現在會上網已經是人人必備的技能了,有很多人也會開始自己學習用Wordpress架設網站,不過你好不容易架好的網站,其實還是有很高的安全風險,今天來和大家分享3個免費的Wordpress安全外掛,讓你的網站免於可怕的網路攻擊,造成損失!
WordPress安全外掛評測
WordFence Security
WordFence Security可以說是WordPress裡的超熱門安全外掛,目前已經有400多萬的下載安裝數,它的強項是網站防火牆(WAF),而且幾乎每個月都會有更新,確保你的網站防護可以抵擋最新型的攻擊。
▼【WordFence Security 優點】
1.防火牆採用端點防火牆:
端點防火牆可以有效保護使用者的端點裝置安全,包括電腦、平板、手機等等。像是很常見的網路釣魚,如果有端點防護就可以有效抵擋。
2.防火牆更新頻繁:
現在網路駭客的手法越來越多元,而且也常常有新病毒出現,如果防火牆的更新不夠頻繁,其實沒辦法有效幫你的網站建立好的防護網,WordFence Security幾乎每個月都會進行防火牆更新,讓你可以有效抵擋最新的攻擊。
3.有全站資安掃描:
這個部分是WordFence Security的加分項!通常都需要額外購買軟體或外掛才可以進行網站安全掃描,但WordFence Security免費版就可以幫你確認網站有沒有安全漏洞,像是有沒有惡意軟體、垃圾留言等。
▼【WordFence Security 缺點】
1.網站防火牆需要設定開啟
網站防火牆是WordFence Security最主要的功能,但不要傻傻地以為裝了外掛就會自動開始保護了,還需要進到後台設配置防火牆喔!雖然有預設的防火牆模式可以快速設定,但還須要有這個步驟說真的還是有點麻煩啦。
2.免費版的防火牆更新會延遲
如果你使用的是免費版,在防火牆更新後會有30天的延遲期,如果你很不幸在這30天內被最新的網路攻擊手法襲擊,基本上就是沒有防護力的狀態。
3.會占用網站資源
因為WordFence Security的外掛是在你的主機上運作的,所以會耗用一定的資源,進而影響到其他人使用你的網站是否順利、速度快不快等問題。
4.介面比較複雜、不直覺
覺得WordFence Security的功能以免費版來說雖然很完善,不過對於初學者或是業餘人士來說有點太複雜了,原本網站防火牆、網站資安掃描就是比較高級的資安防護功能,需要有依定知識背景的人才可以看得懂外掛給的資料分析,加上介面又是全英文的,整體來說不太好上手。
▼【WordFence Security 功能】
1.網路應用程式防火牆(WAF):約1個月更新1次,免費版會有30天的更新延遲。
2.惡意軟體掃描器:會更新最新的惡意軟體簽名,免費版依然會有30天更新延遲。
3.網站安全掃描:免費版每3天會進行一次,付費版則不受限制。
4.蠻力攻擊保護:防止駭客用軟體逐一測試密碼暴力破解。
5.入侵警報:若是遭到網路攻擊,站長也會收到通知。
6.文件更改監測:若是網站文件有更動,會記錄更改文件監測,以防被入侵。
7.2FA登錄安全:透過雙重驗證確保登入網站後台的是真正的使用者。
iThemes Security
有3000多則5星好評的「iThemes Security」是許多網友都激推的高評價安全外掛,它的主要功能是在登錄安全的防護上,而且非常貼心的提供多種網站的預設設定,你只要需要點幾下,就可以輕鬆在網站上開啟防護功能囉!
▼【iThemes Security 優點】
1.有30多種資安保護方法:
iThemes Security有多種資安保護方法,像是密碼保護和404檢測等功能。如果你是需要登錄會員的網站,他們的密碼資安防護功能讓造訪你網站的使用者需要進行雙重要素驗證(2FA)或密碼驗證要求,可以有效保護客戶們個資。404檢測則是會讓封鎖非法使用者的IP,避免你的網站有惡意的來源進入。
2.可以隨時隨地監測你的網站安全:
iThemes Security是24小實的全天候防護,而且提供許多種網站檢測功能,會每天掃描2次你的網站,確定你有沒有在Google的黑名單上以外,如果發現惡意軟體在你的網站上,也會即時通知你。
3.有6種網站的安全建議設定:
有很多新手站長一開始不知道自己的網站到底需要哪種安全防護,iThemes Security就很貼心地幫你先預設好每個不同類型網站會需要的資安防護,包括:電商、部落格等一般人比較常架設的網站,讓你可以快速的設定好防護功能喔!
▼【iThemes Security 缺點】
1.無法監測即時流量:
這個算是iThemes Security最大的漏洞,像是現在很常見的DDos攻擊就是透過突然的大量惡意流量讓網站崩潰,如果不能監測即時流量會沒辦法在第一時間知道是否受到攻擊,容易造成不可挽回的災情。
2.會占用網站資源:
這點和前面的WordFence Security一樣,畢竟外掛是加裝在你的網站主機上,所以勢必會有資源的消耗,不過iThemes Security防護功能算是蠻全面的,所以一開始只加裝這個安全性外掛,還是算CP值高的選擇。
3.沒有網站應用防火牆(WAF):
iThemes Security適合新手或是小網站的原因,是因為介面簡單、操作方便。不過由於他沒有網站應用防火牆,個人不建議大企業或大型網站使用,因為他能阻擋的攻擊相較之下沒有那麼全面,你的網站容易被惡意攻擊,進而攻擊或是盜取資料。
▼【iThemes Security 功能】
1.安全設定模板:提供電商、社群、非營利、部落格、作品集、宣傳6種網站安全設定模板。
2.實時安全儀錶板:可以看到24小時即時的安全事件資訊,包括:被禁止用戶、暴力攻擊等。
3.2FA登錄驗證:透過雙重驗證登入,確保WordPress登錄有高度安全性。
4.密碼要求:不用1分鐘就會給你的用戶提供高強度密碼建議。
5.封鎖用戶:幫你阻擋機器人或是惡意非法使用者進到你的網站。
6.暴力攻擊防護:避免密碼受到暴力破解,進而威脅到網站資安。
7.網站掃描:每天2次檢查你的網站核心文件、外掛內有沒有安全漏洞和惡意軟體等資安問題。
8.數據庫備份:會為你的WordPress網站進行部分數據備份。
9.強制執行SSL:SSL是網站和用戶兩者間的資料加密技術,強制執行可以確保資料不被盜取。
Cloudflare
Cloudflare是許多企業都在用的安全防護系統,他們也有提供WordPress的安全性外掛,而且也是免費喔!除了資安防護以外,還有很好用的CDN(內容傳遞網路,一組在世界各地的伺服器,可快速讓當地用戶存取其他地區的網路內容)加速,可以讓你的網站連線速度更快!
▼【Cloudflare 優點】
1.有網路應用程式防火牆(WAF):
和WordFence Security一樣,有完善的網路應用程式防火牆(WAF),而且內建規則集,可以即時更新快速應對最新的網路攻擊和資安漏洞。
2.完善的DDos防護措施:
再三強調DDos攻擊可以說是目前網路上最常見的威脅。Cloudflare免費版就有很多針對WordPress 的 DDoS 保護措施,讓你的網站即使被駭客盯上了,也可以抵禦攻擊的同時,讓原先正常的使用者或客戶部會受到影響,可以繼續使用網站。
3.自動平臺優化(APO):
這個功能是Cloudflare專屬的服務,在外掛中可以一鍵點選,優化你整個網站的速度。一般人在使用網站的時候 , 資料傳輸有時候要讀取到終端的主機,導致網站速度下降。用了APO,就等於把你的網站放在Cloudflare網路上,不用再耗費時間回傳到主機,就可以正常運作網站了!不過這個功能目前只提供給付費用戶。
▼【Cloudflare 缺點】
1.曾經有過全球大當機:
這個風險說實在不管用哪家安全性外掛都可能會遇到當機的狀況,但Cloudflare除了安全防護以外,通常裝了外掛的話也會開啟CDN(內容傳遞網路),透過連結Cloudflare網路加快網站速度,之前造成全球有許多網站都沒辦法正常使用的大當機就是這個功能故障了,雖然是偶發事件,但如果你擔心網站無法使用造成損失的話,建議可以找可靠的台灣Cloudflare代理商購買付費方案,讓他們專業的技術團隊幫你及時解決問題。
2.可能會造成網速變更慢:
Cloudflare的全球網路有多個資料中心位置,遍布在北美、歐洲、亞洲、非洲等地,如果你的主機原本就是在亞洲,結果因為使用Cloudflare 網路,台灣的客戶反而被連結到在美國的節點,就會花更多時間連接到你的網站,目前台灣的Cloudflare 網路節點只有提供給付費企業版。
▼【Cloudflare 功能】
1.沒有計量的DDos防護:被DDos網路攻擊時,防護同時,正常使用者依然可以使用網站。
2.通用SSL憑證:如果你有不同的子站,可以保證網站間和使用者資料傳輸都被加密。
3.網路應用程式防火牆(WAF):可以監測流量,並且會阻擋可疑的流量,以防被攻擊。
4.CDN加速:讓最近的資料中心快速提供用戶網站內容,提高網站載入速度。
5.垃圾訊息保護:阻擋有人發送垃圾郵件或是留言到你的網站。
6.內容剽竊保護:會保護你的所有網路內容,包括:文字、圖片等,避免被其他人竊取。
7.多使用者管理存取:可以邀請多人一起來管理Cloudflare帳戶。
WordPress安全外掛比較
上面跟大家進行了3個推薦以及網友高評價的WordPress安全外掛,可以發現免費版都會有部分限制,網站的資安防護上還是存在著漏洞,接下來就來根據3個網站外掛的付費版功能,幫大家整理價格以及升級後的功能,來看看你的網站適合哪一個吧!
付費方案比較
其實這三個外掛都還有更進階的付費方案,上面比較的版本是最基礎的付費版,可以看的出來雖然Cloudflare Pro相比其他付費方案貴了不少,不過一分錢一分貨,它不只可以幫你的網站加速、還可以提供完善的DDos防禦並給出報告,讓你知道網站可能有的資安問題!
