教學:20分鐘架設安全高效能WordPress網站

不懂程式的人,也可以輕鬆地架出安全高效能的 WordPress 網站。網路上有許多 WordPress 架站教學,但欠缺關於 WordPress 安全與效能設定的完整教學。本篇教學文章,讓你用最輕鬆的方式,架設一個兼顧安全與效能的 WordPress 網站。

教學大綱

  1. WordPress 是什麼?為何架站用 WordPress?
  2. 架站的主機要怎麼選?有哪些考量?
  3. 20分鐘架設安全高效能WordPress網站

1. WordPress 是什麼?為何架站用 WordPress?

全世界有大約 30% 以上的網站是用 WordPress 建構出來的,至少有八個原因讓大家都考慮使用 WordPress:

  1. WordPress 免費
  2. 不用學程式,也可以架設與管理 WordPress 網站
  3. WordPress 有許多網頁版型與外掛可以免費使用 (付費升級)
  4. WordPress 易於對 Google 的搜尋引擎最佳化 (SEO) 
  5. WordPress 安全可靠,它開源,有明顯漏洞早就被補上
  6. 你可以很輕鬆地把 FB、YouTube 等媒體內容插入 WordPress
  7. WordPress 可擴充,無論做電商、部落格、個人網站都適合
  8. WordPress 有免費且可以輕鬆架設響應式網站 (RWD) 的外掛

比較幾種免費且無廣告的架站選擇:

  • GitHub Pages + Hugo:如果只是想要架設一個靜態網站,不需要資料庫、不需要網友留言、不需要電子商務,那麼這是個好選擇。
  • Blogger:可以架設部落格,彈性擴充也很好,但要自己會寫網頁才有辦法改網站的版型。它內建的後台過於陽春。最大的缺點是,沒有提供資料庫,所以無法做為電商平台使用。
  • Google Site:可以架設符合 RWD 的小型靜態網站,後台功能完善。然而,它本身定位就是一頁式網站,或者小型靜態網站,所以不適合做部落格,因為部落格隨著時間會累積上百篇文章,不易搜尋整合。

如果你的網站屬於中小型企業或個人規模,一開始可能只是發佈消息的官方網站,接下來可與會員互動,未來想做點小型電商、整合線上金流,而且你不太會寫程式。那麼恭喜,WordPress 會是一個成本低又好入門的選擇。

2. 架站的主機要怎麼選?有哪些考量?

要架設一個網站,如果完全不懂電腦的話,那就別考慮在自己的電腦上安裝了。然後,如果你跟我一樣,稍微懂一點電腦、稍微懂一點程式設計呢?一切靠自己打造會不會比較省錢?我分享自己經歷到的技術門檻來回答這個問題。 首先,要安裝 Apache 網頁伺服器,讓它可以執行 PHP 程式,還要安裝 MySQL 資料庫 (和 phpMyAdmin 來管理資料庫),然後再安裝與設定 WordPress。嫌麻煩的話,有個免費軟體叫 Bitnami,可以在 Windows / Mac / Linux 上一鍵安裝好 Apache、MySQL、phpMyAdmin、WordPress,非常方便……嗯…….只是開始。 為了讓網站安全上線,有一堆技術問題要克服:
  • 家用主機是 ADSL,先要改為固定 IP 才能讓外界連到主機。隨即要設定 Windows 防火牆,允許伺服器與外界溝通。
  • 要隱藏後台網址,避免使用預設的 wp-admin,給駭客進攻的入口。
  • 要做登入失敗鎖 IP 的機制,避免駭客以暴力法測試帳號密碼。
  • 要申請 SSL 憑證,並讓網站提供 https 協定。這個功能除了是電商必須要有的,也與 SEO 有關,因為 Google 現在一律把 http 開頭的網站標示為「不安全」。
  • 強制讓 http 一律轉為 https,避免有人用 http 進入網頁。
  • 網站備份與還原
如果你熟悉架設網站、管理網路設定,那麼以上問題難不倒你,可以自己在家架站。或者,除了防火牆設定要自己來之外,其它每個功能在 WordPress 都有免費的外掛可以安裝。用外掛來解決問題的好處是,不用懂低階的設定,裝了就可以用。壞處在於,它其實有點疊床架屋,給你方便使用,但要犧牲一些執行效能。 如果不用家裡電腦,而是租用雲端主機,那又有兩種選擇。第一種跟在家用電腦安裝差不多,例如跟 LinodeGoogle Cloud 租用雲端虛擬主機,然後安裝伺服器、資料庫、以及 WordPress。第二種選擇是租用 WordPress 主機,它直接幫我們把軟體灌好,我們可以直接開始修改網站外觀、編寫文章。這樣看來,租用 WordPress 主機似乎對於不懂電腦架站的人來說,是個不錯的選擇。 要租用雲端 WordPress 主機,怎樣挑才經濟實惠呢?以下是我的考量。
  1. 價格。小資族架站 CP 值是最重要的!
  2. 穩定性。一年有幾 % 的時間是正常服務的。
  3. WordPress 彈性,是否允許自己加裝外掛。
  4. 網站管理功能。要有方便的 UI 管理工具,不要 Console 介面。
  5. 硬碟空間。放圖、放檔案,不要一下子就塞滿。
  6. 網路流量。我們會希望網站熱絡,所以每月流量要大。
  7. 伺服器回應 Google 搜尋的速度要快。這影響 SEO。
接下來就是一陣比較的工作了。國內平台較貴,某家一年要將近 2000 台幣,但只給 10 GB 硬碟空間,每個月 100 GB 網路流量。WordPress.com 的官方平台,便宜的方案竟然不能裝外掛。找著找著,最後比到國外一家叫 BlueHost 的平台,每個月只要 2.95 美金 (台幣不到 100 元),硬碟空間給 50 GB,網路流量不限,方便的管理工具都有提供,穩定上線時間 99.9%,評測回應 Google 的速度目前最快,還送一年的網域位置,省去跟 GoDaddy 買網域及設定 DNS 的麻煩。 關於安全性方面,它直接預設提供 SSL 憑證,也有提供一鍵申請 SSH 憑證。登入太多次失敗鎖 IP 的功能也預設好。設定無法從後台網址登入 WordPress 控制台,只能由 BlueHost 的管理介面登入。等於關於安全性的部分,要做的工作,只剩下強制 http 轉 https,以及備份。前者只需在某個檔案加上三行程式碼即可,後者只需加裝一個免費外掛,按個鈕即可備份網站,各花一分鐘即完成。 我在接下來的教學部分會分享如何租用與設定 BlueHost。有興趣架站的人,可以點下面圖案連結,立刻享有月租 2.95 美元的優惠。

3. 20分鐘架設安全高效能WordPress網站

如果你喜歡研究系統管理,對親自架站的技術有興趣,或者架站技術能幫助你的工作,比如說老闆或委託人請你用公司的電腦跟網路架站,那麼接下來的教學內容可能對你在技術方面的提升沒有幫助。不過你依舊可以參考一下別人做得如何,讓自己打造得更方便易用。

對我來說,架站不是重點,我更想把心思放在網站內容上,那麼,在 BlueHost 架設 WordPress,一個月不到台幣 100 元,解決主機、網路、軟體安裝、安全性、效能等等問題,對我而言實在是個高 CP 值的選擇。架設步驟如下:

  1. BlueHost 官方網站
  2. 選擇每個月 2.95 美元的方案
  3. 填寫想要的網域名稱
  4. 註冊帳號,填寫個人資料
  5. 確認購買內容,填寫付費信用卡資料
  6. Email 驗證,設定登入密碼
  7. 選擇預設版型,推薦最多人用的 Astra,免費、高效能、RWD、功能完整
  8. 登入 BlueHost 管理介面,一鍵設定 SSL 憑證
  9. 編輯 .htaccess 檔案,強制 http 轉 https

完成以上 9 個步驟,就架好一個安全、高效能的 WordPress 網站了。網站預設未公開發佈,我們可以直接在 WordPress 做些設定讓網站公開,或者等我們編輯好網站外觀、寫一些文章,然後才公開網站。關於 WordPress 的使用教學,有空再寫另一篇文章來講。下面先來詳細圖說架網站的 9 個步驟。

第一步,要 BlueHost 官方網站,你會看到下面的畫面。請點選 Get Started。

第二步,選擇方案。以個人或中小企業小規模的用戶,使用最左邊每月 2.95 美元的方案即可。

第三步,輸入網域名稱 (Domain Name)。它第一年免費,第二年之後收費。我有查過價錢,它的 .com 網域名稱並沒有比較貴。所以就在左邊填寫網域名稱,然後按下 Next 鍵。當然,如果你有自己的網域,就請填寫在右邊,然後按右邊的右邊的 Next 鍵。

第四步,填寫個人資料。

如果不知道居住地址的英文翻譯,可以上郵局的網站查詢。查詢畫面如下,只要輸入地址,按下查詢,就會得到地址的英文翻譯。

第五步,確認購買內容,並填寫付款信用卡資料。這步驟有陷阱要注意一下!我們選的方案是每個月 2.95 美金的方案,沒問題。但是在下面,它幫我們勾選了幾個額外的付費加值服務,請記得取消

填寫信用卡資料,檢查以上內容都無誤後,勾選同意合約,然後按下 Submit 鍵。

如果資料無誤的話,等待完成交易後,就會跳出這個畫面。恭喜你,已經完成架設 WordPress 網站一半的步驟了。接下來請先暫停一下,去 Email 信箱看看是否有收到確認信函,我們要進入第六步驟,做 Email 驗證。

第六步,收到來自 BlueHost 的確認信,裡面會有  Verify Your Email 按鈕,按下去,就完成 Email 的驗證。驗證成功的話,你會看到一個 WHOIS Verification 驗證成功的畫面。

接著你會再收到一封信,確認你的購買項目。請注意下方關於密碼的部分,有行 Change Your Password,請點選它設定你的帳號登入密碼。上方的網域名稱請記下來,待會設定密碼會用到。

進入重置密碼的網頁,請輸入你的網域名稱。輸入完畢後,按下下方 Next 鍵。它會出現提示頁面,請你回到 Email 信箱收信。

收到信後,請按下藍色的 Reset Password 按鈕。它會帶你進入重設密碼的頁面。

在重設密碼的頁面,輸入你的密碼。它很貼心地幫你簡查輸入的密碼強度是否足夠安全性。會要求你至少 8 個字以上,且大寫英文字、小寫英文字、數字、符號至少都要包含一個。完成重設密碼後,會跳出一個恭喜你的網頁。請點按下方的 go to login 鍵,登入 BlueHost 管理介面。我們將進入第七步驟。

請以你的網域名稱來登入 BlueHost 系統。初次登入,它會問你網站用途,你可回答可不回答。如果不回答,下方有 “Skip this step”,按下即可跳過。然後它會問要如何設定 WordPress,左邊是自己設定,右邊是使用 BlueHost 的工具與版型。我選擇左邊,自己設定。然後它又會再問幾個網站用途的問題,一樣選擇 “Skip this step” 跳過,最後會問你要預設套用哪個佈景主題。基於免費、效能與方便性,我選擇最多人使用的 Astra 佈景主題,如圖所示。

進入到 BlueHost 的管理介面,我們會看到中間 Wellcome 大字下寫著 Not Published,代表新創立的 WordPress 網站還沒發佈出去,沒關係,我們先來設定網站安全性的事情。請先點選左下方 Advanced 選項,進入專業管理介面。

進入 Advanced 管理介面後,尋找 SECURITY 區塊,設定關安全性的項目。找到後,點選 SSL/TLS 那一項,設定憑證的強度。它預設是使用 RSA 2048-bit 的金鑰來加密,你可以選擇自己想要的強度,按下 Save 鍵,一鍵輕鬆完成 SSL 設定。並且,系統已預設執行 AutoSSL,每隔一段時間會自動幫你更新憑證。

第九步,為了讓以 http 進來的連線,強制轉為 https 連線,我們要更改一個叫 .htaccess 的檔案。請先找到 FILES 區塊,然後點選 File Manager 項目。進入 File Manager 畫面後,點擊 public_html 資料夾,進入該資料夾目錄。

接著,按下畫面右上角的 Settings 按鈕,它會跳出一個小視窗,請勾選 Show Hidden Files 項目,然後按下 Save 鍵。

接著,資料夾目錄內就可以看得到 .htaccess 這個檔案,請點選它,然後按下畫面上方的 Edit 鍵,它會跳出一個提示視窗,按 Edit,進入檔案編輯介面。

進入 .htaccess 檔案編輯畫面後,# END WordPress 這行的前面,加入三行程式碼

RewriteEngine On 
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

然後按下右上方的 Save Changes 按鈕。如此一來,我們就完成了強制 http 轉 https 的設定。

以上教學,帶大家用 20 分鐘快速建構一個安全又高效能的 WordPress 網站。關於網站備份的部分,在分享 WordPress 操作時再教,只要安裝一個免費的外掛,即可自動備份到 Google Drive 雲端硬碟,一切都簡單又免費。 如果你不打算花太多時間與精力在管理伺服器和網站,想要專注於撰寫你的網頁或部落格內容,推薦你使用 BlueHost 來架設 WordPress,經濟實惠。

註:網頁頂端 WordPress 圖片,修改自 Nuevo logo de wordpress,原圖作者為 Zekelhuter,依 CC BY-SA 4.0 授權。