I. Solid Security 教學:輕量而多功能的資安外掛
II. Solid Security 適合哪些主機和網站?
輕量!輕量!輕量! 這點真的得喊三次,因為 Solid Security 的資源佔用超低!不像某些安全外掛動不動就吃光主機效能。Solid Security 幾乎適合 所有類型的主機和網站,特別是:
- 共享主機:對資源有限的共享主機來說,它簡直是救星,跑起來流暢不卡頓。
- 初階 VPS:如果你剛升級到 VPS,Solid Security 的低資源需求絕對讓你安心。
- 各類網站:不管是個人博客、企業官網、電商平台,還是小型論壇,Solid Security 都能完美適配。
簡單說,除非你的網站需要跑超複雜的運算,不然 Solid Security 絕對是最佳安全夥伴!
III. Solid Security 安裝與設定
- 登入 WordPress 後台,前往 外掛 > 新增外掛。
- 在搜尋欄輸入 “Solid”,Solid Security 通常會是左上第一個跳出來的選項。
- 點擊 立即安裝,然後啟用外掛。
核心安全選項
Solid Security 會引導你設定五個核心安全功能,官方解釋如下:
- Local Brute Force(本地暴力破解防護)
防止駭客反覆猜密碼,短時間內多次失敗會暫鎖帳戶,降低被破解風險。 - Network Brute Force(網絡暴力破解防護)
監控來自不同 IP 的異常登入,必要時封鎖 IP 或延遲回應,防範網絡攻擊。 - Require Strong Passwords(強制高強度密碼)
要求密碼包含大小寫、數字和特殊字符,長度至少 12 位,打造銅牆鐵壁。 - Refuse Compromised Passwords(拒絕已洩露密碼)
檢查密碼是否在洩露資料庫中,若已被洩露,強制更換新密碼。 - Allow Two-Factor Authentication(啟用雙重認證)
增加第二層驗證(如 Email 或應用程式碼),讓帳戶固若金湯。
IV. Solid Security的一些重要設定建議
Solid Security 的強大之處在於它的靈活設定,以下是幾個關鍵建議,特別針對 WordPress 的常見資安隱憂:
1. 禁用 XML-RPC:遠離駭客雷區
XML-RPC 是 WordPress 資安大隱憂,常被用來發動暴力破解或 DDoS 攻擊。強烈建議禁用!
- 怎麼關?
前往 Security > Settings > WordPress Tweaks,找到 XML-RPC 選項,選擇 Disable XML-RPC。 - 會不會影響網站?
別擔心!99% 的 WordPress 網站都不需要 XML-RPC,因為現代功能都靠 REST API 實現。除非你用超冷門功能(像遠端用 Email 改文章),否則關了絕對無痛!
小提醒:如果你用 Jetpack,檢查一下是否有依賴 XML-RPC 的功能(新版 Jetpack 多用 REST API,影響不大)。
2. Hide Backend:讓駭客找不到門
WordPress 預設後台路徑(https://mydomain.com/wp-admin/)另一個資安隱憂,駭客100%會嘗試的路徑。建議改成只有你知道的路徑!
- 怎麼改?
前往 Security > Settings > Hide Backend,啟用功能並輸入自訂路徑(例如 https://mydomain.com/secret-login)。 - 為什麼不靠超長密碼?
雖然 19 字元以上的強密碼比較安全,但改後台路徑直接讓駭客連試的機會都沒有!不只更安全,還能省下伺服器被暴力破解時的效能損耗喲。
3. 2FA:資安的終極防線
雙重認證(2FA)是保護帳戶的最終武器,尤其是管理員帳戶。Solid Security 支援 Email 2FA(需要先設定好 SMTP)。
- 怎麼設?
- 前往 Security > Settings > Features > Login Security。
- 啟用 2FA,選擇 Email 方式。
- 收到 Email 確認碼後,2FA 就搞定啦!
- 電商網站注意:
建議啟用 Disable on First Login,避免新客戶註冊時因 2FA 流程影響購買意願。 - SMTP 設定:
確保你的 SMTP 外掛(例如 FluentSMTP)已正確配置,否則 Email 2FA 可能收不到code。
收到 Email 確認碼後,2FA 就大功告成啦!
V. 工具欄:強大但要小心用
Solid Security 的 Tools 欄(Security > Tools)提供一堆實用功能,像是檢查網站安全、更改資料庫前綴等。官方說明已經很詳細,這裡就不贅述,但有個地方要提醒:
- Change Database Table Prefix(更改資料庫前綴):
這功能能把預設的 wp_ 前綴改成隨機值,增加資料庫安全性。但我在 Cloudways 主機上試過這功能,結果主機直接當機!幸好 Cloudways 會自動恢復。
建議:用這一些功能前務必備份網站!
VI. FAQ
哪些主機類型適合用 Solid Security 當資安外掛?
Solid Security 的輕量設計幾乎適配 任何主機環境!特別推薦給以下場景:
-
共享主機:資源有限的主機也能跑得順暢,堪稱低配伺服器的救星。
-
初階 VPS:剛升級到 VPS 的網站,Solid Security 低耗能也是首選。
-
其他環境:無論是雲端主機(如 Cloudways)或高端專屬伺服器,表現都穩。
免費版 Solid Security 的防護夠用嗎?有必要升級 Pro 版嗎?
Solid Security 免費版提供的防禦已經非常全面,提供了暴力破解防護、強制密碼要求、拒絕洩露密碼等實用功能。搭配 Cloudflare 的防火牆和 CDN 設定,足以應付 絕大多數網站的資安需求,像是個人博客、簡單電商或中小型企業網站。
但如果網站規模較大或對安全要求更高,Pro 版絕對值得一試,尤其適合以下場景:
-
大型電商平台:客戶資料和交易安全至關重要,Pro 版的進階防火牆和惡意軟體掃描能加固防線。
-
高風險環境:需要無密碼登錄或專屬支援的網站,Pro 版功能更全面。
Solid Security Pro 版的價格是多少?
截至 2025 年 4 月 30 日,Solid Security Pro 版的定價如下:
-
1 個網站:每年 99 美元。
-
5 個網站:每年 199 美元。
-
更多網站:例如 10 個網站 299 美元/年,25 個網站 549 美元/年。
價格可能隨官方調整,建議直接查詢 官方網站價格表 確認最新資訊。
Solid Security Pro 版有哪些額外功能?
主要附加功能
- 進階防火牆保護:與 Patchstack 整合,提供即時漏洞修補,自動化防火牆選項可進一步強化防護。
- 雙因素認證 (2FA):增加登錄安全層,保護用戶帳戶。
- 無密碼登錄選項:包括魔法連結和通行碼 (Passkeys),支援生物識別登錄(如 Face ID、Touch ID),方便且安全。
- 即時安全儀表板:提供圖表和日誌,監控安全狀態,方便快速應對威脅。
- 用戶活動記錄:追蹤用戶操作,協助安全審計。
- 定時惡意軟體掃描:定期檢查網站,發現潛在威脅。
- 資料庫備份:確保資料完整性,備份可隨時恢復。
- 版本管理:控制 WordPress 核心、插件和主題的更新,確保及時修補安全漏洞。
- 專屬支援:提供 SolidWP 團隊的私人票務支援,解決問題更高效。
- 退款保證:30 天滿意保證,若不滿意可全額退款。
