WordFence Security 教學：WordPress 資安外掛設定 (超簡單)

最後更新時間：2026-01-01，由 Dean 更新

WordPress 網站支援非常多功能，但也因此可能存在著一些安全漏洞。對於非資安背景的一般經營者而言，除了安裝像是 Limit Login Attempts Reloaded 這樣的登入防護外掛，有一套全面保護資安的外掛就非常重要。

這篇文章將與你分享 WordFence Security 這款強大的 WordPress 資安外掛，並帶你一步步做設定，提升網站安全。

WordPress 超強資安外掛：WordFence Security

WordFence Security 是一款在 WordPress 上有超過 500 萬下載量的資安外掛，創辦人 Mark 是知名防毒軟體公司 Nortan 的前執行長，以擁有超強大的資訊安全技術聞名。

這款外掛最核心的功能有幾項：

• 防火牆：最強的功能，可以讓網站有高程度加密，確保不會洩漏資料。也能主動封鎖惡意程式碼，及密碼暴力破解攻擊。
• 安全掃描：能設定定時掃描整個網站，找出網站的漏洞、沒有更新的外掛、惡意軟體等等，並即時通知管理員。
• 登入監控：能夠設定二步驟身分認證 (2FA)、機器人驗證 (reCAPTCHA)，也能即時看到網站登入狀況，以及封鎖惡意 IP。

基本上，免費版本就能夠做到很多保護，而進階版本主要就是將網站保護變得更即時，像是一偵測到可疑的 IP，就直接加入黑名單；即時提供資安報告給你，確保網站隨時處於安全狀態。

當然，如果是買到最高版本，會直接讓他們的技術團隊來幫你解決所有資安問題，做到最高等級的保護。

第一部分：安裝 WordFence Security

step 1

我們要先到 WordPress 後台，安裝外掛的地方，搜尋「Wordfence Security」。

會看到一個盾牌圖示的外掛，安裝並啟用它。

step 2

安裝完外掛後，會跳出一個要你驗證的畫面。

點選中間「GET YOUR WORDFENCE LICENSE」的按鈕。

step 3

會跳到他們官網的方案頁面，我們點選最左側的 Free 方案。

step 4

再來，它會跳出一個視窗。

這個視窗要注意，要點選下方的小字，而不是按鈕。

step 5

會請你填入你想要收到安全性通知的信箱 (可填寫網站信箱)，以及你是否想要收到他們的行銷信件。

完成後，就點選 “Register”。

step 6

在剛剛輸入的信箱中，會收到一封 WordFence 寄來的郵件。

在郵件下半部，你會看到一串驗證碼，將它複製下來。

step 7

回到 WordPress 上，在剛剛的跳窗點選下方的 “Install an existing license”。

如果你沒有看到這個頁面，也可以到外掛設定中找到填入憑證驗證碼的地方。

step 8

點擊後，會出現要你填入信箱跟驗證碼的欄位，分別填上，並點 “INSTALL LICENSE”。

step 9

當你看見 “Free License Installed” 的跳窗，就代表你安裝成功了。

接著，可以回到儀表板，我們進行接下來的設定。

第二部分：網站防火牆設定 (Firewall)

WordFence Security 最核心的功能，就是防火牆的設定，它能夠保護你的網站不受到外界的惡意攻擊。

防火牆防護等級優化

step 1

你需要先在 WordPress 側邊選單點選 “Wordfence” > “Firewall”。

會進入到防火牆的主頁面，上面有很多防火牆的設定，但大部分都是要付費的。

免費版可以設定的就是最左側的「Web Application Firewall (防火牆模式)」，我們點選下方的 “Manage WAF” 開始設定。

step 2

接著，你會進入防火牆模式設定的頁面。

畫面往中間拉，你會看到幾個設定，我們先從「Protection Level (防火牆防護等級)」開始設定，點選下方按鈕。

step 3

會跳出一個畫面，簡單來說就是 WordFence 的保護需要執行一個檔案，它需要有一個合適的伺服器來運行。基本上，它會幫你找到最合適的伺服器，你就照預設就好。

在這邊，你會需要手動做的事情，就是下載下方的兩個檔案 (.htaccess、.user.ini)。因為接下來的動作，不確定會發生什麼事情，所以系統希望你能夠先手動將重要資料做備份。

直接點選按鈕就可以下載了，下載後就按 “CONTINUE”。

step 4

它會跑一下下，接著就跳出 “Installation Successful” 的介面，就代表你設定成功了，直接關掉跳窗就行。

網站防火牆狀態設定

除了設定防火牆的防護等級，網站的「Web Application Firewall Status (網站防火牆狀態)」也需要進行設定。

下方有個選單，你可以根據你的狀況選擇：

• 你網站目前沒問題，只是新安裝外掛要設定：Learning Mode。
• 你網站已經受到攻擊：Enabled and Protecting。

兩者差異，就是你有沒有希望它先進入一段「學習時間」，熟悉你網站後再進行保護。

密碼暴力破解防護

在同個頁面下方，你會看到 “Brute Force Protection” 的設定，這是要保護你網站不會受到密碼暴力破解。

這邊要設定的會是基本的登入限制，從上到下：

• Lock out after how many login failures：登入錯誤幾次會鎖起來，我是設定 3 次。
• Lock out after how many forgot password attempts：忘記密碼功能，嘗試多於幾次會鎖起來，我設定 3 次。
• Count failures over what time period：以上的失敗次數是在多久之內，我設定 6 個小時。
• Amount of time a user is locked out：用戶每次被鎖定要等多久，我設定 6 個小時。

都設定完成後，記得要右上角點儲存。

封鎖特定 IP 位置

剛剛我們設定的是防火牆，另外還可以設定封鎖特定 IP 位置。

左側選單重新點一次 “Wordfence”>”Firewall”，上方的頁籤選擇 “Blocking”。

你會進入一個頁面，頁面中間就可以讓你輸入要阻擋的 IP 位置，以及阻擋的原因。

這個功能蠻好用的，像我有時網站會收到垃圾留言，我都會去查看留言者的 IP 位置，並將它填入這邊，這樣對方就沒辦法再進入我網站留言了。

第三部分：網站掃描設定 (Scan)

WordFence Security 會定時掃描你的整個網站，看看網站有沒有漏洞需要做處理，以下設定方式。

網站掃描類型設定

step 1

左側選單點選 “Wordfence” > “Scan”，會進入到網站掃描設定中。

你會看到三個圓圈，我們需要先做「掃描類型設定」，點選最左側選項下方的小字 “Manage Scan”。

step 2

網站掃描是一件會耗費你主機資源的事情，我們不可能每次掃描都全站掃一次。

大多數的網站，我們可以選擇 “Standard Scan” 這個選項，讓每次掃描都掃重點處，不耗費過多資源。

但，如果你是使用像是 Hosting.com、Bluehost 這類型的「共享主機」，主機資源可能會不太夠用，負載過大，建議另外做設定。

在同個頁面下方，會看到 “Performance Options” 的設定，點開後會看到一個 “Use low resource scanning” 的選項，可以勾選起來。

假如網站一次掃描要 10 分鐘，那這個設定主要就是把時間拉到一個小時，甚至更久，目的是要降低主機的負載量。詳細說明可以參考官方文件。

網站掃描&錯誤修復

前面我們是做網站掃描的設定，這個步驟是要帶大家實際掃描，並修復錯誤。

如果你是初次安裝這款外掛，只是想做基本設定，可以先略過，等有掃描需求再來看怎麼做。

step 1

左側選單點選 “Wordfence” > “Scan”。

找到一個 “START NEW SCAN” 的按鈕，點下去。

step 2

系統會開始進行掃描，你能看到目前掃描的狀況。

而如果有發現異常狀況，都會顯示在最下方；像下圖就是還沒有掃描到異常。

而如果掃描到異常狀況，就會直接顯示出來，並以顏色當作錯誤等級劃分。黃色是中等錯誤，紅色是嚴重錯誤。

可以點開每一項顯示的錯誤，並且查看是怎麼樣的問題，並進行修復。等待修復完成，再點選 “MARK AS FIXED”。

但如果跟我一樣只是外掛沒有更新，而我也暫時沒有要更新，可以直接點右上角的 “IGNORE” 略過。

第四部分：即時流量監控設定 (Tools > Live Traffic)

這部分一樣不用做額外設定，但如果你想要做你網站的即時流量監控，會需要知道這功能。

左側選單選 “Wordfence” > “Tools”，在 “Live Traffic” 頁籤中，你會看到 “Traffic logging mode” 設定：

• SECURITY ONLY：只針對真人用戶進行監控管理。
• ALL TRAFFIC：會針對所有訪客 (包含機器人) 做監控，需要大量主機資源。

如果沒有特殊原因，建議就照預設的 “SECURITY ONLY” 就行。

同個頁面下方，你能夠看到網站使用者的記錄，包含：使用者狀態、用戶位置、瀏覽頁面、瀏覽時間、IP 位置、主機名稱等。

第五部份：登入安全設定 (Login Security)

登入安全對網站而言也是很重要的設定，WordFence Security 有提供許多安全上的設定，詳細如下。

二階段身分認證

要做二階段身分認證，需要按以下步驟：

1. 到你手機的 APP 商店，下載 Google Authenticator。
2. 打開 Google Authenticator，右下角點開「掃描 QR 圖碼」。
3. 在 WordPress 左側選單點 “Wordfence” > “Login Security”，進到 “Two-Factor Authentication” 頁籤中。
4. 用手機掃描頁面上的 QRcode。
5. 在 Google Authenticator 會出現六位數號碼，填入網站頁面右下方。
6. 下載頁面上的「恢復碼」，保存下來，未來如果忘記密碼用得到。
7. 點選 “ACTIVATE”。

設定完二階段身分認證後，未來登入 WordPress，都會需要填入 Google Authenticator 的六位數號碼。

切換到 “Settings” 頁面，我們可以看見 2FA 的設定：

• 2FA Roles：設定網站各個角色是否需要二階段驗證。
• Grace Period：可以設定網站新註冊用戶，幾日內須要完成二階段驗證。

尤其第二個設定，會用於網站需要請人協助調整時，你開設一個帳戶給對方，等待對方調整完後，時間也差不多到，帳戶自然就登不進來了。

reCAPTCHA 機器人驗證設定

reCAPTCHA 是你常常會看到的「我不是機器人」驗證。

在同個頁面下方，可以看到相關設定，需要你拿到金鑰與密碼填入，就能夠做綁定。

詳細怎麼拿到金鑰與密碼，可以參考 reCAPTCHA 設定教學。

白名單 IP 位置設定

同個頁面再往下，你可以設定「登入白名單」，也就是可以不用二階段驗證&機器人驗證的 IP。

非常建議把自己 IP 填入，這樣未來自己在登入網站，就不用做這些驗證，避免把自己鎖在外面的問題。

電商網站登入安全設定

這一頁設定中，有個 “WooCommerce & Custom Integrations” 功能。

如果你是有會員功能的電商網站，會建議將第一個選項勾選起來，這是能夠在你網站會員註冊&登入頁面，加入驗證。

WordPress 登入不了怎麼辦？8個解決方案 + 操作教學

第六部份：郵件通知設定 (All Options > Email Alerts Preferences)

到這邊，基本功能都設定得差不多了，不過 WordFence Security 這款外掛，其實能夠做到很細的保護。

想設定更多功能，可以到 “Wordfence” > “All Options” 查看。

在這一頁，比較常會做的是「郵件通知設定」。

在 “Email Alert Preferences” 中，有幾個設定可以調整：

• Alert me with scan results of …：可以調整要偵測到多嚴重的網站問題才要通知，建議選 “Medium”，會連外掛更新通知都收得到。如果不想收到，可以再往上調整到 “High”。
• Alert me when someone with administrator …：設定是否每次管理員登入都要寄信通知，我是建議取消，不然每次有人登入你都會收到信。
• Alert me when a non-admin user …：是否每個用戶每次登入都要通知，一樣建議取消。

關於 WordPress 資安外掛的常見問題