8个网站网页保安小贴士。

WordPress保安的重要性

WordPress是全球最受欢迎的网站内容管理系统(Content Management System, CMS)，据2020年资料，活跃的WordPress网站大约有2,500万个，首100万个最受欢迎的网站中，有30万个是使用WordPress设计的。

由於WordPress多人使用，所以亦最常受到网络攻击，据统计，每个月全球有约100万个WordPress网站受到攻击，常见的攻击方法包括: 

撞密码 Brute Force Attack透过表格输入程式码 SQL Injection钓鱼窃取密码 Phishing软件漏洞 Vulnerability

如果网站受到攻击，会有可能导致不正常显示、机密资料被盗，甚至令网站受控再攻击其他网站。以上种种都会严重影响商业运作、商誉及导致客户损失，故此，公司应时刻注意网站保安，切记网站是公司的重要资产，绝不能掉以轻心。

以下是8个WordPress网站的保安小贴士，不用编写任何程式都能做到，只要1个小习惯小动作，就可大幅减低网站的保安风险。

定期转换强密码 并以安全方法储存

或者你会觉得这个建议很老土很废，但事实上这是任何保安的最重要一步。密码不但要够强(难撞)，还要定期更新。强密码需符合以下条件:

不含英文词汇混合数字及符号8位或以上不容易被身边人猜中每项服务用不同的密码

如果你认为这很困难，可上网搜寻一些密码产生器，例如Password Generator。

安全储存密码亦非常重要，不要把密码贴出来是常识吧。其实网上有很多密码管理工具(Password manager/Vault)，只要记着Vault的密码，打开後可以管理及储存各项密码。

定期更新密码都是非常重要，单单针对密码做齐以上3件事，即是强密码、安全储存及定期更新，已可减低被撞中的风险。

使用双重验证登入

另一个WordPress的安全小贴士就是使用双重验证(2-factor authentication, 2FA)，这是假设黑客很难同时控制使用者的两部装置，在一台新电脑登入时，需要以电邮核实。即使密码被黑客窃取，但由於未能以电邮核实，黑客都不能成功登入系统。WordPress有很多免费2FA Plugin，再配以一个安全储存且经常转换的强密码，Brute Force Attack一类的攻击方法已很难成功登入系统。

不要使用Admin作为用户名称

另一个简单动作是: 不要使用「Admin」作为用户名称。因为WordPress在安装後的首个网站管理员(Administrator)的用户名称就是「Admin」，故此网站攻击者进行Brute Force Attack时都会首先尝试「Admin」。更改的方法很简单，就是以「Admin」身份登入後台，加一个新的网站管理员後，将以「Admin」为名的管理员删除。

自动更新软件

完成登入部份後，就轮到软件漏洞。与所有如Windows、iOS及Android等系统一样，WordPress都定期更新，并可启动自动更新，只要到後台设定即可；WordPress亦有更新提示，只要登入後就会在当眼位置显示最新的WordPress、Plugin及Theme更新讯息。

只使用可靠及经常更新的Plugin及Theme

WordPress的软件漏洞攻击(Vulnerability attack)中，大约有7成是针对插件(Plugin, WordPress软件)，余下才是针对WordPress系统及Theme(主题布景)。Plugin及Theme是WordPress的重要卖点，所以选择安装Plugin及Theme时要留意以下重点:

只下载或购买可靠来源的Plugin及Theme

在下载软件前先查证来源是否可靠，例如WordPress的官方资料库(Repository)。如需在第三方网站购买，就应只考虑有信誉的软件开发商，上网搜寻一下，这不会太困难。

留意Plugin及Theme使用量及更新频率

在WordPress.org可下载的Plugin及Theme都会有显示下载量、评分、最近更新日期及兼容性。只要进入Plugin及Theme的详细页面，就能查到详细更新纪录及评语。一般而言，如软件久未更新，就会有潜在保安风险，如软件有收费版本，下载量、评分等就与开发商收入相关，坦白说，如软件能带来收入，开发商才有能力更新软件，这方面亦可作参考。

定期备份网站

又是常见呼吁，无论保安如何妥善，都仍有可能被黑客入侵，故此定期为网站备份(Backup)，并将备份储存在安全之处，例如Google或Dropbox等，都能大大减少被入侵时的损失。有些网存服务(Web Hosting)亦有自动备份功能，亦可选择使用免费或付费的备份Plugin。

安装WordPress保安Plugin

WordPress保安Plugin一般有以下功能:

行动纪录异样监察病毒扫瞄防止Brute Force Attack

呈上文，最简单的入侵方法就是尝试各种密码，保安软件能限制登入次数，如用户尝试登入数次仍不成功後，就会暂时不容许再试一段时间；亦可将预设登入路径wp-login.php、wp-admin等改成自设名称，令攻击者连在那儿攻击都毫无头绪。保安软件既可扫瞄病毒，又可侦察保安漏洞，当系统已受到恶意程式(Malware)入侵，亦能冻结相关档案，减低损失。

使用高保安度的网存服务

WordPress始终是一套软件，无论做得多好，但假如伺服器(Server)或硬件不够安全，网站仍会受到威胁；选择一间好的网存服务供应商才能做到全方位的保安。Web hosting可做的保安措施包括防火墙(Firewall)、DDoS保护、简易SSL安装(即HTTPS)及内容分配网络(CDN)等。

以上的WordPress网站保安小方法，很多都是一次设定，平日亦要养成良好的密码处理习惯及保持警觉，就能轻易做到，并不涉及专业知识或编程。请谨记，网站是公司的重要资产，千万不要因怕麻烦而使用太过简单的密码或疏忽处理，以免因小失大。如有需要了解更多网站设计，欢迎联络航家建站网页设计专家 。