前言

在交付 WordPress 網站給客戶時，我們通常會停用 WordPress 管理員在網站上安裝或更新外掛和主題。 也會停用 WordPress 檔案編輯，以及停用 WordPress 自動更新。 此外，我們還會禁止 WordPress 對外聯網，防止惡意外掛透過網路進行資料外洩或下載惡意程式碼。 這樣可以防止客戶在網站上安裝或更新外掛和主題，從而降低網站遭受攻擊的風險和因版本不合而做成出錯的問題。

停用外掛和主題更新和安裝

要停用 WordPress 管理員在網站上安裝或更新外掛和主題，可以通過新增以下代碼到 wp-config.php 檔案中來實現：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

// 停用外掛和主題更新和安裝
define( 'DISALLOW_FILE_MODS', true );
// 停用 WordPress 檔案編輯
define( 'DISALLOW_FILE_EDIT', true);
// 只允許 WordPress 核心的小版本更新
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
// 停用 WordPress 自動更新
define( 'AUTOMATIC_UPDATER_DISABLED', true );
// 停用 WordPress WP-Cron
define( 'DISABLE_WP_CRON', true );
// 禁止 WordPress 對外聯網
define( 'WP_HTTP_BLOCK_EXTERNAL', true );
// 允許特定主機的連線（可選）
define( 'WP_ACCESSIBLE_HOSTS', 'api.wordpress.org' );

設定說明

檔案管理設定

• DISALLOW_FILE_MODS: 設為 true 時，將停用以下功能：

  • 外掛和主題的安裝、更新、刪除
  • 外掛和主題的啟用、停用
  • 外掛和主題的編輯
  • 防止管理員透過後台進行檔案修改操作

• DISALLOW_FILE_EDIT: 設為 true 時，將停用：

  • WordPress 後台的檔案編輯器
  • 外掛和主題的線上編輯功能
  • 防止透過後台直接修改 PHP 檔案

更新控制設定

• WP_AUTO_UPDATE_CORE: 控制 WordPress 核心的自動更新行為

  • 'minor': 只允許小版本更新（如 6.4.1 → 6.4.2）
  • 'major': 允許主要版本更新（如 6.4 → 6.5）
  • false: 完全停用自動更新

• AUTOMATIC_UPDATER_DISABLED: 設為 true 時，將停用：

  • WordPress 核心的自動更新
  • 外掛和主題的自動更新
  • 翻譯檔案的自動更新

• DISABLE_WP_CRON: 設為 true 時，將停用：

  • WordPress 內建的定時任務系統
  • 自動發布排程文章
  • 外掛的定時任務
  • 建議使用系統 cron 替代

網路安全設定

• WP_HTTP_BLOCK_EXTERNAL: 設為 true 時，WordPress 將無法對外發送 HTTP 請求

  • 防止外掛向外部伺服器發送資料
  • 阻止惡意程式碼下載
  • 限制 WordPress 的網路活動

• WP_ACCESSIBLE_HOSTS: 允許特定主機的連線，使用逗號分隔多個主機

  • api.wordpress.org: 允許連接到 WordPress 官方 API
  • 支援萬用字元（*）來匹配子網域

安全優勢

1. 防止資料外洩: 惡意外掛無法透過網路將敏感資料傳送到外部伺服器
2. 防止惡意程式碼下載: 外掛無法從外部下載並執行惡意程式碼
3. 減少攻擊面: 限制 WordPress 的網路活動，降低被攻擊的風險
4. 合規性: 符合某些企業或政府機構的網路安全要求

注意事項

• 設定 WP_HTTP_BLOCK_EXTERNAL 後，某些需要網路連線的功能可能會失效
• 如果網站需要連接到特定服務，請在 WP_ACCESSIBLE_HOSTS 中明確指定
• 建議在測試環境中先驗證所有功能是否正常運作