提高WordPress安全防護並避免後台被暴力破解的外掛：All In One WP Security & Firewall

前言：

根據 w3techs 2020年最新的統計，在全世界使用 CMS 架設的網站中，WordPress 擁有高達 37.2% 的比例，也就是全世界有超過3成的人都在使用Wrodpress。但是Wordpress的預設後台登入網址都是一樣的：https://你的網址/wp-admin，也就是說駭客或是機器人能輕易找到你後台網址，並且用暴力破解攻擊你的網站。老P提供Wordpress安全防範的外掛並圖解教學。

如何防範：安裝 All In One WP Security & Firewall 外掛

如何提高網站安全：

下載並啟動All In One WP Security & Firewall

首先將外掛All In One WP Security & Firewall “下載”並”啟用”後，外掛位置將在下圖紅框處，請先點選”Dashboard”，將會顯示目前網站的安全性，沒意外的話網站安全度是很低的。

將Critical Feature Status狀態全部切成ON

Admin Username：

• WP Username ：預設情況下，WordPress 會將管理員登入帳號設置為 “admin” 。所以駭客或機器人會使用”admin”這個帳號來猜密碼，所以你可以更改帳號名稱。
•  Display Name ：WordPress 預設暱稱是帳號，也容易讓駭客猜密碼。
•  Password ：密碼設得太簡單，駭客很容易用暴力破解的方式猜到密碼，所以將密碼變更為複雜度高。例如：密碼同時包含英文字母大小寫、數字、符號，這樣就不容易破解。All In One WP Security 提供小工具，檢測密碼強度。

Login Lockdown

• 在User Login的Login Lockdown中，啟動Enable login lockdown feature(紅框處)，記得在最下方按下Save setting。這是當網站被暴力攻擊時，系統會限制次數與鎖住對方IP。

File Permissions：

• Filesystem Security的File Permissions頁面，將所有文件的Recommended Action修正為綠色(紅框處)

Basic Firewall：

Firewall的Basic Firewall Rules頁面，啟動Enable Basic Firewall Protection(紅框處)，記得在最下方按下Save setting，它會啟動下列功能。

• 通過拒絕對htaccess文件的訪問來保護它。
• 禁用服務器簽名。限製文件上傳大小（10MB）。
• 通過拒絕對wp-config.php文件的訪問來保護它。

將上述這幾項基本防護功能啟動，會提高您的網站安全，如果想要在提高安全等級，請自行研究其他細部設定。

接下來老P提供修改後台登入網址/wp-admin、避免商品內容被copy、以及防止整個商品文章被框在對方的網站裡。

修改後台登入網址/wp-admin：

選擇”Brute Force“，在Rename Login Page頁面中，啟動　Enable Rename Login Page Feature(紅框處)，並修正自己的後台登入網址，記得在最下方按下Save setting。

禁止文章內容被複製：

選擇”Miscellaneous“，在Copy protection頁面中，啟動 Enable Copy Protection(紅框處)，記得在最下方按下Save setting。

防止整個商品文章被框在對方的網站：

有時候對方連copy商品文章都懶惰，直接把你的文章框在自己的網站裡，當你更新內容時對方的網站也同步更新，這時候開啟下列功能防止。

選擇”Miscellaneous“，在Frams頁面中，啟動 Enable iFrame Protection(紅框處)，記得在最下方按下Save setting。

結論：

All In One WP Security & Firewall是款好用且安全的APP，它能圖示化顯示目前您的網站安全度，並簡單、直觀的選擇您藥的安全防護選項。

上述的圖解教學是可提高您網站基本防護，和其他不設防的網站相比是安全許多。如果您生意做得很大常被駭客攻擊，建議你針對自己需求，勾選細部選項提高網站防護。

相關文章：

• 解決臉書因違反社群守則而封鎖網址的方法
• 3個步驟解決sitemap.xml被Google Search console標記錯誤
• 老P說故事