WordPress安全插件：Wordfence（防黑客、掃病毒）

網站安全係所有營運者嘅「底線」——就算個網站整得幾靚都好，一旦俾黑客攻擊（例如植入病毒、篡改內容、偷取數據），唔單止會流失訪客信任，仲可能要面對法律風險。對新手嚟講，Wordfence 係最值得信賴嘅安全插件之一，佢可以好似「網站保安」咁，24小時守護你個網站，而且免費版功能已經足夠應付大部分安全威脅。

一、點解要揀Wordfence？佢可以解決咩安全問題？

Wordfence係WordPress官方插件庫入面安裝量超過400萬嘅頂級安全插件，被人叫做「安全瑞士軍刀」，原因係佢可以一站式解決新手最頭痕嘅安全問題：

• 防範暴力破解攻擊：阻止黑客反覆嘗試登入後台（例如有人用軟件估你嘅密碼）；
• 病毒 / 惡意代碼掃描：定期檢查網站檔案，發現被篡改嘅代碼或病毒並提示刪除；
• 即時防火牆：攔截惡意訪問（例如 SQL 注入攻擊、跨站腳本攻擊，呢啲係黑客常用手段）；
• 登入日誌監控：記錄邊個登入過你嘅網站、從邊度登入，發現異常登入即刻提醒；
• 黑名單功能：封鎖惡意 IP 地址，禁止佢哋訪問網站。

簡單講：裝咗 Wordfence，可以幫你擋住 80% 以上針對 WordPress 網站嘅常見攻擊。

二、Wordfence 安裝同基本設定（免費版夠用）

步驟 1：安裝並啟動插件

1. 後台【插件】→【安裝插件】，搜尋 “Wordfence Security”；
2. 點擊【立即安裝】，完成後點擊【啟動】。
3. 首次啟動會彈出歡迎頁，直接點擊 “Start the Tour”（新手引導，可以快速了解核心功能）。

步驟 2：必須做嘅 3 項基礎設定（5 分鐘搞掂）

1. 配置防火牆（核心功能，阻止惡意訪問）

• 激活之後，Wordfence 會提示「優化防火牆」，撳「優化 Wordfence 防火牆」；
• 跟住提示揀「基本 Wordfence 防火牆保護」（免費版預設選項），撳「繼續」；
• 等自動設定完成（大概 10 秒），見到「防火牆已優化」就得喇。

作用：呢一步會令防火牆以最有效嘅方式運行，阻截大部分攻擊請求。

2. 設置登入安全（防止密碼被破解）

• 左邊菜單搵到【Wordfence】→【登入安全】；
• 開啟「強制強密碼」：剔選「要求所有新用戶使用強密碼」（避免自己或其他用戶設定「123456」呢類弱密碼）；
• 開啟「登入嘗試限制」：默認設定係「10次失敗嘗試後鎖定15分鐘」，新手唔使改（防止黑客暴力撞密碼）；
• 建議開啟「雙重認證」（可選但強烈建議）：撳「設定雙重認證」，跟住提示綁定手機或者認證 App（例如 Google Authenticator），登入嗰陣除咗密碼，仲需要輸入動態驗證碼，安全度即刻加倍。

3. 運行首次病毒掃描（檢查網站係咪已經受感染）

• 左邊菜單【Wordfence】→【掃描】，撳「開始新掃描」；
• 第一次掃描可能需要 5-10 分鐘（視乎網站檔案多寡），掃描期間可以繼續操作其他功能；
• 掃描完成後，如果顯示「未發現問題」，即表示網站目前安全；如果發現「威脅」，跟住提示點擊「修復」就得（免費版支援修復大部分常見問題）。

建議：設定自動掃描（預設每日掃描一次），唔使手動操作，發現問題會自動發電郵提醒。

三、免費版 vs 付費版：新手點揀好？

Wordfence 分免費版同付費版（Wordfence Premium），對新手嚟講：

• 免費版：足夠應付 90% 嘅安全需求（包括防火牆、病毒掃描、登入保護、基礎日誌），完全滿足到個人博客、小型企業網站嘅安全需要。
• 付費版：每年大約 99 美元，多咗「實時威脅情報」（比免費版更早發現新病毒）、「國家 IP 封鎖」（例如禁止某個地區嘅 IP 訪問）等進階功能，適合電商網站、流量大嘅商業網站。

新手結論：先裝免費版，做好基礎防護；如果網站後期有交易功能或者流量好大，再考慮升級付費版。

四、新手使用常見問題

1. 掃描後提示「發現可修復嘅問題」，唔敢點修復點算？放心點！Wordfence 修復前會自動備份檔案，如果修復後網站出問題，可以去【Wordfence】→【工具】→【備份】度恢復返原本嘅檔案。
2. 收到「有人試圖登入你嘅網站」嘅電郵，使唔使緊張？唔使慌！呢個係 Wordfence 嘅正常提示（即係防火牆喺度運作緊）。如果電郵顯示「嘗試已被阻止」，即係攻擊已經被攔截咗；如果多次收到嚟自同一個 IP 嘅提示，可以去【Wordfence】→【防火牆】→【阻止 IP】度手動封鎖呢個 IP。
3. 安裝完網站變慢咗？可能係掃描時用咗伺服器資源，掃描完就會正常返。如果一直慢，可以去【Wordfence】→【工具】→【效能優化】度，將「掃描靈敏度」調低（減少掃描頻率同深度）。
4. 唔記得後台密碼，Wordfence 會唔會阻住我搵返？唔會。用「忘記密碼」功能重設密碼時，Wordfence 會當係正常操作，唔會攔截（但會記錄喺登入日誌入面）。

總結：安全插件嘅核心係「提前預防」“

好多新手覺得「我個網站冇人睇，唔會俾人攻擊」，但其實黑客攻擊主要靠機械人自動掃描，任何WordPress網站都有可能成為目標。

Wordfence嘅價值唔在於「出問題後解決」，而係「提前擋住問題」。花10分鐘裝好同做好基本設定，就可以慳返將來網站俾人黑咗之後嘅麻煩（恢復俾人黑咗嘅網站可能需要幾日甚至幾星期）。記住：網站安全同現實中嘅門鎖一樣，裝咗唔一定日日用，但冇裝實唔放心。