外觀
安全設定
來源:安全設定
需要注意
- 2 個 HTTP 安全標頭未設定(X-Frame-Options、CSP、HSTS 等),瀏覽器無法啟用內建防護
- XML-RPC 介面開啟中,可被用於暴力破解登入或 DDoS 放大攻擊
共 2 項 — 1 高 / 1 中
HTTP 安全標頭
- 問題:2 個 HTTP 安全標頭未設定(X-Frame-Options、CSP、HSTS 等),瀏覽器無法啟用內建防護
- 原因:伺服器和 CDN 均未設定安全回應標頭
- 建議:在 Cloudflare 或 Nginx 設定所有缺失的安全標頭
- 影響:此項影響等級:高
- 驗收:所有 7 個安全標頭檢測通過,missing = 0
XML-RPC
- 問題:XML-RPC 介面開啟中,可被用於暴力破解登入或 DDoS 放大攻擊
- 原因:WordPress 預設啟用 XML-RPC,未被外掛或伺服器規則封鎖
- 建議:透過安全外掛或 Nginx 規則封鎖 xmlrpc.php
- 影響:此項影響等級:中
- 驗收:存取 /xmlrpc.php 回應 403 或 404
待確認
以下欄位資料缺失,無法自動判定:
| 規則 | 缺失欄位 | 來源 | 缺失原因 | 影響 |
|---|---|---|---|---|
| REST API 用戶列舉 | security.rest_api_users_exposed | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:中 |
| SSL 模式 | dns_ssl.mode | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:高 |
| HTTPS 強制跳轉 | dns_ssl.always_https | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:高 |
| TLS 最低版本 | dns_ssl.min_tls_version | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:中 |
建議處理順序
第 1 步:Cloudflare SSL(維運處理)
| 項目 | 目前 | 目標 | 位置 |
|---|---|---|---|
| SSL 模式 | 未知 | Full (Strict) | Cloudflare → SSL/TLS → Overview |
| Always HTTPS | 未開啟 | 開啟 | Cloudflare → SSL/TLS → Edge Certificates |
| 最低 TLS 版本 | 未知 | 1.2 | Cloudflare → SSL/TLS → Edge Certificates |
第 2 步:安全標頭(維運處理)
缺失 7 個標頭,在 Cloudflare Transform Rules 或 Nginx 設定:
x-frame-optionsx-content-type-optionsstrict-transport-securitycontent-security-policyreferrer-policypermissions-policyx-xss-protection
設定位置:Cloudflare → Rules → Transform Rules → Modify Response Header
第 3 步:WordPress 封鎖(維運處理)
| 項目 | 目前 | 調整方式 |
|---|---|---|
| XML-RPC | 開啟中 | 安全外掛封鎖或 Nginx deny /xmlrpc.php |
| REST API 用戶列舉 | 已封鎖 | 安全外掛封鎖 /wp-json/wp/v2/users |
第 4 步:Patchstack(維運處理)
安裝 Patchstack 即時漏洞防護,詳見資安防護架構。
驗收
所有 HTTP 安全標頭檢測通過,XML-RPC 回應 403,REST API 用戶列舉回應 403,SSL 模式 = Full (Strict)。