多人協作建站,帳號管理往往是第一個被跳過的環節。常見的情況是:開發人員交接完畢後離開,管理員帳號仍留著;外包設計師的帳號沒人記得停用;團隊成員共用同一組後台密碼。這類問題在小型站台很少立即出狀況,直到後台登入紀錄出現異常地理位置,才驚覺帳號管理從未認真設過。
WordPress 帳號安全仰賴一組需要在協作開始前確認清楚的管理規則。強密碼只是起點,帳號命名、角色分配、閒置帳號的定期停用,加上登入防護機制,組合起來才構成一道可信的防線。
協作開始前要先釐清的帳號角色
WordPress 的角色(Role)系統預設有五種,從最低權限的訂閱者到最高的管理員,每個角色能做的事差距懸殊。協作之所以容易出問題,大多不是因為沒給權限,而是「習慣給太多」——外包寫手拿到編輯器帳號就算了,卻被賦予管理員權限,以防「哪天需要用到」。
每個人只需取得完成工作所需的最低角色,這是協作開始前唯一要確認的原則。
- 管理員(Administrator):能更改主題、安裝外掛、修改 PHP 檔案。此角色應只授予對整站安全負責的人,人數建議壓在 1–2 人。
- 編輯(Editor):可管理所有文章,包括他人發布的內容。適合內容主管或負責審稿的人。
- 作者(Author):只能管理自己的文章,適合定期供稿的固定撰稿人。
- 投稿者(Contributor):只能撰寫草稿,無法自行發布,需經編輯審核後才能上線。適合兼職或臨時合作的撰稿人。
- 訂閱者(Subscriber):僅限前台存取,幾乎沒有後台操作權限。會員制網站的一般用戶走這個角色。
外掛開發商或技術整合廠商有時會自動新增自訂角色。廠商完成工作後,建議確認這些角色是否仍有存在必要,不需要就移除。
帳號命名與密碼的基本門檻
WordPress 預設建議的第一個管理員帳號名稱是「admin」,這是暴力破解(Brute Force Attack)最常嘗試的目標。任何仍使用這個帳號名稱的站台,都在把第一道關卡主動送給攻擊者。
帳號命名沒有複雜規則,只需避開明顯可猜的字元組合。「admin」「administrator」「root」「webmaster」「info」這些不能用;以姓名全拼、品牌縮寫加亂數,或對外毫無意義的字串取代,都是可行的作法。帳號名稱在 WordPress 建立後無法直接修改,只能新建帳號再刪除舊帳號,最好在站台架設階段就先定好。
密碼方面,WordPress 後台的密碼產生器會自動給出長度足夠的隨機字串,直接採用即可。避免使用能對應到個人資訊的密碼,例如生日、電話、品牌名。也不要讓多位協作人員共用同一組密碼——後者本質上等同於帳號稽核機制失效,因為無法判斷是哪個人登入的。
兩步驟驗證的防護機制
兩步驟驗證(Two-Factor Authentication,2FA)在帳號密碼洩漏的情況下,仍能攔截登入嘗試。帳號名稱加密碼只是第一道驗證,第二道通常是手機應用程式生成的一次性驗證碼,兩者同時具備才能進入後台。
WordPress 原生不內建這項功能,需透過外掛實現。目前主流的選擇如下:
- WP 2FA:介面中文化程度高,設定步驟對非技術用戶友善,支援 Google Authenticator 等通用驗證應用程式。
- Two Factor Authentication(by David Anderson):輕量、無廣告,支援多種第二因素形式,適合對套件精簡有要求的站長。
- Wordfence Security:整合型資安外掛,2FA 只是功能之一,同時提供防火牆(Firewall)與惡意程式掃描,適合想以一套工具涵蓋多項防護的管理員。
管理員帳號應強制啟用 2FA,沒有例外。編輯以上的角色也建議要求開啟;作者帳號是否強制,視站台規模決定。
登入防護外掛能擋住的事
暴力破解是最基本的攻擊方式,攻擊腳本每分鐘能嘗試數百次帳號密碼組合。WordPress 原生沒有登入嘗試次數限制,攻擊程式可以不間斷地試到成功為止。
登入防護外掛(Login Protection Plugin)的核心機制,是在登入失敗達到設定次數後,鎖定來源 IP 一段時間。常用的選擇如下:
- Limit Login Attempts Reloaded:專門處理登入防護,設定介面直觀,免費版功能對多數站台已足夠。
- Login LockDown:老牌外掛,邏輯單純,適合只需要鎖 IP 基本功能的場景。
- WP Cerber Security:除登入防護外,還提供使用者活動紀錄(Activity Log),方便查核誰在何時執行了哪些操作。
這類外掛通常可設定特定 IP 白名單,讓固定辦公地點的連線不因頻繁測試功能而誤觸封鎖。協作團隊建議將主要辦公 IP 加進白名單,避免管理員自己被鎖在門外。
登入頁面的路徑預設是 /wp-login.php,同樣是攻擊腳本必然掃描的目標。部分資安外掛提供自訂登入路徑功能,把路徑換成對外無法猜測的字串,可讓大量掃描型攻擊直接找不到入口。這個設定本身不構成完整的資安措施,但能有效降低後台承受的無效請求量。
閒置帳號與協作結束後的收尾
多人協作站台最常被忽略的問題,是帳號的終止流程缺乏責任歸屬。外包完成工作後帳號繼續存在,員工離職但 IT 未接到通知,測試用的臨時帳號沒有刪除——這些帳號本身不會主動造成問題,但每一個都是攻擊者潛在的入口。
協作週期結束後的帳號處理,建議依下列方向進行:停用而非刪除,是因為停用帳號讓對方無法登入、同時保留其內容的歸屬紀錄;若直接刪除,WordPress 會要求把文章轉移到其他帳號,沒有提前處理容易遺漏。長期合作的廠商若在某個階段需要管理員權限,工作結束後應降回最低必要角色。
定期掃描帳號列表也是必要的工作。建議每季或每次有協作成員異動時,進入後台的「使用者」頁面確認帳號列表,標記超過三個月未登入的帳號,逐一確認是否仍有存在必要。WordPress 後台「使用者」列表預設不顯示最後登入時間,需另外安裝輔助外掛才能取得這項資訊,像是 WP Last Login 或 User Last Login 這類輕量外掛。有了登入時間紀錄,閒置帳號的審查便有具體依據,不再憑感覺判斷。