分類: 速度與資安

網站慢一秒,可能就少一個訂單;網站被駭一次,可能整個生意停擺。這個分類分為兩塊:速度優化部分包含快取設定(WP Rocket、LiteSpeed Cache、W3 Total Cache)、圖片壓縮(WebP/AVIF、ShortPixel、Smush)、CDN 串接(Cloudflare、BunnyCDN)、資料庫優化、Critical CSS、延遲載入、Core Web Vitals 實測改善流程。資安部分則涵蓋備份策略(多地多備份)、防駭實作(雙因素驗證、登入限制、WAF、檔案完整性監控)、SSL 設定、被駭後的清理 SOP、惡意外掛排查。目標就一個:讓你的網站又快又安全。

WordPress 異地備份策略——雲端本地離線三份

規劃 WordPress 異地備份策略時,最大盲點是備份跟正式站放在同一台主機,一起被勒索軟體或主機商風險端掉。本文用 3-2-1 原則拆成雲端、本地、離線三份配置,帶你抓對備份頻率與還原演練,讓網站倒下時真的救得回來。

WordPress XSS 與 SQL 注入防護完整設定

想做好 WordPress XSS SQL注入防護,卻不知道漏洞從哪來、該補哪一層?本文拆解跨站腳本與 SQL 注入在 WordPress 上的成因,並依開發者與站長兩種角色,分別給出查詢參數化、輸出跳脫、WAF 與後台設定的具體做法。

WordPress wp-config 加固與 SALT 金鑰設定

WordPress wp-config 安全沒做好,等於把資料庫密碼與登入金鑰攤在攻擊者眼前。這篇從安全金鑰(SALT)的正確生成與輪替時機講起,帶你設好檔案位置、權限與存取封鎖,並避開改名吐原始碼這個多數教學漏掉的陷阱。

WordPress 資料庫安全強化的四道防線

WordPress 資料庫安全常被站長整個跳過,但文章、帳號密碼、WooCommerce 訂單全存在裡面,正是攻擊者的首選目標。這篇拆解更換資料表前綴、限縮帳號權限、連線加密與保護 wp-config.php 四道防線的原理與實作地雷。

WordPress 上傳檔案安全——阻擋偽裝圖檔的惡意上傳

WordPress 上傳檔案安全最大的盲點,是以為後台不讓傳 .php 就安全了。攻擊者會把惡意程式碼藏進看起來像真圖的檔案繞過檢查,本文拆解偽裝圖檔的攻擊原理,並用權限、內容驗證、伺服器禁止執行三層防線把惡意上傳堵死。

WordPress 活動日誌——追蹤誰改了什麼

WordPress 活動日誌幫你記下後台每一筆操作,讓「誰改了什麼」變成查得到的紀錄。本文說明它跟伺服器日誌的差別、該記哪些事件、如何追查異動,以及選外掛時容易忽略的資料庫負擔與個資合規。

WordPress 檔案完整性監控——揪出被竄改的核心檔

WordPress 檔案完整性監控能補上網站被植入後門卻渾然不覺的空窗期。這篇說清楚雜湊指紋比對的原理、用 WP-CLI 自己檢查核心與外掛、收到警示如何判斷是正常更新還是入侵,以及它的限制與搭配做法。

WordPress 弱點掃描——用 WPScan 定期體檢

WordPress 弱點掃描能把攻擊者看你網站的視角拿到自己手上,提早找出那些已公開、卻被你忽略的已知漏洞。這篇帶你看懂 WPScan 怎麼跑、漏洞資料庫 API 怎麼接、報告怎麼判讀排序,以及 Windows 環境下還有哪些替代路徑。

WordPress 後台檔案編輯停用——縮小後門植入面

做 WordPress 後台檔案編輯停用,只關掉了一條後門植入路徑。真正要縮小攻擊面,還得禁止 uploads 目錄執行 PHP。本文說明 DISALLOW_FILE_EDIT 與 DISALLOW_FILE_MODS 的差別、Apache 與 Nginx 的設定方式,以及這些設定擋得了什麼、擋不了什麼。