外觀
安全設定
HTTP 安全標頭、XML-RPC、REST API 用戶列舉、SSL 模式與 HTTPS 強制跳轉。
需要注意
- 2 個 HTTP 安全標頭未設定(X-Frame-Options、CSP、HSTS 等),瀏覽器無法啟用內建防護
- XML-RPC 介面開啟中,可被用於暴力破解登入或 DDoS 放大攻擊
共 2 項 — 1 高 / 1 中
HTTP 安全標頭
- 問題:2 個 HTTP 安全標頭未設定(X-Frame-Options、CSP、HSTS 等),瀏覽器無法啟用內建防護
- 原因:伺服器和 CDN 均未設定安全回應標頭
- 建議:在 Cloudflare 或 Nginx 設定所有缺失的安全標頭
- 影響:此項影響等級:高
- 驗收:所有 7 個安全標頭檢測通過,missing = 0
XML-RPC
- 問題:XML-RPC 介面開啟中,可被用於暴力破解登入或 DDoS 放大攻擊
- 原因:WordPress 預設啟用 XML-RPC,未被外掛或伺服器規則封鎖
- 建議:透過安全外掛或 Nginx 規則封鎖 xmlrpc.php
- 影響:此項影響等級:中
- 驗收:存取 /xmlrpc.php 回應 403 或 404
待確認
以下欄位資料缺失,無法自動判定:
| 規則 | 缺失欄位 | 來源 | 缺失原因 | 影響 |
|---|---|---|---|---|
| REST API 用戶列舉 | security.rest_api_users_exposed | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:中 |
| SSL 模式 | dns_ssl.mode | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:高 |
| HTTPS 強制跳轉 | dns_ssl.always_https | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:高 |
| TLS 最低版本 | dns_ssl.min_tls_version | health.json + dns.json | 欄位值為 null 或不存在 | 影響等級:中 |
WordPress 安全
| 項目 | 值 | 建議 |
|---|---|---|
| wp-config 權限 | 644 | — |
| XML-RPC | 開啟 | 關閉 |
| REST API 用戶列舉 | 已封鎖 | — |
| 後台路徑 | /wp-admin/ | — |
| 管理員數 | 7 | — |
Security Headers
已設定 5 / 7
| Header | 狀態 | 值 |
|---|---|---|
| x-frame-options | 已設定 | SAMEORIGIN |
| x-content-type-options | 已設定 | nosniff |
| strict-transport-security | 已設定 | max-age=31536000 |
| content-security-policy | 未設定 | — |
| referrer-policy | 已設定 | strict-origin-when-cross-origin |
| permissions-policy | 未設定 | — |
| x-xss-protection | 已設定 | 1; mode=block |