跳至主要內容
>_ITDITD網站資安平台

各框架對策

WordPress 資安對策 — 為何被鎖定,以及最低限度的防禦

WordPress 因市占最大而最常被鎖定——透過外掛/佈景主題的漏洞、跳過更新、脆弱的管理員,以及暴露在外的管理介面(wp-admin/xmlrpc)。最低限度的防禦:自動更新、外掛最小化、強驗證(2FA)、限制管理後台的暴露、以及備份。以防禦視角出發,不含攻擊步驟。

發布於 2026-07-02 更新於 2026-07-02 閱讀時間 2 分鐘

適用對象:任何在經營 WordPress 網站的人。這裡不談攻擊步驟——只講**為何被鎖定,以及最低限度的防禦。**想看跨框架的全貌,請見 各框架資安對策的入口

為何被鎖定:入口是可預測的

對 WordPress 的攻擊並非魔法——自動化的暴力破解探測的是一組固定的弱點。知道入口,就知道該補哪裡。

① 外掛/佈景主題的漏洞

第三方程式碼的已知漏洞。最大的入口。無人看管或遭棄置,漏洞就一直開著。

② 跳過更新

未套用的核心/外掛修補。自動化工具專打已公開的 CVE。

③ 脆弱/重複使用的管理員

admin+弱密碼+無 2FA。透過登入暴力破解或外洩密碼的重複使用被接管。

④ 暴露在外的管理介面

wp-admin/xmlrpc/REST 的使用者列舉。成為暴力破解或流量放大的踏板。

WordPress 的主要入侵途徑。全都能透過維運補起來。

最低限度的防禦(5 步驟)

依序把 WordPress 特有的陷阱補起來。每一步都在管理後台或設定裡就能完成。

1

自動化更新(最高優先)

為核心、外掛與佈景主題啟用自動更新。在已公開的已知漏洞(CVE)被利用之前就先關上,是最大的一道防禦。大版本更新前先備份。
2

外掛/佈景主題最小化

對於任何未使用的,直接刪除而不是停用(殘留的檔案仍可能成為攻擊對象)。安裝前確認更新頻率、最後更新日期與採用度。擴充越少=攻擊面越小。
3

管理員採用強驗證(2FA)

給管理員設定強密碼+雙因素驗證。避免使用 admin 這個使用者名稱,並把權限保持在最小。(→ 2FA 是什麼
4

限制管理後台的暴露與登入嘗試

加上登入嘗試次數限制,若未使用就停用 xmlrpc.php,並抑制 REST API 的使用者列舉。若能限制管理後台可從哪些來源存取,那就更好。
5

備份與竄改偵測

保有可還原、離線/異地存放的備份與檔案竄改偵測,這樣即便被入侵也能還原。(→ 備份基礎

常見(危險)

  • 核心與外掛手動更新,然後就擱著
  • 未使用的外掛/佈景主題只是停用
  • 管理員 admin+弱密碼+無 2FA
  • 登入嘗試、xmlrpc、使用者列舉全都大開

正確

  • 核心/外掛/佈景主題採用自動更新
  • 未使用的擴充刪除以最小化
  • 管理員採用強密碼+2FA、最小權限
  • 登入嘗試次數限制、關閉不需要的功能、可還原的備份

本站的觀點:要管理的是『擴充與擱置』,而非核心

對 WordPress 有效的,不是花俏的設定,而是『別過度加裝擴充、別擱著不管』的維運紀律。外掛很方便,但每加一個就多一份『持續更新的責任』。本站的原則和任何技術都一樣:把相依套件(外掛)最小化、自動化更新、以強驗證與可還原的備份來防禦。看似是 WordPress 特有的話題,其實是普遍地基的套用。外掛的 CVE 可以用 CVE/KEV 查詢 來確認。

接下來讀

FAQ

QWordPress 危險嗎?
A

WordPress 核心維護活躍,本身並不特別脆弱。危險的是用法。它市占最大的地位讓它成為自動化攻擊的好目標,而多數真正的入侵並非來自核心,而是來自第三方外掛/佈景主題的漏洞、跳過更新、脆弱的管理員帳號,以及暴露在外的管理介面。反過來說,把這些補起來就能切掉大半風險。

Q外掛裝到多少算太多?
A

原則是『只裝你需要的最低限度』。每個外掛都會擴大攻擊面,任何一個久未更新或遭到棄置的都會變成漏洞。安裝前先確認更新頻率、採用度與最後更新日期;對於你不用的,請直接刪除而不是只停用(停用的檔案仍可能成為漏洞的攻擊對象)。佈景主題同理。

Q最低限度我該做什麼?
A

(1) 為核心、外掛與佈景主題啟用自動更新;(2) 刪除未使用的外掛/佈景主題以減少數量;(3) 給管理員帳號設定強密碼與雙因素驗證(2FA);(4) 限制管理後台(wp-admin/登入)的暴露與登入嘗試;(5) 保有可還原的離線備份加上竄改偵測。這五項就能擋下多數自動化攻擊。