一般, 使用者

安全性

確保你的網站和個人資料安全無虞,永遠是我們的第一優先。 本頁面說明我們如何協助保護你的網站和個人資料、為了確保安全建議你採取的額外步驟。 

目錄

我們如何保護你的網站和資料
預設使用加密傳輸
防火牆
監控可疑活動
資安測試
資料備份和還原
資安團隊

你可以如何保護自己的網站和資料
嚴加保護你的密碼,不要外洩
使用高強度密碼
用完後,記得登出
設定不同使用者的存取權限
兩步驟驗證

使用高強度密碼
傳統密碼不再安全
使用全新法方產生高強度密碼
最佳方法:密碼管理工具
密碼短句也是好方法
更多密碼安全防護秘訣


我們如何保護你的網站和資料

預設使用加密傳輸

強大的加密傳輸,對於確保你的隱私和安全性來說非常重要。我們會透過 SSL 加密傳輸所有 WordPress.com 網站的資料,包含由 WordPress.com 所託管的自訂網域在內。我們認為強大的加密傳輸的重要性不容忽視,因此特意不提供停用加密傳輸的選項,以免影響 WordPress.com 網站的安全性。我們也會將所有不安全的 HTTP 要求,以 301 轉址的方式重新導向為安全的 HTTPS 版本。你可以進一步了解你網站的 HTTPS 和 SSL

我們會自動在你的網站上安裝 SSL 憑證。某些網站的特定設定,會造成 SSL 憑證無法正常運作,但是這種情形非常罕見;如果你的 SSL 憑證發生問題,請聯絡我們


↑ 目錄 ↑

防火牆

我們的網路架構中設有防火牆,以及相關標準作業程序;一旦發現任何不明連線試圖未經授權存取 WordPress.com 帳號,我們就會收到警示。


↑ 目錄 ↑

監控可疑活動

我們持續監視所有網路流量,並監控可疑活動。對於分散式阻斷服務攻擊(DDoS),我們也準備好多種防禦措施,幫助抵擋這類攻擊。


↑ 目錄 ↑

資安測試

我們定期檢查各項服務的安全性,並找出潛在資安漏洞。我們也透過 HackerOne共同執行漏洞通報計劃,對發現資安漏洞、協助我們改善服務安全的資安研究人員,該計畫會給予獎勵。


↑ 目錄 ↑

資料備份和還原

系統會定期備份你的 WordPress.com 網站資料,因此若發生引起資料遺失的事件(例如電源供應故障或天然災害),我們能夠還原你的資料。


↑ 目錄 ↑

資安團隊

我們設有專門保護用戶資料安全的資安團隊,直接與產品團隊通力合作,以解決潛在的資安風險,以實踐我們保護用戶資料安全的堅定承諾。

在網路上傳輸資料的方法,或是電子儲存方式,沒有任何一種能號稱絕對安全。不論是我們還是任何人,都無法 100% 保證你的網站或帳號絕對安全;但對我們來說,妥善保護你的網站和個人資料,是我們非常非常重要的使命。


你可以如何保護自己的網站和資料

你也可以透過下列幾種方式保護自己的資料(很重要,請仔細閱讀):

↑ 目錄 ↑

嚴加保護你的密碼,不要外洩

你在網路上進行的任何活動,最大的資安弱點就是密碼。你的網誌、電子郵件、社群平台帳號,以及任何你使用的網路服務,絕大多數都靠密碼來保護;如果你的密碼很容易猜中,你的網路帳號就很容易被盜用。

猜中或取得你密碼的人,就能任意修改、刪除你所有的文章、破壞你的網站、竊取你的電子郵件內容、挾持你的網址、冒用你的身分,將你費時費力建立的一切網路成果毀於一旦。


↑ 目錄 ↑

使用高強度密碼

你所使用的各種密碼必須容易記憶,且不易猜中。隨機數字和字元組合而成的密碼,雖然很難猜中,但你也難以記住。另一方面,你大概永遠不會忘記自己的生日或第一隻寵物的名字,但用來當做密碼,是非常不安全的,因為太容易被人發現或猜中。

在 WordPress.com,你可以使用非常長的字母、數字和特殊字元組合當做密碼;因此你的密碼安全性,甚至你的網誌安全性,都由你掌控。這裡有一些設定高強度密碼的秘訣。


↑ 目錄 ↑

用完後,記得登出

你可以在完成工作後登出,以保護你的帳號。這種作法在你使用共用或公用電腦時尤其重要。如果你沒有登出,其他人只要檢視你的瀏覽器歷程記錄、並返回你的 WordPress.com 控制面板,就能盜用你的帳號。

在使用過後隨手登出,就能保護你的帳號。

若要登出你的 WordPress.com 帳號,請按一下右上角的 Gravatar。然後按一下 Gravatar 下方的「登出」


↑ 目錄 ↑

設定不同使用者的存取權限

WordPress.com 功能強大,而且可以多人共用。雖然每個網站僅有一個擁有人,但可以擁有不限數量的使用者;特別適用於共筆式網誌、採用內容編輯工作流程的雜誌類網站,或是任何多人共同創作管理的大型網站等。

不過,共用管理權也代表共同承擔責任。你可以在 WordPress.com 為新增至網站的使用者設定不同的角色。角色決定了使用者的存取權限層級。

  • 參與者:參與者這個角色的權限最小,只能撰寫文章草稿,但無法發表文章。
  • 作者:可以發表文章和上傳圖片,但無法編輯其他使用者的文章。
  • 編輯者:不僅可以編輯或發表任何使用者的文章,還可以審核留言並管理類別和標籤。
  • 管理員:擁有最完整的網站管理權限,甚至可以刪除網站。

新增使用者時,你可以檢視角色說明,幫新使用者設定為最合適的角色。如果你要新增的使用者,只需參與幾篇文章的寫作編輯就好,就把這個使用者設定為「參與者」。「作者」和「編輯者」角色,比較適合設定給值得信賴且將長期參與網站的使用者。

最後,設定「管理員」角色時請特別謹慎小心。將其他使用者設定為網站「管理員」,就等於把整個網站多打一副鑰匙交給他管;別的管理員不僅可以隨意使用你的網站, 光是讓他人擁有另一副鑰匙,就會大幅提升網站遭到盜用挾持的風險。

事實上,我們建議絕對不要把其他人指定成「管理員」角色。大多數情形下,其他人只需要「編輯者」角色的權限就夠了。

進一步了解,請閱讀新增使用者使用者角色的支援頁面。


↑ 目錄 ↑

兩步驟驗證

想透過兩步驟驗證保護,你可以用任何 iOS、Android、Blackberry 或能夠接收簡訊的行動裝置,當做網誌唯一的一把鑰匙。啟用兩步驟驗證後,每次登入網誌時,就必須輸入特別產生的單次有效代碼。也就是說,即使有人取得你的密碼,除非他們也擁有你的行動裝置,否則就無法登入。

你可以在兩步驟驗證支援頁面深入了解此服務。


使用高強度密碼 

在任何一種網路服務中,最容易受到攻擊的資安弱點,通常就是密碼。在 WordPress.com,我們竭盡全力確保你的內容安全無虞、受到嚴密保護,除了你以外,任何人都無法存取。

但是,如果有人猜中或取得你的密碼,就可以繞過我們絕大多數的安全防護措施,因為 WordPress.com 會把這個人當作就是你本人;接著,他們可以對你的 WordPress.com 網誌或帳號進行任何變更,甚至刪除你的內容。

為避免出現這種情況,接下來這份指南,將協助你建立難以猜測或破解的高強度密碼。請仔細閱讀以下秘訣,然後仔細檢查自己的密碼。如果你認為自己的密碼不夠安全,我們極力建議你變更密碼。 


↑ 目錄 ↑

傳統密碼不再安全

過去幾十年來,各種密碼破解技術大幅進步,威力驚人;但我們建立密碼的方式卻還數十年如一日。因此,即使各位經常聽到各種如何加強密碼防護的建議,多半早已與時代脫節,而且不切實際。

有很多人會建議你把密碼設成這樣,像是 jal43#Koo%a;這種密碼不僅極容易遭到電腦破解,一般人也根本記不住、更是難以輸入。

事實上,最新且最有效的密碼攻擊手法,猜測密碼的速度高達每秒 350 億次;而且未來幾年無疑還會猜得更快。

今天,想設定高強度密碼,需要使用新觀念、新方法;我們將在下一節介紹兩種方法給你。


↑ 目錄 ↑

使用全新方法產生高強度密碼

有很多種方法可以產生高強度密碼,但「密碼管理工具」和「密碼短句」,兩者組合併用的效果是最好的。選擇適合你的方法,然後在本文章最後閱讀相對應的段落,了解如何開始使用。


↑ 目錄 ↑

最佳方法:密碼管理工具

密碼管理工具是電腦或行動裝置上的軟體應用程式,可產生強度極高的密碼,並且將密碼儲存在安全的資料庫中。需要輸入帳號密碼時,你只需要使用單一主要密碼來登入密碼資料庫,密碼管理工具就會自動為你輸入使用者名稱和密碼。因為你只需要一組密碼,就能管理所有密碼,因此你就能將主要密碼設為難以猜中的隨機組合。

只要使用密碼管理工具,你就不必再花心思挑選安全的密碼、記住密碼,也不需費力屢次輸入密碼。 密碼管理工具可說是目前最簡單、最安全的方法,我們極力建議你採用這個方法。

如何使用密碼管理工具

有許多不同的管理工具應用程式可供挑選,因此你需要先挑選要使用的應用程式,然後安裝在電腦上;下面是一般的操作步驟,但如果想了解更多細部資訊,你可以檢視特定應用程式提供的說明文件。

  1. 挑選一個密碼管理工具。 以下幾種產品很受歡迎:
    • 1Password (封閉原始碼,需付費使用)
    • LastPass (封閉原始碼,免費/需付費使用)
    • Dashlane (封閉原始碼,免費/需付費使用)
    • KeePass (開放原始碼,免費)
    • RoboForm (封閉原始碼,需付費使用)。
    • 你也可以自行上網搜尋,找到自己喜歡使用的密碼管理工具。
  2. 安裝在電腦上。
  3. 在你慣用的網路瀏覽器中,安裝該密碼管理工具提供的擴充功能或外掛程式。
  4. 設定一組可以用來開啟密碼資料庫的高強度主密碼。如需如何執行此操作的建議,請參閱本文件的 如何建立複雜密碼 區段。
  5. (非必要)記下主密碼,然後存放在安全的地點,例如銀行保險箱或上鎖的保險櫃。為避免忘記密碼,請務必備份主密碼。
  6. (非必要) 使用應用程式的內建工具或透過 SpiderOak 這類服務,在多部裝置之間共用密碼資料庫。如果你使用外部服務,請確保為該服務設定高強度密碼,如果可以的話,也應啟用兩步驟驗證。

現在密碼管理工具已設定完畢,你可以開始產生高強度密碼。找到密碼管理工具的內建密碼產生器,並將工具設定為建立 30-50 個隨機字元,混合包含大寫字母、小寫字母、數字和符號。

密碼產生器

你會希望密碼長得像這樣: N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@。 

這串密碼看起來很可怕,但不用擔心,你不需要記住或輸入這種又臭又長的密碼;密碼管理工具將自動代勞。


↑ 目錄 ↑

密碼短句(Passphrase)也是好方法

密碼短句類似密碼,不同之處在於:密碼短句是幾個字詞的隨機組合,不是只有一個字詞而已。例如:copy indicate trap bright

由於密碼長度是影響密碼強度的主要因素之一,因此密碼短句會比傳統密碼來得安全,而且也更容易記憶、輸入。

雖然密碼短句的強度不如密碼管理工具產生的密碼,但如果你不想使用密碼管理工具,密碼短句仍不失為一個不錯的選擇。 密碼短句也非常適合為密碼管理工具或登入電腦時使用的主要密碼,因為密碼管理工具無法自動幫你填入電腦登入密碼。

如何建立密碼短句

建立密碼短句應遵守的規則,與建立傳統密碼相似,但不需要那麼複雜,因為密碼短句編製方式雖簡單,但長度夠長,可保障安全性。

  1. 選擇 4 個隨機字詞。你可以使用 xkcd 密碼短句產生器,但如果是自己編製,那就更好了。  
  2. 你可以在字詞之間加入空格。

此時,你的密碼短句看起來應該像這樣: copy indicate trap bright

你可以就把這串當作密碼,或者依照以下步驟額外增加密碼強度:

  1. 將一些字母換成大寫。
  2. 加入幾個數字和符號。

套用這些規則後,密碼看起來會像這樣: Copy indicate 48 Trap (#) bright

避免事項:

  • 切勿將字詞依照可預測的順序排列,或是將字詞組成合理的句子,以免他人輕鬆猜中。  
  • 切勿使用歌詞、引文或任何其他已發表的內容。 攻擊者擁有龐大字典資料庫,內含大量已發表作品,可以用來快速猜測密碼。
  • 切勿使用任何個人資訊。  否則即使搭配字母和數字,認識你或可在線上肉搜你的有心人士,都可以利用相關資訊,輕鬆猜中你的密碼。

↑ 目錄 ↑

更多密碼安全防護秘訣

除了 WordPress.com 上的帳號外,製作密碼時還需要記住幾個要點,以確保資訊安全。

  • 同樣的密碼,不要重複使用。 許多熱門網站系統,無法充分保護你的密碼,駭客經常攻擊這些網站,一口氣竊取上億個帳戶資訊。如果你在不同網站之間使用相同的密碼,攻擊某個網站並取得你帳密的人,就能用同一組帳密登入你的其他帳號。最起碼,所有和財務相關或包含敏感資料的網站,絕對不要和其他網站重複使用相同的密碼,否則有心人士可能濫用這些資料,造成你難以彌補的損失。
  • 確保電子郵件密碼強度也足夠強大。 許多線上服務(例如 WordPress.com),都使用電子郵件地址做為用戶的身分識別資料。如果駭侵者取得你的電子郵件存取權限,他們可以輕鬆重設密碼、登入你的帳戶。
  • 切勿將密碼告訴他人。 即使你信任對方,攻擊者也可能攔截或竊聽資料傳輸,或是攻擊對方的電腦。如果你懷疑有人知道你的密碼,請立即更改密碼。
  • 請勿將密碼以電子郵件傳送給任何人。 電子郵件很少加密,攻擊者可以輕輕鬆鬆讀取郵件內容。WordPress.com 工作人員絕對不會要求你提供密碼。如果你必須共用密碼,請使用安全的傳輸方法 (例如  pwpush.com),並在第一次檢視後,將連結設為過期。
  • 切勿將密碼儲存在網路瀏覽器中, 網路瀏覽器通常無法妥善保護密碼,請改用密碼管理工具以確保安全。如需詳細資訊,請參閱上方的密碼管理工具段落。
  • 請勿在公用電腦上儲存密碼 ,或使用「記住我」選項, 否則下一個使用者就能存取你的帳戶。 公用電腦使用完畢後,請務必登出或關閉瀏覽器。
  • 切勿寫下密碼。 如果把密碼寫在某處被他人發現,這樣很不安全。將密碼改存在密碼管理工具中才能加密儲存。如需詳細資訊,請參閱上方的密碼管理工具段落。 此規則的例外是,不可恢復的密碼(例如密碼管理工具或作業系統帳戶的主密碼),請以安全的方式另外儲存。 所謂安全的方式,包括將密碼存放在銀行保險箱中,或鎖在保險櫃內。
  • 除非你懷疑密碼被盜,否則請勿變更密碼。 如果你是依照本文建議,設定高強度密碼類型,那麼經常變更密碼,對於降低密碼遭竊的風險並沒有幫助。這是因為變更密碼這件事可能給人帶來負擔,一般人為了方便,往往就便宜行事,反而導致遭受攻擊的可能性大增。但如果你懷疑有人取得你的帳戶存取權限,那麼變更密碼絕對是一個明智的防範措施。
Still confused?

Contact support.

Not quite what you're looking for?

取得說明