外觀
安全設定
來源:安全設定
需要注意
- 3 個 HTTP 安全標頭未設定(X-Frame-Options、CSP、HSTS 等),瀏覽器無法啟用內建防護
- Cloudflare SSL 模式為 full,未驗證源站憑證,存在中間人攻擊風險
- Always Use HTTPS 未開啟,HTTP 請求不會自動跳轉 HTTPS
- XML-RPC 介面開啟中,可被用於暴力破解登入或 DDoS 放大攻擊
- REST API 可列舉所有用戶帳號,攻擊者可取得管理員帳號名稱
- 最低 TLS 版本為 1.0,允許不安全的舊協定(TLS 1.0/1.1)連線
共 6 項 — 3 高 / 3 中
HTTP 安全標頭
- 問題:3 個 HTTP 安全標頭未設定(X-Frame-Options、CSP、HSTS 等),瀏覽器無法啟用內建防護
- 原因:伺服器和 CDN 均未設定安全回應標頭
- 建議:在 Cloudflare 或 Nginx 設定所有缺失的安全標頭
- 影響:此項影響等級:高
- 驗收:所有 7 個安全標頭檢測通過,missing = 0
SSL 模式
- 問題:Cloudflare SSL 模式為 full,未驗證源站憑證,存在中間人攻擊風險
- 原因:Cloudflare SSL 設定未調整為最高安全等級
- 建議:將 Cloudflare SSL/TLS 模式改為 Full (Strict),並確認源站有有效憑證
- 影響:此項影響等級:高
- 驗收:Cloudflare SSL 模式 = Full (Strict)
HTTPS 強制跳轉
- 問題:Always Use HTTPS 未開啟,HTTP 請求不會自動跳轉 HTTPS
- 原因:Cloudflare 的 Always Use HTTPS 設定未啟用
- 建議:開啟 Cloudflare SSL/TLS → Edge Certificates → Always Use HTTPS
- 影響:此項影響等級:高
- 驗收:存取 http:// 自動 301 跳轉至 https://
XML-RPC
- 問題:XML-RPC 介面開啟中,可被用於暴力破解登入或 DDoS 放大攻擊
- 原因:WordPress 預設啟用 XML-RPC,未被外掛或伺服器規則封鎖
- 建議:透過安全外掛或 Nginx 規則封鎖 xmlrpc.php
- 影響:此項影響等級:中
- 驗收:存取 /xmlrpc.php 回應 403 或 404
REST API 用戶列舉
- 問題:REST API 可列舉所有用戶帳號,攻擊者可取得管理員帳號名稱
- 原因:WordPress REST API 預設公開 /wp-json/wp/v2/users 端點
- 建議:封鎖未登入使用者存取 /wp-json/wp/v2/users
- 影響:此項影響等級:中
- 驗收:未登入狀態存取 /wp-json/wp/v2/users 回應 403
TLS 最低版本
- 問題:最低 TLS 版本為 1.0,允許不安全的舊協定(TLS 1.0/1.1)連線
- 原因:Cloudflare 預設允許較舊的 TLS 版本
- 建議:將 Cloudflare 最低 TLS 版本設為 1.2
- 影響:此項影響等級:中
- 驗收:Minimum TLS Version = 1.2
本輪優先處理
第 1 步:Cloudflare SSL(維運處理)
| 項目 | 目前 | 目標 | 位置 |
|---|---|---|---|
| SSL 模式 | full | Full (Strict) | Cloudflare → SSL/TLS → Overview |
| Always HTTPS | 未開啟 | 開啟 | Cloudflare → SSL/TLS → Edge Certificates |
| 最低 TLS 版本 | 1.0 | 1.2 | Cloudflare → SSL/TLS → Edge Certificates |
第 2 步:安全標頭(維運處理)
缺失 7 個標頭,在 Cloudflare Transform Rules 或 Nginx 設定:
x-frame-optionsx-content-type-optionsstrict-transport-securitycontent-security-policyreferrer-policypermissions-policyx-xss-protection
設定位置:Cloudflare → Rules → Transform Rules → Modify Response Header
第 3 步:WordPress 封鎖(維運處理)
| 項目 | 目前 | 調整方式 |
|---|---|---|
| XML-RPC | 開啟中 | 安全外掛封鎖或 Nginx deny /xmlrpc.php |
| REST API 用戶列舉 | 暴露中 | 安全外掛封鎖 /wp-json/wp/v2/users |
第 4 步:Patchstack(維運處理)
安裝 Patchstack 即時漏洞防護,詳見資安防護架構。
驗收
所有 HTTP 安全標頭檢測通過,XML-RPC 回應 403,REST API 用戶列舉回應 403,SSL 模式 = Full (Strict)。