外觀
安全設定
來源:安全設定
需要注意
- 2 個 HTTP 安全標頭未設定(X-Frame-Options、CSP、HSTS 等),瀏覽器無法啟用內建防護
- XML-RPC 介面開啟中,可被用於暴力破解登入或 DDoS 放大攻擊
共 2 項 — 1 高 / 1 中
HTTP 安全標頭
- 問題:2 個 HTTP 安全標頭未設定(X-Frame-Options、CSP、HSTS 等),瀏覽器無法啟用內建防護
- 原因:伺服器和 CDN 均未設定安全回應標頭
- 建議:在 Cloudflare 或 Nginx 設定所有缺失的安全標頭
- 影響:此項影響等級:高
- 驗收:所有 7 個安全標頭檢測通過,missing = 0
XML-RPC
- 問題:XML-RPC 介面開啟中,可被用於暴力破解登入或 DDoS 放大攻擊
- 原因:WordPress 預設啟用 XML-RPC,未被外掛或伺服器規則封鎖
- 建議:透過安全外掛或 Nginx 規則封鎖 xmlrpc.php
- 影響:此項影響等級:中
- 驗收:存取 /xmlrpc.php 回應 403 或 404
待確認
以下欄位資料缺失,無法自動判定:
| 規則 | 缺失欄位 | 來源 | 缺失原因 | 影響 |
|---|---|---|---|---|
| REST API 用戶列舉 | security.rest_api_users_exposed | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:中 |
建議處理順序
第 1 步:SSL 設定(維運處理)
本站未透過 Cloudflare 代理。SSL / HTTPS 強制跳轉 / TLS 最低版本請至主機商控制台設定(Kinsta)。
第 2 步:安全標頭(維運處理)
缺失 2 個標頭:
content-security-policypermissions-policy
設定位置:主機 Web Server 設定(Nginx add_header / Apache Header set)
第 3 步:WordPress 封鎖(維運處理)
| 項目 | 目前 | 調整方式 |
|---|---|---|
| XML-RPC | 開啟中 | 安全外掛封鎖或 Nginx deny /xmlrpc.php |
| REST API 用戶列舉 | 已封鎖 | 安全外掛封鎖 /wp-json/wp/v2/users |
第 4 步:應用層漏洞防護
已偵測到安全外掛:Patchstack Security(v2.3.5)
無需額外安裝。維運期間定期檢查 dashboard 防火牆規則與漏洞通報。
驗收
所有 HTTP 安全標頭檢測通過,XML-RPC 回應 403,REST API 用戶列舉回應 403。