2026 年五月 WordPress 安全清單，連假前必做的防駭檢查

五月連假一到，很多人都不在辦公室，駭客卻不會休息。只要外掛沒更新、登入沒加鎖，WordPress 網站就可能在短時間內被盯上。

2026 年 5 月的風險重點很明確，問題多半不在核心，而是在沒修補的外掛和鬆散的登入防護。先把最容易被打穿的入口封住，才是連假前最實際的做法。

先更新核心、外掛與佈景主題

2026 年的最新威脅，仍然以外掛漏洞為主。很多漏洞可以在未登入的情況下被利用，所以拖延更新，等於把門打開。WordPress.org Taiwan 的 6.9.2 安全版公告 也提醒，安全性更新應優先安裝。

怎麼做才對？先更新 WordPress 核心，再更新外掛，最後更新佈景主題。小版本安全更新可以快上，大版本更新先在測試站跑過首頁、表單與購物流程。若你想照更完整的順序檢查，可以對照 WordPress 安全加固清單 2026。

安全更新拖一天，風險就多一天。

常見錯誤是一次全更、沒備份先升級，還把停用外掛留著不刪。停用不等於安全，沒用的外掛要直接移除。

把登入門鎖上

駭客最愛的入口，還是管理員帳號。只要撞進後台，內容、會員資料、付款流程都可能被改掉。

怎麼做最有效？管理員一定要開 2FA，密碼要長且獨立，登入嘗試要限次，並開啟異常登入通知。多人協作時，每個人都該有自己的帳號，別共用同一組登入資訊。若主機有提供登入防護，先打開它，再來才是安全外掛。

常見錯誤是只改密碼、用同一組密碼管所有站，或把客服帳號直接設成管理員。假期中還關閉通知，也會讓異常拖到假後才被發現。

備份要能還原，不只是存在

備份是最後一道門。網站被改壞、外掛衝突、惡意檔案混入時，備份能讓你少停機、少損失。

怎麼備才算夠？用 3-2-1 規則，至少留三份，放在兩種位置，其中一份要在站外。連假前，先做一次完整備份，再到測試站還原。這一步很重要，因為有些備份檔看得到，卻還原不了。

有備份不代表能救回來，先試還原才算數。

常見錯誤是備份放在同一個主機帳號、只備資料庫不備檔案，或從來沒測試還原。真正有用的備份，是你能在需要時立刻拿回網站。

主機、防火牆與檔案權限一起檢查

主機層防護能先擋掉大量自動攻擊。這也是 OWASP 一貫強調的做法，先處理高風險入口，再補周邊細節。

怎麼做？開啟 WAF，確認 HTTPS 強制跳轉，關閉不需要的 XML-RPC，並檢查檔案權限是否過寬。一般可先看主機文件，像這份 WordPress 安全防護完整指南 就有整理主機端做法。更新 PHP 版本、掃描惡意檔案、查看登入與檔案變更紀錄，也不要漏掉。

常見錯誤是裝了三套安全外掛，卻沒開 WAF。或者把權限改得太鬆，還看到告警也不處理。工具不是越多越好，能穩定攔下攻擊才算數。

連假前最後一次巡檢，別讓異常留到假後

最後一輪巡檢，不是看首頁漂不漂亮，而是看功能有沒有守住。這一步能把很多小問題，在假期前先找出來。

怎麼做？用無痕模式打開網站，實測登入、聯絡表單、結帳與寄信。再確認備份、通知與值班窗口都有人接手。假期中若出現異常，你要知道先找誰，先停哪個功能。

常見錯誤是只看前台、不測付款、沒人接手機，或網站出事卻拖到假後處理。對公司網站和電商站來說，這種延誤很容易放大損失。

連假前最低限度必做 5 件事

如果時間真的不夠，先做這 5 件事：

• 更新 WordPress 核心、外掛與佈景主題，先處理有安全修補的項目。
• 開啟 2FA，收緊管理員帳號與登入次數限制。
• 做完整備份，並至少試還原一次。
• 開啟 WAF，檢查 HTTPS、權限與異常登入通知。
• 假期前再跑一次功能測試，確認表單、結帳和寄信正常。

五月連假不是讓風險放假的時候。把 WordPress 安全 先做好，你才不需要在假期第一天回公司救火。