分類: 速度與資安

網站慢一秒,可能就少一個訂單;網站被駭一次,可能整個生意停擺。這個分類分為兩塊:速度優化部分包含快取設定(WP Rocket、LiteSpeed Cache、W3 Total Cache)、圖片壓縮(WebP/AVIF、ShortPixel、Smush)、CDN 串接(Cloudflare、BunnyCDN)、資料庫優化、Critical CSS、延遲載入、Core Web Vitals 實測改善流程。資安部分則涵蓋備份策略(多地多備份)、防駭實作(雙因素驗證、登入限制、WAF、檔案完整性監控)、SSL 設定、被駭後的清理 SOP、惡意外掛排查。目標就一個:讓你的網站又快又安全。

WordPress 檔案權限設定與 wp-config.php 強化

搞不定 WordPress 檔案權限設定,外掛裝不起來就把權限改成 777?這篇講清楚 chmod 數字邏輯、目錄 755 與檔案 644 的標準值,以及 wp-config.php 收緊與後台強化常數的完整做法。

WordPress 安全標頭設定——CSP 與防護全攻略

WordPress 安全標頭設定能擋掉跨站腳本、點擊劫持與來源外洩這類前端攻擊,卻常因 CSP 一開就弄壞編輯器而讓人卻步。這篇帶你設好 CSP、X-Frame-Options、Referrer-Policy 等六個核心標頭,並用 Report-Only 模式安全上線。

WordPress 使用者列舉防護——擋住帳號名稱外洩

做好 WordPress 使用者列舉防護,才能擋住帳號名稱外洩,避免攻擊者靠 ?author=N、REST API 與登入錯誤訊息列出站內帳號。本文教你逐一堵住外洩管道,並用兩道指令自行驗證有沒有真的擋住。

WordPress REST API 安全強化與存取限制實作

WordPress REST API 安全沒做好,未登入訪客就能從 users 端點撈走你全站帳號當暴力破解名單。本文帶你看清端點曝險、用過濾器擋掉使用者列舉與作者頁,並依三種站型選對存取限制策略,附 functions.php 程式碼與 curl 驗證。

WordPress XML-RPC 該不該關?停用設定全解

WordPress XML-RPC 安全問題常被站長忽略,xmlrpc.php 自 3.5 版起預設開啟,卻成了暴力破解與 pingback 反射 DDoS 的攻擊入口。這篇拆解攻擊原理、相容性確認清單,以及從外掛到伺服器層的完整停用與驗證設定。

WordPress 防暴力破解——fail2ban 整合實戰

WordPress 防暴力破解的第一道功課,是補上預設根本不限制的登入次數。這篇帶你用外掛做登入限流,再把伺服器層的 fail2ban 接進登入失敗事件做 IP 封鎖,並拆解設定參數與真實環境最常踩的封錯 IP、自我鎖定等陷阱。

WordPress 中文字型優化——子集化與分包實戰

WordPress 中文字型優化最頭痛的,就是一套字型動輒十幾 MB 拖垮 LCP。這篇把子集化、分包與可變字型三條路線拆開講清楚,從砍字形、unicode-range 按需載入到佈景主題 font-family 覆寫,給你能直接落地的完整流程與量測方法。

WordPress 行動版速度優化——LCP 與 INP

桌機分數漂亮、手機卻慢半拍?WordPress 行動版速度優化是獨立戰場,本文拆解手機端 LCP 偏慢與互動延遲(INP)的成因,從伺服器、主視覺圖、圖片到 JavaScript 給出按順序動手的改善清單,並教你用現場資料確認真的變快。

WordPress 後台變慢怎麼辦?wp-admin 緩慢系統排查

WordPress 後台變慢、點一下就轉圈圈,前台卻順順的?問題多半不是裝個外掛就好。這篇從排查角度走一遍,教你用開發者工具與 Query Monitor 定位瓶頸,再從 PHP、記憶體、資料庫到背景請求逐一對症下藥。