安全性

確保你的網站和個人資料安全無虞，永遠是我們的第一優先。 本頁面說明我們如何協助保護你的網站和個人資料、為了確保安全建議你採取的額外步驟。 

在此指南中

1. 我們如何保護你的網站和資料
   1. 預設使用加密傳輸
   2. 防火牆
   3. 監控可疑活動
   4. 資安測試
   5. 資料備份和還原
   6. 資安團隊
2. 你可以如何保護自己的網站和資料
   1. 嚴加保護你的密碼，不要外洩
   2. 使用高強度密碼
   3. 用完後，記得登出
   4. 設定不同使用者的存取權限
   5. 兩步驟驗證
3. 使用高強度密碼
   1. 傳統密碼不再安全
   2. 使用全新方法產生高強度密碼
   3. 最佳方法：密碼管理工具
      1. 如何使用密碼管理工具
   4. 密碼短句（Passphrase）也是好方法
      1. 如何建立密碼短句
   5. 更多密碼安全防護秘訣

我們如何保護你的網站和資料

預設使用加密傳輸

強大的加密傳輸，對於確保你的隱私和安全性來說非常重要。我們會透過 SSL 加密傳輸所有 WordPress.com 網站的資料，包含由 WordPress.com 所託管的自訂網域在內。我們認為強大的加密傳輸的重要性不容忽視，因此特意不提供停用加密傳輸的選項，以免影響 WordPress.com 網站的安全性。我們也會將所有不安全的 HTTP 要求，以 301 轉址的方式重新導向為安全的 HTTPS 版本。你可以進一步了解你網站的 HTTPS 和 SSL。

我們會自動在你的網站上安裝 SSL 憑證。某些網站的特定設定，會造成 SSL 憑證無法正常運作，但是這種情形非常罕見；如果你的 SSL 憑證發生問題，請聯絡我們。

防火牆

我們的網路架構中設有防火牆，以及相關標準作業程序；一旦發現任何不明連線試圖未經授權存取 WordPress.com 帳號，我們就會收到警示。

監控可疑活動

我們持續監視所有網路流量，並監控可疑活動。對於分散式阻斷服務攻擊（DDoS），我們也準備好多種防禦措施，幫助抵擋這類攻擊。

資安測試

我們定期檢查各項服務的安全性，並找出潛在資安漏洞。我們也透過 HackerOne共同執行漏洞通報計劃，對發現資安漏洞、協助我們改善服務安全的資安研究人員，該計畫會給予獎勵。

資料備份和還原

系統會定期備份你的 WordPress.com 網站資料，因此若發生引起資料遺失的事件（例如電源供應故障或天然災害），我們能夠還原你的資料。

資安團隊

我們設有專門保護用戶資料安全的資安團隊，直接與產品團隊通力合作，以解決潛在的資安風險，以實踐我們保護用戶資料安全的堅定承諾。

在網路上傳輸資料的方法，或是電子儲存方式，沒有任何一種能號稱絕對安全。不論是我們還是任何人，都無法 100% 保證你的網站或帳號絕對安全；但對我們來說，妥善保護你的網站和個人資料，是我們非常非常重要的使命。

你可以如何保護自己的網站和資料

你也可以透過下列幾種方式保護自己的資料（很重要，請仔細閱讀）：

嚴加保護你的密碼，不要外洩

你在網路上進行的任何活動，最大的資安弱點就是密碼。你的網誌、電子郵件、社群平台帳號，以及任何你使用的網路服務，絕大多數都靠密碼來保護；如果你的密碼很容易猜中，你的網路帳號就很容易被盜用。

猜中或取得你密碼的人，就能任意修改、刪除你所有的文章、破壞你的網站、竊取你的電子郵件內容、挾持你的網址、冒用你的身分，將你費時費力建立的一切網路成果毀於一旦。

使用高強度密碼

你所使用的各種密碼必須容易記憶，且不易猜中。隨機數字和字元組合而成的密碼，雖然很難猜中，但你也難以記住。另一方面，你大概永遠不會忘記自己的生日或第一隻寵物的名字，但用來當做密碼，是非常不安全的，因為太容易被人發現或猜中。

在 WordPress.com，你可以使用非常長的字母、數字和特殊字元組合當做密碼；因此你的密碼安全性，甚至你的網誌安全性，都由你掌控。這裡有一些設定高強度密碼的秘訣。

用完後，記得登出

你可以在完成工作後登出，以保護你的帳號。這種作法在你使用共用或公用電腦時尤其重要。如果你沒有登出，其他人只要檢視你的瀏覽器歷程記錄、並返回你的 WordPress.com 控制面板，就能盜用你的帳號。

在使用過後隨手登出，就能保護你的帳號。

若要登出你的 WordPress.com 帳號，請按一下右上角的 Gravatar。然後按一下 Gravatar 下方的「登出」。

設定不同使用者的存取權限

WordPress.com 功能強大，而且可以多人共用。雖然每個網站僅有一個擁有人，但可以擁有不限數量的使用者；特別適用於共筆式網誌、採用內容編輯工作流程的雜誌類網站，或是任何多人共同創作管理的大型網站等。

不過，共用管理權也代表共同承擔責任。你可以在 WordPress.com 為新增至網站的使用者設定不同的角色。角色決定了使用者的存取權限層級。

• 參與者：參與者這個角色的權限最小，只能撰寫文章草稿，但無法發表文章。
• 作者：可以發表文章和上傳圖片，但無法編輯其他使用者的文章。
• 編輯者：不僅可以編輯或發表任何使用者的文章，還可以審核留言並管理類別和標籤。
• 管理員：擁有最完整的網站管理權限，甚至可以刪除網站。

新增使用者時，你可以檢視角色說明，幫新使用者設定為最合適的角色。如果你要新增的使用者，只需參與幾篇文章的寫作編輯就好，就把這個使用者設定為「參與者」。「作者」和「編輯者」角色，比較適合設定給值得信賴且將長期參與網站的使用者。

最後，設定「管理員」角色時請特別謹慎小心。將其他使用者設定為網站「管理員」，就等於把整個網站多打一副鑰匙交給他管；別的管理員不僅可以隨意使用你的網站， 光是讓他人擁有另一副鑰匙，就會大幅提升網站遭到盜用挾持的風險。

事實上，我們建議絕對不要把其他人指定成「管理員」角色。大多數情形下，其他人只需要「編輯者」角色的權限就夠了。

進一步了解，請閱讀新增使用者和使用者角色的支援頁面。

兩步驟驗證

想透過兩步驟驗證保護，你可以用任何 iOS、Android、Blackberry 或能夠接收簡訊的行動裝置，當做網誌唯一的一把鑰匙。啟用兩步驟驗證後，每次登入網誌時，就必須輸入特別產生的單次有效代碼。也就是說，即使有人取得你的密碼，除非他們也擁有你的行動裝置，否則就無法登入。

你可以在兩步驟驗證支援頁面深入了解此服務。

使用高強度密碼

在任何一種網路服務中，最容易受到攻擊的資安弱點，通常就是密碼。在 WordPress.com，我們竭盡全力確保你的內容安全無虞、受到嚴密保護，除了你以外，任何人都無法存取。

但是，如果有人猜中或取得你的密碼，就可以繞過我們絕大多數的安全防護措施，因為 WordPress.com 會把這個人當作就是你本人；接著，他們可以對你的 WordPress.com 網誌或帳號進行任何變更，甚至刪除你的內容。

為避免出現這種情況，接下來這份指南，將協助你建立難以猜測或破解的高強度密碼。請仔細閱讀以下秘訣，然後仔細檢查自己的密碼。如果你認為自己的密碼不夠安全，我們極力建議你變更密碼。 

傳統密碼不再安全

過去幾十年來，各種密碼破解技術大幅進步，威力驚人；但我們建立密碼的方式卻還數十年如一日。因此，即使各位經常聽到各種如何加強密碼防護的建議，多半早已與時代脫節，而且不切實際。

有很多人會建議你把密碼設成這樣，像是 jal43#Koo%a；這種密碼不僅極容易遭到電腦破解，一般人也根本記不住、更是難以輸入。

事實上，最新且最有效的密碼攻擊手法，猜測密碼的速度高達每秒 350 億次；而且未來幾年無疑還會猜得更快。

今天，想設定高強度密碼，需要使用新觀念、新方法；我們將在下一節介紹兩種方法給你。

使用全新方法產生高強度密碼

有很多種方法可以產生高強度密碼，但「密碼管理工具」和「密碼短句」，兩者組合併用的效果是最好的。選擇適合你的方法，然後在本文章最後閱讀相對應的段落，了解如何開始使用。

最佳方法：密碼管理工具

密碼管理工具是電腦或行動裝置上的軟體應用程式，可產生強度極高的密碼，並且將密碼儲存在安全的資料庫中。需要輸入帳號密碼時，你只需要使用單一主要密碼來登入密碼資料庫，密碼管理工具就會自動為你輸入使用者名稱和密碼。因為你只需要一組密碼，就能管理所有密碼，因此你就能將主要密碼設為難以猜中的隨機組合。

只要使用密碼管理工具，你就不必再花心思挑選安全的密碼、記住密碼，也不需費力屢次輸入密碼。 密碼管理工具可說是目前最簡單、最安全的方法，我們極力建議你採用這個方法。

如何使用密碼管理工具

有許多不同的管理工具應用程式可供挑選，因此你需要先挑選要使用的應用程式，然後安裝在電腦上；下面是一般的操作步驟，但如果想了解更多細部資訊，你可以檢視特定應用程式提供的說明文件。

1. 挑選一個密碼管理工具。 以下幾種產品很受歡迎：
   • 1Password （封閉原始碼，需付費使用）
   • LastPass （封閉原始碼，免費／需付費使用）
   • Dashlane （封閉原始碼，免費／需付費使用）
   • KeePass （開放原始碼，免費）
   • RoboForm （封閉原始碼，需付費使用）。
   • 你也可以自行上網搜尋，找到自己喜歡使用的密碼管理工具。
2. 安裝在電腦上。
3. 在你慣用的網路瀏覽器中，安裝該密碼管理工具提供的擴充功能或外掛程式。
4. 設定一組可以用來開啟密碼資料庫的高強度主密碼。如需如何執行此操作的建議，請參閱本文件的 如何建立複雜密碼 區段。
5. （非必要）記下主密碼，然後存放在安全的地點，例如銀行保險箱或上鎖的保險櫃。為避免忘記密碼，請務必備份主密碼。
6. （非必要） 使用應用程式的內建工具或透過 SpiderOak 這類服務，在多部裝置之間共用密碼資料庫。如果你使用外部服務，請確保為該服務設定高強度密碼，如果可以的話，也應啟用兩步驟驗證。

現在密碼管理工具已設定完畢，你可以開始產生高強度密碼。找到密碼管理工具的內建密碼產生器，並將工具設定為建立 30-50 個隨機字元，混合包含大寫字母、小寫字母、數字和符號。

你會希望密碼長得像這樣： N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@。 

這串密碼看起來很可怕，但不用擔心，你不需要記住或輸入這種又臭又長的密碼；密碼管理工具將自動代勞。

密碼短句（Passphrase）也是好方法

密碼短句類似密碼，不同之處在於：密碼短句是幾個字詞的隨機組合，不是只有一個字詞而已。例如：copy indicate trap bright。

由於密碼長度是影響密碼強度的主要因素之一，因此密碼短句會比傳統密碼來得安全，而且也更容易記憶、輸入。

雖然密碼短句的強度不如密碼管理工具產生的密碼，但如果你不想使用密碼管理工具，密碼短句仍不失為一個不錯的選擇。 密碼短句也非常適合為密碼管理工具或登入電腦時使用的主要密碼，因為密碼管理工具無法自動幫你填入電腦登入密碼。

如何建立密碼短句

建立密碼短句應遵守的規則，與建立傳統密碼相似，但不需要那麼複雜，因為密碼短句編製方式雖簡單，但長度夠長，可保障安全性。

1. 選擇 4 個隨機字詞。你可以使用 xkcd 密碼短句產生器，但如果是自己編製，那就更好了。  
2. 你可以在字詞之間加入空格。

此時，你的密碼短句看起來應該像這樣： copy indicate trap bright

你可以就把這串當作密碼，或者依照以下步驟額外增加密碼強度：

1. 將一些字母換成大寫。
2. 加入幾個數字和符號。

套用這些規則後，密碼看起來會像這樣： Copy indicate 48 Trap (#) bright

避免事項：

• 切勿將字詞依照可預測的順序排列，或是將字詞組成合理的句子，以免他人輕鬆猜中。  
• 切勿使用歌詞、引文或任何其他已發表的內容。 攻擊者擁有龐大字典資料庫，內含大量已發表作品，可以用來快速猜測密碼。
• 切勿使用任何個人資訊。  否則即使搭配字母和數字，認識你或可在線上肉搜你的有心人士，都可以利用相關資訊，輕鬆猜中你的密碼。

更多密碼安全防護秘訣

除了 WordPress.com 上的帳號外，製作密碼時還需要記住幾個要點，以確保資訊安全。

• 同樣的密碼，不要重複使用。 許多熱門網站系統，無法充分保護你的密碼，駭客經常攻擊這些網站，一口氣竊取上億個帳戶資訊。如果你在不同網站之間使用相同的密碼，攻擊某個網站並取得你帳密的人，就能用同一組帳密登入你的其他帳號。最起碼，所有和財務相關或包含敏感資料的網站，絕對不要和其他網站重複使用相同的密碼，否則有心人士可能濫用這些資料，造成你難以彌補的損失。
• 確保電子郵件密碼強度也足夠強大。 許多線上服務（例如 WordPress.com），都使用電子郵件地址做為用戶的身分識別資料。如果駭侵者取得你的電子郵件存取權限，他們可以輕鬆重設密碼、登入你的帳戶。
• 切勿將密碼告訴他人。 即使你信任對方，攻擊者也可能攔截或竊聽資料傳輸，或是攻擊對方的電腦。如果你懷疑有人知道你的密碼，請立即更改密碼。
• 請勿將密碼以電子郵件傳送給任何人。 電子郵件很少加密，攻擊者可以輕輕鬆鬆讀取郵件內容。WordPress.com 工作人員絕對不會要求你提供密碼。如果你必須共用密碼，請使用安全的傳輸方法 (例如  pwpush.com)，並在第一次檢視後，將連結設為過期。
• 切勿將密碼儲存在網路瀏覽器中， 網路瀏覽器通常無法妥善保護密碼，請改用密碼管理工具以確保安全。如需詳細資訊，請參閱上方的密碼管理工具段落。
• 請勿在公用電腦上儲存密碼 ，或使用「記住我」選項， 否則下一個使用者就能存取你的帳戶。 公用電腦使用完畢後，請務必登出或關閉瀏覽器。
• 切勿寫下密碼。 如果把密碼寫在某處被他人發現，這樣很不安全。將密碼改存在密碼管理工具中才能加密儲存。如需詳細資訊，請參閱上方的密碼管理工具段落。 此規則的例外是，不可恢復的密碼（例如密碼管理工具或作業系統帳戶的主密碼），請以安全的方式另外儲存。 所謂安全的方式，包括將密碼存放在銀行保險箱中，或鎖在保險櫃內。
• 除非你懷疑密碼被盜，否則請勿變更密碼。 如果你是依照本文建議，設定高強度密碼類型，那麼經常變更密碼，對於降低密碼遭竊的風險並沒有幫助。這是因為變更密碼這件事可能給人帶來負擔，一般人為了方便，往往就便宜行事，反而導致遭受攻擊的可能性大增。但如果你懷疑有人取得你的帳戶存取權限，那麼變更密碼絕對是一個明智的防範措施。