookie 連線竊取、XSS 跨站指令碼攻擊等 ..。
額外小知識:
4% 網站流量是惡意的、全球每天約 370w 個網站被攻擊、125% DDoS 攻擊逐年增加 ..(來源:Sucuri)。
有很多網站攻擊手法,如果要詳細說明,這篇文章應該也都說不完,但結論就是,防範這些網站攻擊的最佳解法,就是使用 網站備份+安全外掛。
這篇文章,我整理了多個知名的「 WordPress 安全外掛 」,方便站長們做挑選。
- 安全性外掛,挑選重點有哪些?
- 1. WordFence
- 2. iThemes Security
- 3. Sucuri
- 4. All in One WP Security
- 5. WP Cerber Security
- 6. JetPack
- 7. BulletProof Security
- 綜合比較,哪款比較適合我?
- 常見問題
- WordPress 學習資源
安全性外掛,挑選重點有哪些?
每種 WordPress 資安外掛的防護功能性,和主打的核心特色都不太一樣。
像是 WordFence、Sucuri 這兩款的網站防火牆 & 網站漏洞掃描能力,就是主要核心特色(當然還有其他防護功能),因為技術專業相對高很多,這也是很多人愛用的原因。
也有像是 All in One WP Security、iThemes Security,這兩款就用比較多種的評鑑面向,提醒站長哪些地方資安防護做的不足,有點多角度防護的概念,安裝次數同樣也很高。
下面我列舉幾個,常見的 WordPress 資安外掛,所提供的防護功能。
- 網站防火牆(Web Application Firewall,簡稱 WAF)
- 惡意軟體掃描(網站漏洞掃描)
- 後台登錄防護
- 即時流量監測
- 非本人試圖登錄到後台,發送資安信件通知
- 封鎖惡意流量 IP
- 監視系統文件,是否有潛在風險的權限修改
- 數據庫安全
- 垃圾留言 / 垃圾連結阻擋
因為大多數資安外掛,不一定會同時擁有上面的所有功能,就算如此也不太可能都專精(就像雜貨店,每種東西可能都買得到,但不一定是你喜歡的品質)。
所以呢,在下面的「 WordPress安全外掛 」推薦,我也會特別指出這些外掛比較優勢的地方,方便你做選擇。
好囉,那我們開始吧:)
1. WordFence
WordFence Security 是一款 WordPress 非常熱門的安全性外掛(高達 400w 次下載),提供多種網站資安防護,幫助站長抵擋外來的惡意攻擊。更多完整 WordFence 資安教學。
網站防火牆(Web Application Firewall,簡稱 WAF)
WordFence 的網站防火牆是它的強項之一,這跟一般單純只提醒資安相關問題的外掛不同,因為能把網站防火牆完整處理好,並能防範最新攻擊,是需要強大的資安技術。
它們團隊花了大把時間在防火牆的更新維護上(看 WordFence 外掛內,有超多的防火牆規則就知道 ..),確保能幫 WordPress 站長,抵擋最新的惡意攻擊&惡意流量。
而 WordFence 採用的是端點防火牆,等於說它在你的網站統一把關,確保不會有任何駭客繞過防護,杜絕所有的漏洞。
惡意軟體掃描(網站漏洞掃描)
WordFence 提供全站掃描機制,能幫你找出可能潛在資安漏洞,不論是網站上現有的主題或網站外掛(惡意軟體掃描)。
或是站長可能過去有安裝一些主題或外掛,但是已經刪除不用了,但舊檔案還是存留在網站中,這些都可能成為潛在的風險。
WordFence 會幫你進行全盤的檢查(可自行選擇掃描程度,有點類似防毒軟體),對有問題的檔案進行警告,並提供相關處理的方法。
如果 WordPress 核心程式(就是直接從 WordPress.org 下載的那包檔案)有被進行變更,WordFence 同樣也會提醒你注意。
還有訪客相關的留言、評論等,是否有可疑的留言或連結,也會同步警告。
後台登錄防護
WordFence 有提供兩階段的身份認證(2FA),站長可用像是 Google Authenticator 進行第二步驟認證,強化網站安全性。
登錄頁面也提供 Google reCAPTCHA 整合,能幫助站長阻止殭屍程序登錄。
WordFence 也對試圖暴力登錄進行 IP 封鎖,還有站長可設定嘗試登入幾次失敗,則進行動作封鎖,讓有意人士無法操作。
至於改變 WordPress 登入路徑,也是簡單實用的安全性提升方法,更多 WPS Hide Login 教學。
多種資安控管功能
- 即時流量監控:這是 WordFence 用來幫你統計網站上目前的流量狀況,像是用戶登錄、惡意訪問來源、被封鎖的使用者等 ..,讓你進一步了解目前網站狀況。
- 用戶 IP 封鎖器:設定想阻擋的惡意 IP,讓他無法再訪問你的網站。
- 還有多種設定:完整的資安功能設定,站長可依照需求調整。
如果你有預算考量,WordFence 會是你的最佳選擇,因為它的免費版就十分強大。
特色評論
WordFence 擁有端點網站防火牆、網站弱點掃描+處理、即時流量監測 ..。
免費版就很強大,但進階版提供更即時的 IP 黑名單更新、即時防火牆規則、即時惡意軟體簽名,進階版費用可至 官方網站 查詢。
2. iThemes Security
iThemes Security 是 iThemes 公司旗下的一款 WordPress 資安軟體,iThemes 公司還有 BackupBuddy 網站備份外掛、Restrict Content Pro 會員解決方案,都是知名的外掛。
iThemes Security 提供 6 種網站類型安全建議,應對不同網站類型,需要加強的安全功能都不同,像是:電商平台的交易安全級別,會大於部落格的安全級別。
選擇網站類型後,iThemes Security 就會幫助站長針對網站類型提供默認設置,相當方便(後續都可再自行調整)。
iThemes Security 的操作介面很好理解,就是每個資安功能放在各自的區塊,點擊進入可編輯細項。
提供 30 多種資安保護方法,像是:暴力破解防護、最大嘗試登入錯誤設定、強制 SSL 連線、密碼安全性要求、禁止訪問黑名單設置、網站資安信件通知等 ..。
在 WordPress 安全外掛中,具備完整且全面的資安保護功能。
它是一款綜合型的防護外掛,免費版即可享有許多優秀功能。
簡單來說,iThemes Security 提供多方面資安檢測,對於惡意攻擊防護的深度,以免費版來說還蠻足夠的,是 WordPress 站長一個不錯的選擇。
特色評論
免費版即可擁有多功能、多項網站資安檢測、易上手的操作介面。
進階版本則額外提供:設置導入和導出、WordPress 安全數據儀表板、WordPress 安全等級即時報告&更新等 .. 功能,更多功能和費用可前往 官方網站 參考唷:)
3. Sucuri
Sucuri 是一款專業的資安軟體,強大且即時更新的防火牆規則,還有深層的惡意軟體掃描(網站弱點掃描),是它的最大特色。
Sucuri 是採用雲端防火牆,這和 WordFence 的端點防火牆不同(兩派有各自擁護者)。
雲端防火牆的特色是,能夠在任何惡意流量進入到你的主機之前,就被 Sucuri 過濾且清除掉,這代表惡意流量不會消耗你主機的任何資源(換另一個角度來說,就是幫你節省主機費用)。
值得開心的是,Sucuri 有提供 CDN 內容讀取服務,除了幫你抵擋惡意流量,還幫助你的網站速度提升。因為 Sucuri 全球有多個伺服器地點,以亞洲來說有新加坡、日本,可供網站內容讀取。
除此之外,還有暴力攻擊防護、封鎖惡意流量 IP、即時流量監測(Sucuri 雲端自動處理)、資安信件通知等 ..,多種網站防護功能。
雖然 Sucuri 有提供 免費版方案,但最核心的功能並不在此內(包括雲防火牆),所以如果有興趣的站長,會建議使用進階版,才能完全解鎖它的強大能力。
最重要的是,使用 Sucuri 進階版的用戶,如果你的網站有受到惡意軟體攻擊,或是任何已經造成網站影響的資安漏洞,Sucuri 都會幫你免費修復(這是服務項目之一)。
特色評論
具備雲端防火牆、惡意軟體掃描、CDN 快取服務、無限次數的專人清理服務。
有 免費版本,但進階版本才可使用雲端防火牆功能,詳細功能差異&方案費用,可前往 官方網站 查詢。
4. All in One WP Security
All in One WP Security 是由多位資安專家共同開發完成,它提供有趣的安全性評分系統,依據站長啟用的資安功能多寡,衡量網站的安全性程度,適合新手使用。
多合一的資安功能是這款外掛的最大特點,防護功能全面,而且也夠深入,不同於其他的多功能資安外掛。
All in One WP Security 的資安防護,像是用戶帳號安全、用戶登錄安全、用戶註冊安全、數據庫安全、文件系統安全、黑名單功能、網站防火牆功能、暴力登錄功能預防等 ..。
整體資安功能性非常豐富,也算是針對 WordPress 網站,進行了多角度的防護處理。
至於網站防火牆功能,All in One WP Security 表現也很不錯,但專業度還是不像 WordFence 這麼高(因為兩款的設計方向不太一樣)。
如果用綜合防護的角度,來評鑑 All in One WP Security 這款外掛,它的資安功能很完整,而且免費版就有大多數核心功能,是一款值得使用的資安外掛。
特色評論
安全性評分設計(新手容易上手)、多合一防護的資安外掛、基本網站防火牆。
5. WP Cerber Security
WP Cerber Security 保護站長免除駭客攻擊、垃圾郵件騷擾、木馬&惡意軟體的危害,同樣是一款專業的 WordPress 安全性外掛。
順便跟大家分享冷知識,Cerber 是什麼意思呢?Cerber 源自名稱 Cerberus。
在希臘和羅馬神話中,Cerberus 是隻多頭狗,有一條蛇的尾巴,一條蛇的鬃毛和一隻獅子的爪子,沒有人可以繞開這隻憤怒的狗。
WP Cerber Security 提供多種資安防護,像是:暴力攻擊防護、惡意流量阻擋、允許自定義登錄 URL、反垃圾郵件、安全掃描程序、阻止對 XML-RPC、基礎 DDoS 攻擊防護等 .. 。
它把主要功能都區分為個別分頁,操作起來也很好上手。
曾經有使用過 WP Cerber Security 一陣子,整體該有的功能都具備,偵測惡意流量也很犀利。
唯一可惜的地方,是它的惡意軟體掃描功能,雖然它有把認為危險的檔案查出來,但卻沒有像 WordFence 那樣,有完整的後續解決方案,會讓人不知道該如何走下一步。
這款資安外掛,整理來說還算不錯,也算是值得使用的一款,但如果開發者能優化一下這個問題,那會變得更棒!
特色評論
擁有多面向的資安功能、易上手的操作介面、用戶授權分級,資安功能全面。
但惡意軟體掃描功能,沒有提供後續的解決方案,新手站長可能會不太清楚如何進行處理。
6. JetPack
Jetpack 是 WordPress 官方熱門的綜合版外掛,安裝數量高達上百萬,可以強化網站安全性、網站速度、網站功能、流量分析,算是一個必裝外掛。
細節功能有,自動備份網站、過濾垃圾訊息、停機時間監控、提升網站速度、使用延緩加入圖片、留言功能、相關文章、訂閱網站等 ..。
許多 WordPress 佈景主題會把 Jetpack 內置進去,因為 Jetpack 有免費解決方案,基本上能滿足一般網站需求。
Jetpack 免費版有多種功能,單從資安相關功能來看,像是暴力密碼破解防護、停機時間監控、過濾惡意留言等 ..,給許多新手站長最基礎的網站保護。
如果你經營網站一段時間,對網站備份、安全性防護 .. 有更大的需求,Jetpack 進階方案 或許是好選擇。
進階版有每日自動備份(異地)、一鍵自動還原網站、網站漏洞掃描、留言或表單防護等 .. 可使用。
你不用各別安裝不同外掛,只需一個 JetPack 就能打理好一切,且它是 WordPress 官方外掛,對 WordPress 網站有完美兼容。
特色評論
WordPress 網站開發、整合自動備份功能、新手站長基礎資安防護的好選擇。
7. BulletProof Security
BulletProof Security 也是 WordPress 評價滿不錯的一款資安外掛,有免費和付費版本。
這款資安外掛功能性十足,對於一些高級開發人員,這類型的外掛比較能滿足需求,但對於一般用戶來說,它的操作介面不是很友善(目前不太推薦新手使用)。
BulletProof 免費版提供,登錄安全性&監視、MScan 惡意軟體掃描、反垃圾郵件、數據庫備份協助等 ..。
至於進階版方案有許多高級功能,像是入侵檢測(BPS Pro ARQ)、加密防護系統(ARQ IDPS)等 ..,都是內部獨特的專業開發。
這款資安外掛的守備範圍很優質,但唯獨使用者介面不太友善,是目前較大的缺點。
特色評論
適合想自行設置的高級開發人員。
綜合比較,哪款比較適合我?
這邊分享了多個優質的 WordPress 資安外掛,先謝謝這些開發者為全球的 WordPress 站長,提供了這麼強大的網站盾牌。
當然,每次分享多種外掛不外乎就是要做個總結,方便大家做挑選。
下面我會用自己的觀點來看,你可以當作參考,因為最主要還是以你本身的需求為主。
新手入門,但有預算考量的最佳首選
新手入門,如果有預算上的考量,但又希望有一款外掛能抵擋外來的攻擊,會建議使用 WordFence。
因為 WordFence 免費版功能就非常完整,像是網站防火牆、惡意軟體掃描、即時流量監測、登入安全性防守等 ..,幾乎都能免費使用,是非常佛心的資安外掛。更多 WordFence 使用教學。
唯一需留意的,因為 WordFence 是採用端點防火牆,雖然有強大的網站防守,但相對會比較吃主機資源(因為是用自己的主機分析流量,跟雲防火牆性質不同)。
如果你發現使用 WordFence,卻發現網站速度變慢,那可用 iThemes Security 或 All in One WP Security 進行替代。
iThemes Security 和 All in One WP Security 都是多合一的資安防護,該有的功能也都具備,且都有免費版本,很適合新手站長選擇使用。
適合各階段站長,預算稍微足夠的
至於有些預算的站長,不論是新手或是中老手,使用 WordFence 進階版或是 Sucuri 都是可以的。
WordFence 整體設定流程會比較好上手(大多數都先設定好了),而 Sucuri 有部分流程需進行 DNS 指向設定(這可能會讓網站短暫停機)。
加上國外有部分網評討論,Sucuri 的專人資安服務比較不即時(也有可能是剛剛好?),所以這也是我沒使用它滿重要的一點。
畢竟,當網站真的出事情了,這個時間是分秒必爭的,不容許等待的。
如果要使用付費版,會優先推薦 WordFence 進階版(當然一切還是以自己的需求為主)。
想更全盤了解,自己網站資安狀況的人
All in One WP Security、iThemes Security 這兩款外掛,都可用不同的資安角度,協助站長檢視網站資安事項。
iThemes Security 提供多種網站安全建議、安全數計分析面板,並且分區塊設置功能,介面好用也好上手。
All in One WP Security 搭配有趣的安全性分數評鑑,除了讓站長能更充分了解自己網站,且用簡單勾選的方式就能升級資安,是頗有趣的設計。
好囉,希望以上的簡單歸類有幫助到大家挑選到心中所愛的 WordPress 資安外掛,我們下篇文章再見啦:)
常見問題
WordPress 資安外掛有很多,請問有最推薦的嗎?
WordFence 是我最推薦的,因為免費版功能就非常強大。更多 WordFence 使用教學。
但如果你的主機負擔不了,可改使用 iThemes Security、All in One WP Security,這兩款同樣都是很棒的資安外掛。
為何推薦 WordFence、iThemes Security、All in One WP Security?
WordFence 擁有強大的網站防火牆、深度漏洞掃描、即時流量監測等 ..,都是很強大的功能。
iThemes Security 免費版本擁有多達 30 種功能,且面板簡單好操作,同時具有安全數據評分,以及依照網站類型,設置不同的安全建議。
All in One WP Security 也同樣具備多面向的資安防護功能、網站資安評分設計、新手易上手的設計 ..。
我的虛擬主機使用 Cloudways,預設有幫我裝 Bot Protection 這款外掛,請問安裝新的資安外掛,這個還有需要保留嗎?
兩者可以擇一刪掉,因為 Bot Protection 背後的運作基礎是 Malcare(另一款 WordPress 資安外掛)。更多 Cloudways 主機教學。
一個網站會建議裝一個優質的資安外掛即可。
端點防火牆和雲端防火牆,哪個比較好?
這答案沒有絕對,只有都有各自的優缺點。
兩者相比,端點防火牆的好處是確保不會有任何攻擊能繞過防火牆,缺點是稍微吃主機效能一點。
雲端防火牆的好處是,統一交給雲服務公司處理就好(包含資源也不會用到自己的),但有一些人會擔心駭客是否會繞過雲防火牆,直接攻擊網站(所以需選擇優質的資安公司,避免此問題)。
WordPress 學習資源
學習網站架設+網路行銷的過程中,或許會遇到一些解決不了問題,可以在下方留言給我,我會盡力協助解答!
接下來,額外分享 3 項實用資源,可有效幫助大家做學習。
資源一:WP 高手架站課(線上課程)
這門 WordPress 高手架站課 濃縮了犬哥多年在網頁設計的實戰經驗,從網頁設計觀念、WordPress / WooCommerce 後台操作、熱門主題.外掛教學、品牌網站 / 部落格 / 電商網站,3 大類型網站建置方法等 .. 豐富內容,一次教會你。
課程內容非常的紮實(長度超過 20 小時)。如果你剛學習自架網站,這門課程可以讓你用最快的速度,就學會這項技能!
點擊下面了解課程,立馬擁有自己的品牌網站,並增加網路曝光度!
資源二:SEO 排名飆升課(線上課程)
網站建立完畢後,但卻沒有流量怎麼辦?或是只能靠花錢投廣告才會有訂單?
這門 SEO 排名飆升課,教你掌握關鍵字策略、SEO 文章撰寫、多種實戰 SEO 技巧、透視對手 SEO 策略、SEO 必備軟體教學、最新 AI SEO 應用等 ..,大幅提升行銷能力。
點擊下面了解課程,帶你衝上 Google 排名第一頁,大量提升網站營收和訂單!
資源三:犬哥數位(專業 WordPress 網頁設計公司)
如果你沒時間自己架站、或是遇到解決不了的網站問題。歡迎洽詢 犬哥數位(WordPress 網頁設計公司),請專家製作會更有效率!
資源四:更多犬哥教學資源
如果你在操作過程中遇到問題,可以加入 犬哥研討社(目前有超過 9000+ 團員)。除了有網友一同幫你解惑外,犬哥團隊也會同步在社團幫助大家。
如果你想學更多網頁設計、數位行銷知識,可關注 YouTube 頻道,或是歡迎追蹤 犬哥網站 IG。
您好,這篇文章獲益良多!
想詢問Sucuri和Wordfence,是否下載後就能對現有網站進行惡意軟體掃描?
因為網站目前有會隨機跳轉垃圾網頁的問題,在考慮使用您所介紹的「有惡意軟體偵測功能的防火牆外掛」,或使用掃毒外掛例如「malcare」(https://www.malcare.com/pricing/)。
不好意思打擾了,謝謝您!
嗨~Alice:
Sucuri 和 WordFence 下載後,需進行基本設定,才能讓它們開始幫你的網站工作,但惡意掃描功能是這兩個軟體都有的。
直接使用 Malcare 也可以,可以掃看看,看能否把你的問題處理掉。
如果都沒辦法的話,會建議使用 Sucuri 或是 WordFence 的進階版,他們都有提供專人資安服務,會幫你處理問題。
Sucuri 是確定有包含在收費內,WordFence 我不確定可能需了解一下。
犬哥您好~ 一直都有追蹤閱讀您分享的內容,很受用!
看完這篇文章,想依照您的推薦使用 WordFence,但您提到主機可能負擔不了,想請教要如何評估主機是否能負擔呢?
我的主機是 CLoudways 的 Linode 2G 方案,請問這樣推薦使用 WordFence 嗎? 感謝您!
嗨,麥基,
Cloudways 是 VPS 主機,是三款類型主機中,速度表現優良的類型,詳細差異可參考 常見主機類型 文章,
所以你應該可以較不用擔心無法順利運行的問題唷:)
太謝謝您了犬哥! 這樣我就放心囉!
那我接下來會依照您文章的說明,改使用 WordFence 看看~
再次感謝您的熱心協助!
不用客氣唷!