WordPress 的安全,實質上是四個層面的風險管理:漏洞修補(Core/外掛/主題)、身分驗證(密碼強度/2FA/登入限制)、輸入與上傳控管(檔案上傳/表單)、以及主機與網路層(權限/WAF/CDN/日誌)。
當你觀察到重導到陌生網域、莫名新增管理員、資源或寄信量暴衝等異常,通常代表至少一層控管失效。本文提供零基礎可操作的檢查表與「30–60 分鐘急救流程」,幫你在不寫程式的前提下完成初步判斷、止血與回復,再進一步加固。
5 個「不對勁」的明顯徵兆
- 會自己跳到陌生網站
- 出現奇怪的內容
- 登入常常失敗
- 網站突然變慢
- 後台出現未知外掛
零基礎可操作:不用寫程式的自救流程
遇到這種清況千萬不要緊張,可以照著以下的步驟進行
第 1 步:備份
第一件事是保存現況,以便之後還原或提供給專業人員分析。如果你的網站已安裝備份外掛(例如 UpdraftPlus 或 Jetpack Backup),請先在外掛裡執行一次完整備份,包含檔案與資料庫。如果沒有外掛,請聯繫主機商,請他們協助產生最新的網站檔案與資料庫備份,並提供下載連結;這樣就算後面操作失誤,也能回復到現在的狀態。
第 2 步:更改權限
接著處理帳號與登入安全。請將 WordPress 後台帳號、主機控制台、FTP 與資料庫等所有相關密碼全部更改,密碼要長、包含大小寫與符號,避免與其他服務重複。若你的主機或安全外掛支援兩步驟驗證(2FA),請立刻開啟。若網站性質允許,也可以暫時開啟維護頁,讓一般訪客先看到「維護中」訊息;但如果是電商或有營收的網站,可以先不停站,待會在不影響營運的前提下快速完成掃描與更新。
第 3 步:檢查網站
現在安裝一套主流安全外掛,例如 Wordfence 或 Solid Security。安裝完成後立即執行一次完整掃描。掃描結果會列出可疑檔案與異常變更,先把清單記錄下來或匯出,之後逐項處理,不要急著全部刪除,以免誤刪正常檔案而造成網站功能異常。記得整個網站只要一套安全外掛即可,多裝不會更安全,反而容易衝突或導致網站變慢。接著回到外掛清單,停用任何你不記得安裝、名稱可疑、或來路不明的外掛。長期未使用的外掛與主題也一併停用並刪除。外掛與主題越少,日後維護起來就能越簡單,安全掃描也更容易聚焦在真正可疑的變動上。
第 4 步:全面更新
把 WordPress 核心、所有外掛與主題全部更新至最新版本。許多入侵都是利用舊版本的已知漏洞進來的,完成更新等於把牆上的洞補起來。若某些付費主題或客製外掛無法立即升級,至少先確保核心與主要外掛完成更新,並記錄下尚未升級的項目以便後續處理。
第 5 步:最後檢查
更新完成後,使用同一套安全外掛再執行一次掃描,確認前一次被標記的異常是否已解除或降低風險。接著用電腦與手機各開一次網站,瀏覽幾篇內容頁,留意是否還會跳轉到陌生網站、頁面底部是否出現看不見但可點擊的奇怪連結,或是是否還有明顯的廣告與垃圾內容殘留。若前台觀察正常、掃描結果沒有高風險項目,代表已完成初步止血;此時可以安排後續的深度清理與長期防護設定。
之後要如何預防?
到這裡,就已經完成最初步的檢查或只損了,接下來要盡量把網站維持在健康狀態,其實只需要養成幾個穩定的習慣。首先,固定檢查更新提示,能升級就升;其次,把登入當成保護整站的門鎖:啟用兩步驟驗證,這對於高權限帳號特別重要。最後,把備份視為你的保險機制,設定每日自動備份,並將檔案放到不同位置(例如雲端空間等),不與網站本機混在一起。若你想再加一道保護牆,可以使用 Cloudflare 等 WAF 服務,把常見的攻擊流量擋在更外圍的位置。這些動作看似平凡,但長期下來會把風險降到非常低。
怎麼確認網站現況
在急救處置之後,建議需要一個回復確認的過程。先用電腦與手機各自瀏覽幾個頁面,確定不再出現自動跳轉或看不見的怪連結;接著打開安全外掛重新掃描,觀察是否已經沒有高風險異常。若你的主機商先前通報過流量或寄信量異常,請比對最近 24–72 小時的資源圖表,確認曲線已回到日常水平。最後,到搜尋引擎用 site:你的網域 檢視索引頁面,如果先前出現的垃圾頁面逐步消失,且 Search Console 沒有新的警告,便可視為站點已回到可接受的乾淨狀態。
網站優化 / WordPress 技術協助
提供 WordPress 架站、搬家、技術諮詢等服務,如有相關需求,隨時歡迎聯繫。
