之前整理了能用在寫作的相關外掛,當中也找出了些關於網站安全的外掛,還有很多不同於寫作層面的好外掛,只是全部放在一起會太亂又太長,思考後就將這些外掛們分門別類後,整理出一系列外掛參考系列文,之後若有適合的也會持續補充進來。
首篇就是來介紹防止陌生人登錄的網站外掛。網站的安全防護基本上有兩個面向,一個從外一個從內,從外的話就是登入這一區塊,登入就像城門,若是守備沒有做好,誤讓壞人進來,之後想再抓出問題就很麻煩了,問題要掐死在源頭上,這樣就能減少後續很多麻煩。
不過安全性外掛的安裝,並非安裝後就百分百安全,而是藉由安裝安全性外掛,來拉高他人攻擊自家網站的麻煩程度,畢竟柿子挑軟的吃,有其他安全兩光好駭的網站,除非有特別原因,不然駭客也沒必要一定要挑麻煩的攻擊,所以多做一些防護就能降低被攻擊的危險,是件非常划算的事情。
這邊同樣在感謝 Alex Lion 幫忙協助多款外掛完成本地化,讓我們在使用外掛時有優秀的繁體中文介面可以使用,且 Alex Lion 在本地化外掛時,外掛的品質都會協助篩選,也會測試能不能達到預期目標,因此我在介紹外掛時會以本地化完成的優先介紹,其次才是非本地化的,當然這些都會在文章內註明的。
隱藏登錄後台網址-WPS Hide Login
一般 WordPress 的登入,是把網址後面加上 wp-admin 字串就能進行登入,而 WPS Hide Login 這款外掛重點是在於把 wp-admin 去掉,讓管理員能選用其它字母取代,藉此隱藏網站正確登入網址,由於登入網址不再是 wp-admin 字串,這會讓駭客的麻煩程度大幅上升,藉此來防止暴力登入攻擊,增加網站的安全性。
Jetpak 也跟 WPS Hide Login 同樣有防止暴力登入的功能,若是已經安裝 Jetpak 的話,就不一定需要安裝此款外掛,但若沒有安裝 Jetpak,那麼就可以考慮安裝這款,好保護自家網站的安全,且此款有繁體中文介面可使用。
強制使用 IP 登陸-IP Based Login
如果你對於資安非常講究,那麼千萬不要錯過 IP Based Login 這款也有繁體中文介面的外掛,這款外掛是直接綁定 IP,不是指定 IP 就無法登入後台,雖然某些狀況下這種設定感覺會搞死自己,只是越麻煩的東西被駭的機率就越低,畢竟有簡單的可以駭又何必挑棘手的來處理。
兩階段登錄的驗證- Jetpack 、wo-Factor、Two Factor Authentication 跟 WP 2FA
Jetpak 雖然不少人嫌棄它過於龐大,功能太多,不過 Jetpak 提供的服務之中,其中一項是將後台登入強制轉向成使用 wordpress.com 的登入模式,將登入的把關機制交由 Automattic,大幅度拉高後台安全性,這項服務可以說是相關免費外掛中最強大的。
因此小聚時遇到好幾位工程師,也都是使用 Jetpak 來做安全登入,把被駭的風險轉嫁到 wordpress.com 身上,至於其它功能因為有更好的選擇,大多都選擇關好關滿,降低對主機的負擔。
然如果你真的不喜歡 Jetpak,覺得它太肥大,下面還有三款兩階段驗證登入的外掛可供使用,雖然兩階段有點麻煩,倘若被駭進來才是最麻煩的,為了安全還是可以考慮安裝。
全方面防火牆- Wordfence Security 跟 WP Shieldon
如果你想要更多元的保護,那麼就可以考慮直接安裝 Wordfence Security 跟 WP Shieldon 這兩款防火牆外掛。他們都有兩階段認證登陸設定,也能開啟 Google reCAPTCHA 來阻擋機器人暴力登陸自家網站,這些都能大幅降低駭客攻入網站的可能,覺得兩階段認證還不夠的話,那麼多添一道關卡也是個選擇。
Wordfence 除了在登錄上的保護外,免費版還提供了網頁應用程式防火牆、惡意軟體掃描的功能、多種資安控管設定,也能即時監控流量;若是使用到付費版,還能封鎖特定 IP 跟國家,病毒資訊即時更新等更多全方面的網站保護。雖然以它的保護非常周全,不過在設定上還是需要有一些基礎概念,不然再好的工具也發揮不了功效,且 Wordfence 也尚未有中文介面,因此對於新手來講,會需要一些時間去熟悉它。
且有兩點要注意,一是執行惡意軟體掃描時,會在自家主機上運行,若是主機規格不夠,可能會出現網站速度變慢的情形,也有可能因站距流量過大導致收到主機商的警告;二是掃描後會有檔案留下,這些檔案要定期去清除,不然長久累積下來也會佔據記憶體的容量。
若希望防火牆能有中文介面,那麼由台灣工程師 Terry Lin 開發的 WP Shieldon 就是一款很不錯的選擇。我當初發現 WP Shieldon 後,就果斷的放棄 Wordfence,雖說 WP Shieldon 在設定上也是需要一些基本概念,但至少熟悉的中文介面,讓人好摸索研究這設定的用意,且介面設定乾淨俐落,比起 Wordfence 簡單許多。
雖說 Wordfence 的功能更加強大,只是當中很多功能對我而言需求性沒那麼高,或是我有習慣的外掛可以取代,因此由本地工程師開發的 WP Shieldon 更貼近在地使用者的需求,除了登陸防護外,還提供了流量即時監控、IP 清單管理、封鎖機器人SEO 友善等,是一款很輕巧親切的防火牆外掛。
相關討論文章
權限開放進入後台-Temporary Login Without Password
在某些情況下需要開放後台讓他人進入, Temporary Login Without Password 能給予一定的保護,它的最大優勢就是開放的帳號是有時間限制的,短幾天長則幾周,不會是無限制開放,同時還能看到對方何時進來,相對於直接新增使用者而言,它還是有一定的安全性。
通常我會使用這款外掛,同樣是有繁體中文介面,都是我的外掛或主題出包時,我在寫信跟官方告知的信件中,就會附上 Temporary Login Without Password 帳號給官方工程師,讓工程師可以直接進入後台找問題,畢竟有些問題不進入後台很難抓到問題點,直接讓工程師進入後台去查看簡單明瞭,能省下許多溝通時間,且這種方式對於英文不太在行的管理者而言,也是個很有效的溝通方式,以我自己來講使用這種方式,通常在我收到官方回信同時也得到了除錯建議。
小結-網站安全要從守門做起,才能避免木馬屠城的悲劇
網站的安全是每一位網站管理員要小心應對的事情,因此在 WordPress 網站架設成功後,優先考慮要安裝的就是安全性外掛,先把自家大門守備好,避免有讓有心人跑進來搗蛋,這是捍衛自家網站的重要手段跟認知,就像當年木馬屠城這策略可以奏效,不就是特洛伊人把間諜木馬進入城中,進而引發一連串事件,若是一開始就將木馬擋在城外,估計後續也沒什麼事情了。
因此我們要知道,網站的安全布局不只在內部,還有就是外部大門的守護也是很重要的說,現在線上 WordPress 免費教學影片不少,只是對於如何提高網站的安全度卻很少提及,可能效應沒那麼明顯,也有可能這類型的題材不受歡迎,寫了也沒流量,因此這類型的外掛相較於寫作相關外掛,很少會有人提及跟討論,實屬可惜。
總之在某次跟一位專責資安的前備聊過後,才讓我想把安全性外掛獨立一篇出來介紹,而不是一大篇文章的一部分。這篇先介紹了如何守城門,下一篇要介紹的是網站內部管理的外掛,其中就包含了安全性,很多危險不只來在外面,自家也有可能隱藏危險。
還有最重要的一點就是管理員的觀念跟習慣也很重要,特別是來源有疑慮的外掛,不要貪小便宜安裝,誰知道裡面有沒有讓人修改過程式碼,當然這些外掛的介紹都只是基本功,個人站或是小單位可能都還行,但真的不幸成為攻擊的目標,還是得找專業公司來處理,尤其是有點規模的公司網站建議還是找專門資安團隊維護,類似買保險的概念,不駭沒事,一但出事再去找專家來處理,噴錢是一定,能救多少回來還是個未定事。
相關系列分享文推薦
- 15 個關於 WordPress 的基礎概念 (下) | 外掛、SEO 到網址
- 14 種類別 26 款讓文章寫作與管理上更便捷的 WordPress 外掛 (上)
- 14 種類別 26 款讓文章寫作與管理上更便捷的 WordPress 外掛 (下)
- 10款 14 種網站內部管理外掛分享 | WordPress 推薦外掛分享清單 02
- 8 款 14 款讓增加訪客體驗好感的外掛 | WordPress 推薦外掛分享清單 03
- 9 款 10 款媒體庫與圖片的管理跟使用 | WordPress 推薦外掛分享清單 04
- 8 款 10 款流量, SEO、流量、社群、廣告外掛清單 | WordPress 推薦外掛分享清單 05
