2026 年第一季，Patchstack 與 Wordfence 公布的漏洞情報都指向同一個方向：攻擊者已經不再花力氣爆破登入畫面，而是直接掃描 WordPress 外掛的已知漏洞。一份報告統計，當季新揭露的高危漏洞有超過九成集中在第三方外掛，核心檔案的問題反而是少數。

這個趨勢讓站長在選擇 wordpress 安全外掛時的判斷邏輯變得更加敏感。市面上選擇不少，但真正在中文圈站台後台被廣泛安裝的還是 Wordfence 和 Solid Security（前身 iThemes Security）這兩款。兩邊都號稱「全方位防護」，實際翻設定頁卻會發現防禦思路差很多。

理解這個差異，比死背功能清單更能決定網站適合哪一款，也才知道光裝外掛還有哪些缺口要靠別的手段補。

兩款外掛骨子裡走的路線本來就不同

Wordfence 和 Solid Security 雖然都掛著安全外掛的招牌，產品策略其實是兩種不同流派。把這層理解清楚，後面再看防火牆、登入、掃描的設計才不會覺得「為什麼這款少了那個功能」。

Wordfence 走的是主動偵測派。它假設攻擊隨時會發生，重點放在三件事上：進站流量檢查、檔案完整性比對、即時威脅情資更新。後台預設開啟的 Live Traffic 會把每一筆 HTTP 請求記下來，Threat Defense Feed 則每天更新防火牆規則和惡意 IP 黑名單。邏輯接近端點偵測與回應（EDR）軟體在做的事，只是搬到 WordPress 場景。

Solid Security 走的是強化加固派。它的預設思路是把網站本身的攻擊面縮小。從 wp-admin 路徑改名、停用檔案編輯器、強制兩階段驗證（2FA）、限制 XML-RPC 開始，目標是讓常見的入侵路徑直接消失，而不是等攻擊送進門再攔。2024 年 SolidWP 把產品整併到品牌底下並接入 Patchstack 漏洞庫之後，這條路線就更鮮明。幾乎所有設定頁都圍繞「降低暴露面」這個概念。

兩條路線沒有絕對的優劣，但選錯邊會讓後續一直跟外掛對抗。一個喜歡看儀表板、會花時間翻 log 的站長，會覺得 Solid Security「太安靜、對防護情況缺乏可見性」。反過來，一個只想設定一次就不再管的站長，會嫌 Wordfence「通知太多、後台太吵」。

防火牆走的是兩條技術路線

防火牆是兩款外掛差最遠的功能區塊，差異不只在介面，而是攔截位置和判斷依據都不一樣。

Wordfence 的 Web 應用程式防火牆（WAF）是端點型，意思是規則跑在自己的 PHP 環境裡。所有進站請求都會先經過它的 SQL 注入、跨站腳本（XSS）、惡意檔案上傳這些特徵比對，可疑請求當下就被擋掉。優點是流量不必繞道第三方節點，localhost 也擋得到。代價是每一筆請求都吃伺服器 CPU 和記憶體，主機規格較弱的網站開啟後負載會明顯上升。Wordfence 自家公布的數字，Threat Defense Feed 規則一週平均更新 3 到 5 次，攻擊面相對動態。

Solid Security 沒有傳統意義的 WAF，它的對應功能是和 Patchstack 整合的虛擬補丁。當某個外掛被揭露漏洞、官方還沒釋出修補版本時，Patchstack 會下發一條對應規則。Solid Security 在這個漏洞被觸發的請求路徑上做攔截。本質上是「針對已知漏洞的精準封堵」，而不是「對所有流量做特徵比對」。所以它不會擋到合法流量、也不會吃太多資源，但對未公開的零日攻擊（zero-day）就缺乏即時防線。

實務上的選擇邏輯可以這樣看。網站外掛數量多、來路雜，或是電子商務站需要全流量檢查，Wordfence 那套主動 WAF 比較合理。網站結構單純、外掛來源都是官方倉庫，主要擔心的是「外掛被爆漏洞那段空窗期」。這種情境下 Solid Security 加 Patchstack 的組合反而更貼合需求。

登入防護的設計差異

兩款都做登入防護，但功能組合各有偏重。用表格對照一次就能看出差別。

從表格往下推結論，Wordfence 偏「事後可追溯」。每一次登入失敗、每一個被擋的 IP 都會留 log 供事後翻閱。Solid Security 偏「事前不暴露」，預設就把 wp-admin、wp-login.php 這些攻擊者最愛掃的入口直接改掉。

如果網站常有客戶端登入需求（會員、訂閱、後台編輯多人協作），Wordfence 的可追溯記錄會比較有用。如果是只有自己進後台的單人站，Solid Security 的「直接讓壞人找不到門」效果比較大。

通行金鑰這欄值得單獨提一下。Solid Security 從 2024 年就把 FIDO2 / Passkey 放到免費版設定頁。2026 年的版本已經支援用 iOS、Android、YubiKey 等硬體金鑰直接登入。Wordfence 同等功能要到 2026 年初的 Premium 才補齊，免費版仍以 TOTP 為主。

惡意檔案掃描為什麼只有一邊有

翻過設定頁的人會注意到一件事：Wordfence 有完整的 Scan 區塊，Solid Security 點過去卻只看到「檔案變動偵測」沒有真正的惡意掃描。這不是 Solid Security 偷工，而是策略選擇。

Wordfence 的掃描器會做三件事。第一，把站上的核心、外掛、主題檔案逐一和 WordPress.org 官方倉庫的原版比對雜湊值，找出被竄改的檔案。第二，掃描資料庫裡的 post 內容，找搜尋引擎優化垃圾（SEO spam）、惡意重新導向、隱藏 iframe。第三，比對自家累積的 44,000 種以上惡意程式特徵碼，找後門腳本。Premium 版會把這些掃描放到自家雲端伺服器上跑，減輕本機負擔。

Solid Security 走的是另一條路。它的邏輯是「假設網站已經被加固到不會輕易被植入惡意檔案，那就只需要監控有沒有東西被改動」。所以它的 File Change Detection 只負責記錄哪個檔案被改、什麼時候改、改了哪幾行，不負責判斷這個變動是不是惡意。要真正的惡意檔案掃描，SolidWP 官方建議搭配同集團的 SolidWP Backups 或第三方掃描服務。

選型上的判斷是這樣。一個網站如果有多位編輯、外掛常更新、檔案經常變動，光靠變動偵測會收到大量誤報。這種情境 Wordfence 的特徵比對掃描器比較實用。反過來，網站維運穩定、檔案變動本來就少，Solid Security 的變動偵測加上定期備份反而負擔比較輕，後台不必常常被掃描通知洗版。

怎麼選不會選錯方向

回到讀者最關心的問題，到底該裝哪一款。實務上不需要兩款都裝（兩款的鉤子會打架），只要先回答幾個關於自己網站體質的問題，方向就清楚了。

下面幾個指標可以逐一對照，多數站長對到 3 個以上就能定案。

• 主機規格：共享主機或 1GB 記憶體以下的 VPS 選 Solid Security，避免 Wordfence 即時掃描把 CPU 吃滿。4GB 記憶體以上或專用主機，兩款都能跑
• 外掛數量：站上長期裝 20 個以上外掛、且有非官方倉庫來源的，選 Wordfence 走特徵比對。外掛數量 10 個以內、全部來自 WordPress.org，選 Solid Security 接 Patchstack 就夠
• 登入帳號規模：5 個以上活躍編輯／作者，Wordfence 的登入 log 與可追溯能力較重要。單人站或 2 至 3 人，Solid Security 把登入入口隱藏起來效益更直接
• 站長介入意願：願意每週花時間翻威脅報告、調防火牆規則的，Wordfence 的儀表板會回饋更多細節。想設一次擺著的，Solid Security 的引導式設定 30 分鐘可走完
• 網站型態：電商、會員站、表單收件密集的網站，Wordfence 的即時流量檢查價值高。內容型部落格、企業形象站，Solid Security 的加固模式較對味

預算層面也可以納入考量，但不該是主要因素。免費版兩款都能滿足基本防護。Wordfence Premium 與 Solid Security Pro 的差別主要在即時情資和進階登入功能，不影響主要架構選擇。

安全外掛碰不到的主機層風險

最後一個提醒，安全外掛無論做得多好，都只能處理「請求進到 PHP 之後」的防禦。至於請求還沒進到 PHP 之前的攻擊，外掛根本看不到也擋不到。這塊缺口要靠主機端的措施補。

主機層的防護至少包含三件事。網域名稱系統（DNS）層的內容傳遞網路（CDN）或反向代理（例如 Cloudflare 或 Sucuri 的 WAF），可以在流量還沒抵達主機前過濾大規模分散式阻斷服務（DDoS）攻擊和已知惡意爬蟲。主機本身的作業系統與 PHP 版本要保持在官方支援週期內，過期版本任何外掛都救不了。定期、異地、可還原的備份是最後一道保險，被勒索或被植入後門時，乾淨備份的價值遠高於任何掃描器。

把這些都加上之後，安全外掛的角色才會回到它原本的位置，做應用層的防禦，不是整個站台安全的全部。Wordfence 和 Solid Security 各有強項，挑一款裝穩，再把主機層的洞補起來，比反覆換外掛有效得多。