各框架對策
WordPress 資安對策 — 為何被鎖定,以及最低限度的防禦
WordPress 因市占最大而最常被鎖定——透過外掛/佈景主題的漏洞、跳過更新、脆弱的管理員,以及暴露在外的管理介面(wp-admin/xmlrpc)。最低限度的防禦:自動更新、外掛最小化、強驗證(2FA)、限制管理後台的暴露、以及備份。以防禦視角出發,不含攻擊步驟。
適用對象:任何在經營 WordPress 網站的人。這裡不談攻擊步驟——只講**為何被鎖定,以及最低限度的防禦。**想看跨框架的全貌,請見 各框架資安對策的入口。
為何被鎖定:入口是可預測的
對 WordPress 的攻擊並非魔法——自動化的暴力破解探測的是一組固定的弱點。知道入口,就知道該補哪裡。
① 外掛/佈景主題的漏洞
第三方程式碼的已知漏洞。最大的入口。無人看管或遭棄置,漏洞就一直開著。
② 跳過更新
未套用的核心/外掛修補。自動化工具專打已公開的 CVE。
③ 脆弱/重複使用的管理員
admin+弱密碼+無 2FA。透過登入暴力破解或外洩密碼的重複使用被接管。
④ 暴露在外的管理介面
wp-admin/xmlrpc/REST 的使用者列舉。成為暴力破解或流量放大的踏板。
最低限度的防禦(5 步驟)
依序把 WordPress 特有的陷阱補起來。每一步都在管理後台或設定裡就能完成。
自動化更新(最高優先)
外掛/佈景主題最小化
管理員採用強驗證(2FA)
admin 這個使用者名稱,並把權限保持在最小。(→ 2FA 是什麼)限制管理後台的暴露與登入嘗試
xmlrpc.php,並抑制 REST API 的使用者列舉。若能限制管理後台可從哪些來源存取,那就更好。備份與竄改偵測
常見(危險)
- 核心與外掛手動更新,然後就擱著
- 未使用的外掛/佈景主題只是停用
- 管理員
admin+弱密碼+無 2FA - 登入嘗試、xmlrpc、使用者列舉全都大開
正確
- 核心/外掛/佈景主題採用自動更新
- 未使用的擴充刪除以最小化
- 管理員採用強密碼+2FA、最小權限
- 登入嘗試次數限制、關閉不需要的功能、可還原的備份
本站的觀點:要管理的是『擴充與擱置』,而非核心
對 WordPress 有效的,不是花俏的設定,而是『別過度加裝擴充、別擱著不管』的維運紀律。外掛很方便,但每加一個就多一份『持續更新的責任』。本站的原則和任何技術都一樣:把相依套件(外掛)最小化、自動化更新、以強驗證與可還原的備份來防禦。看似是 WordPress 特有的話題,其實是普遍地基的套用。外掛的 CVE 可以用 CVE/KEV 查詢 來確認。
接下來讀
FAQ
QWordPress 危險嗎?
WordPress 核心維護活躍,本身並不特別脆弱。危險的是用法。它市占最大的地位讓它成為自動化攻擊的好目標,而多數真正的入侵並非來自核心,而是來自第三方外掛/佈景主題的漏洞、跳過更新、脆弱的管理員帳號,以及暴露在外的管理介面。反過來說,把這些補起來就能切掉大半風險。
Q外掛裝到多少算太多?
原則是『只裝你需要的最低限度』。每個外掛都會擴大攻擊面,任何一個久未更新或遭到棄置的都會變成漏洞。安裝前先確認更新頻率、採用度與最後更新日期;對於你不用的,請直接刪除而不是只停用(停用的檔案仍可能成為漏洞的攻擊對象)。佈景主題同理。
Q最低限度我該做什麼?
(1) 為核心、外掛與佈景主題啟用自動更新;(2) 刪除未使用的外掛/佈景主題以減少數量;(3) 給管理員帳號設定強密碼與雙因素驗證(2FA);(4) 限制管理後台(wp-admin/登入)的暴露與登入嘗試;(5) 保有可還原的離線備份加上竄改偵測。這五項就能擋下多數自動化攻擊。