會寫這篇文章的原因其實因為WordPress這樣的CMS架站軟體，常常會被冠上不安全，有漏洞等莫須有罪名，當然樹大招風也是容易引戰都是不可避免的。
但維護一個WordPres網站還是有一些基本功只要能做好做足
基本上還是可以讓網站安全性有一定的保護。

保護好WordPress登入頁

WordPress的入口頁，如果標準沒有去做調整的話大概大家都知道預設入口的URL是哪一個，有意要入侵WordPress網站就可以透過暴力破解機器人一直跑，應該沒有多久就可以看到後台了。
我自己的作法是安裝外掛還有設定入口頁的白名單IP來防止WordPress入口頁被強制登入成功。

外掛我自己是使用Jetpack 透過WordPress.com 註冊一個帳號當作跳板來登入WordPress網站後台，並且關閉原本的WordPress帳號認證方式。
還有二次驗證服務真的是太讚太棒了。[Two Factor Authentication]
重點是(免費)就有這樣的功能，就有防止被機器人暴力破解的能力。
這樣也可以節省主機的負載和衍伸的負擔費用。

另一個方式我也覺得不錯，就是設定白名單IP。
只要不是指定IP來看登入也的URL就不會提供服務，這個真的很有效。
(當然如果缺點就是必須要有固定IP的人才能這樣做，如果一個工作者的IP隨時在變換，就不適合這樣使用。

我會建議使用二次驗證的方式保護入網頁，也是一個不錯保護方式。
Two Factor Authentication 的外掛也有很多，就找自己會用會設定的為主就可以。(因為JetPack就有二次驗證服務，所以我就沒有額外再安裝外掛)

另外我推薦一個外掛可以記錄入者著操作紀錄外掛工具 [Simple History]
能夠記錄誰登入、更新了什麼外掛或主題、寫了什麼文章頁面、開帳號刪帳號等紀錄。如果要稽核的狀態可以把紀錄都匯出CSV記錄起來，以後有問題時可以追溯。
PS: 之前還剛開始玩WordPress的時候，還看過Simple History上面記錄超過URL登入頁面被機器人暴力密碼要登入的紀錄。
其實也是因為看到這些紀錄，我才趕快找文章然後聽前輩的分享建議安裝Jetpack。

帳號密碼的保護

帳號密碼如何保護，其實我們常用的mail帳號，(Gmail、msn、office365、yahoo信箱)這些帳密，如果都沒又變更過的情況下大概都已經被駭客知道了。
所以登入頁最怕的就是駭客利用這些已知道帳密用機器人暴力播解你的後台帳密。
如果好死不死你又剛好用同一組帳密當管理員…那網站被駭也是很正常不過的事。
幾個重點:

1、使用管理者帳號常用的名稱不要使用例如:admin、master、root、等等這類的帳號名稱不要使用，另外編輯者的名稱也建議不要同管理者帳號相同。
2、密碼不要太短或和信箱使用同一組密碼，這都要避免。
我自己是會找密碼產生器來生產我的密碼，再利用密碼管理工具來記錄。
3、開啟二階段驗證登入[Two Factor Authentication]

對嚕對嚕~想知道自己的mail密碼是否已經被駭客知道嗎
FireFox Monitor
輸入你的信箱，就會顯示該帳號密碼是否已經有洩漏過
不好說我自己最早的Gmail和msn信箱加起來已經外洩超過10次。
adobe 和 Dropbox 幾乎每一個帳號都有外洩過…