安全設定

HTTP 安全標頭、XML-RPC、REST API 用戶列舉、SSL 模式與 HTTPS 強制跳轉。

需要注意

7 個 HTTP 安全標頭未設定（X-Frame-Options、CSP、HSTS 等），瀏覽器無法啟用內建防護
Cloudflare SSL 模式為 full，未驗證源站憑證，存在中間人攻擊風險
Always Use HTTPS 未開啟，HTTP 請求不會自動跳轉 HTTPS
XML-RPC 介面開啟中，可被用於暴力破解登入或 DDoS 放大攻擊
REST API 可列舉所有用戶帳號，攻擊者可取得管理員帳號名稱
最低 TLS 版本為 1.0，允許不安全的舊協定（TLS 1.0/1.1）連線

共 6 項 — 3 高 / 3 中

HTTP 安全標頭

問題：7 個 HTTP 安全標頭未設定（X-Frame-Options、CSP、HSTS 等），瀏覽器無法啟用內建防護
原因：伺服器和 CDN 均未設定安全回應標頭
建議：在 Cloudflare 或 Nginx 設定所有缺失的安全標頭
影響：此項影響等級：高
驗收：所有 7 個安全標頭檢測通過，missing = 0

SSL 模式

問題：Cloudflare SSL 模式為 full，未驗證源站憑證，存在中間人攻擊風險
原因：Cloudflare SSL 設定未調整為最高安全等級
建議：將 Cloudflare SSL/TLS 模式改為 Full (Strict)，並確認源站有有效憑證
影響：此項影響等級：高
驗收：Cloudflare SSL 模式 = Full (Strict)

HTTPS 強制跳轉

問題：Always Use HTTPS 未開啟，HTTP 請求不會自動跳轉 HTTPS
原因：Cloudflare 的 Always Use HTTPS 設定未啟用
建議：開啟 Cloudflare SSL/TLS → Edge Certificates → Always Use HTTPS
影響：此項影響等級：高
驗收：存取 http:// 自動 301 跳轉至 https://

XML-RPC

問題：XML-RPC 介面開啟中，可被用於暴力破解登入或 DDoS 放大攻擊
原因：WordPress 預設啟用 XML-RPC，未被外掛或伺服器規則封鎖
建議：透過安全外掛或 Nginx 規則封鎖 xmlrpc.php
影響：此項影響等級：中
驗收：存取 /xmlrpc.php 回應 403 或 404

REST API 用戶列舉

問題：REST API 可列舉所有用戶帳號，攻擊者可取得管理員帳號名稱
原因：WordPress REST API 預設公開 /wp-json/wp/v2/users 端點
建議：封鎖未登入使用者存取 /wp-json/wp/v2/users
影響：此項影響等級：中
驗收：未登入狀態存取 /wp-json/wp/v2/users 回應 403

TLS 最低版本

問題：最低 TLS 版本為 1.0，允許不安全的舊協定（TLS 1.0/1.1）連線
原因：Cloudflare 預設允許較舊的 TLS 版本
建議：將 Cloudflare 最低 TLS 版本設為 1.2
影響：此項影響等級：中
驗收：Minimum TLS Version = 1.2

SSL / HTTPS

項目	值	狀態	建議
SSL 模式	full	待改善	改為 Full (Strict)
Always Use HTTPS	關閉	待改善	開啟
最低 TLS 版本	1.0	待改善	設為 1.2

CDN 安全

項目	值	建議
Security Level	medium	—
Browser Check	開啟	—
Bot Fight Mode	關閉	電商站不建議開啟（會擋金流回調和爬蟲）
WAF	off (Free plan)	—

WordPress 安全

項目	值	建議
wp-config 權限	664	—
XML-RPC	開啟	關閉
REST API 用戶列舉	暴露	封鎖
後台路徑	/wp-admin/	—
管理員數	6	—

Security Headers

已設定 0 / 7

Header	狀態	值
x-frame-options	未設定	—
x-content-type-options	未設定	—
strict-transport-security	未設定	—
content-security-policy	未設定	—
referrer-policy	未設定	—
permissions-policy	未設定	—
x-xss-protection	未設定	—

相關頁

風險總覽｜已知漏洞｜動態掃描｜程式碼掃描｜外掛清單