WordPress 資訊安全防護外掛 All In One WP Security & Firewall 安裝介紹

使用 WordPress 架站最好要安裝資安防護外掛會比較好，因為網路上的攻擊真的很多，而且 WordPress 本身也存在一些安全性漏洞，使用安全外掛可以防止駭客入侵到網站裡面。

比較常見需要保護的例如登入、註冊頁面還有留言區，只要是輸入的地方都容易遭受機器人惡意攻擊。還有一些不需要用到的功能，例如 XML-RPC 服務，也可以透過外掛停用，以防止駭客入侵。

接下來我會介紹一款我喜愛的安全防護外掛 All In One WP Security & Firewall，這是一款免費的資安外掛，主要的功能如下：

1. 防護登入暴力攻擊
2. 查看登入失敗記錄
3. 封鎖惡意來源 IP 地址
4. 資料庫備份
5. 文件保護
6. 防火牆防護
7. 垃圾廣告留言防護
8. 禁用複製、框架、API 等功能

All In One WP Security & Firewall 提供的功能很多，但我不會一一介紹，而是會挑選一些我認為必要的功能啟用而已喔。

安裝外掛

在安裝外掛頁面輸入「All In One WP Security & Firewall」，找到外掛後安裝並啟用外掛。

安裝之後，在左邊選單會出現「WP Security」，初始安裝畫面會顯示目前保護的分數，開始是 20 分，會依照你所開啟的防護功能來增加分數。

這是 All In One WP Security & Firewall 選單功能。

開啟登入防護

初次安裝的時候，我先不開啟登入防護，直接等待一個晚上，就發現有許多的惡意程式在攻擊我的登入頁面。
在選單的「User Login > Failed Login Records」可以看到登入記錄。

我反向查詢 IP 來源，都是一些國外的 IP 地址。
將上面的頁籤切換到「Login Lockdown」，將「Enable Login Lockdown Feature:」的選項勾選起來就可以有基本的防護，包含失敗次數鎖定、鎖定時間功能。

當我把登入防護勾選起來之後，過了一個晚上，被登入攻擊的次數就降下來許多，有些攻擊來源會自動被封鎖起來。

更換登入頁面網址

開啟選單「Brute Force > Rename Login Page」，可以修改登入頁面網址。

更換登入頁面網址，預設是 https://{你的網址}/wp-login，因為預設網址很容易被攻擊，更換網址之後，駭客因為不知道新網址是什麼，可以避免被攻擊的機率。

但我還是要提醒一下，不是換了新網址就不會被攻擊，像我的登入頁面已經更換過新網址，初期確實沒有出現暴力登入攻擊，但幾個月後，我還是發現我的新網址出現了暴力登入攻擊，所以除了更換網址之外，還需要做其他的防護才行。

新的登入網址可以自行決定，加一些個人的英文或數字都可以，但更換之後，記得記錄下來，可以將新網址加入書籤，以免之後忘記。

修改存檔之後，你的新登入網址就會改變喔，在上方會有你的新登入網址，記得另存起來。

防止垃圾廣告留言

在我們文章的留言區可以提供讀者回覆留言，可是通常會出現許多垃圾廣告留言。

大多數都是廣告留言，少數可能有木馬或病毒網站，通常這種留言連結都不要點喔，以免中毒。

開啟選單的「SPAM Prevention > Comment SPAM」可以勾選防止文章遭到機器人留言垃圾評論。

如果勾選之後，在文章留言區會出現要求輸入驗證碼，它預設的驗證是數字加減結果，但會使用到英文字母，如果你擔心你的使用者英文能力不好的話，可以不啟用這功能，
可以改用 Google reCAPTCHA 做留言防護，可參考我另一篇文章教學：如何在 WordPress 設定 Google reCAPTCHA 保護(登入、留言、聯絡)表單，免遭惡意攻擊

我自己是使用 Google reCAPTCHA 來做垃圾留言防護的，對使用者的體驗比較好。

開啟防火牆防護

左邊選單開啟「Firewall」，可以開啟基本的防火牆防護，將「Basic Firewall Settings」的「Enable Basic Firewall Protection」打勾。

此基本防護是啟用以下功能：

1. 通過拒絕訪問來保護您的 htaccess 文件。
2. 禁用服務器簽名。
3. 製文件上傳大小（10MB）。
4. 通過拒絕訪問來保護您的 wp-config.php 文件。

禁止 XMLRPC

如果您沒有使用到 WP XML-RPC 及 Jetpack 功能的話，我建議就勾選停用此兩者的連線服務。
在「WordPress XMLRPC & Pingback Vulnerability Protection」的區塊就勾選這兩個選項。

勾選之後，可以有效防止駭客利用 XML-RPC API 入侵系統內部，也可以防止 Dos 攻擊。

我之前實測是發現 XML-RPC 服務會一直有暴力登入攻擊，所以這個服務沒用到的話，要停用比較好。

關於 XML-RPC 實測可參考我另一篇文章: WordPress 如何關閉 XML-RPC 服務，避免資安攻擊風險

總結

All In One WP Security & Firewall 的功能很多，啟用一些基本的防護功能，就可以相對安全許多，其他的功能你也可以了解一下，再啟用適合你的功能。

除了安裝防護外掛，WordPress 的版本也需要維持最新版本，WordPress 更版除了升級功能，也會修補漏洞，持續保持最新版本，也是資安防護的一環。

All In One WP Security & Firewall 有資料庫備份功能，但是我沒有提到，因為我已經有另外備份資料庫了，如果你沒有定期備份資料庫的話，建議可以勾選 All In One WP Security & Firewall 提供的定期備份資料庫功能喔。

相關學習文章

• 如何在 WordPress 設定 Google reCAPTCHA 保護(登入、留言、聯絡)表單，免遭惡意攻擊
• WordPress 如何關閉 XML-RPC 服務，避免資安攻擊風險
• WordPress WPS Hide Login 外掛教學，隱藏登入網址，防止暴力登入攻擊