如何確保WordPress網站學生資料安全（符合FERPA和GDPR規定）

如果您的教育機構有一個收集學生資料的網站，那麼保護這些資料既是法律責任，也是道德責任。

除了保持與學生及其家庭的信任，在許多司法管轄區，遵守資料保護法也是強制性的。需要考慮的兩個主要法規是

• FERPA（《家庭教育權利和隱私法案》）。美國的這項法規包括合規要求，如只允許經授權的個人訪問學生資料，以及在共享學生資料前獲得書面同意等。美國教育部有一個專門針對學生隱私的網站，其中包含許多有關 FERPA 的資源。
• GDPR（《通用資料保護條例》）。該歐洲法規包括一系列合規要求，如在收集資料時獲得明確同意、確保資料可移植性、實施“隱私設計”原則以及在資料洩露時及時通知學生和相關部門。我們有一篇關於 WordPress GDPR 合規性的文章。

這篇文章介紹了在使用 WordPress 構建的教育網站上保護學生資料安全的一些實用方法。其中包括加密學生資料等技術竅門，以及對員工進行資料安全教育等其他重要策略。

使用安全的託管服務提供商

安全的託管服務提供商是保護 WordPress 網站上學生資料的最有效方法之一。配置良好的主機有助於防止未經授權的訪問、資料洩露和停機。

確保選擇的伺服器提供商能夠為教育機構提供的 WordPress 託管具有內建安全功能，可幫助保護您組織的資料，其中包括

• 安全的基礎架構。比如在源端使用由 Google Cloud Platform 提供支援的安全基礎架構，在網路邊緣使用 Cloudflare。
• 免費 SSL 證書。提供免費的 SSL 證書，這一點非常重要，因為啟用 SSL 證書可以在網站伺服器和學生瀏覽器之間傳輸資料時對資料進行加密。
• 防火牆。所有網站都受到兩個企業級防火牆的保護。Cloudflare 的防火牆在網路邊緣保護您的網站，防止許多攻擊到達您網站的源伺服器。您的網站還受到 Google 雲平臺基於 IP 的保護防火牆的保護。
• 自動備份。在所有計劃中每天都會自動備份您的網站，並將備份儲存在安全的位置。您還可以增加自動備份的頻率，最多可每小時備份一次。
• 雙因子身份驗證 (2FA) 。您可以使用 2FA 安全訪問您的託管賬戶。
• 24/7 全天候支援。如果您需要任何幫助，可以訪問 24/7 即時聊天支援。

伺服器託管基礎設施圖。

無論選擇哪家託管服務提供商，都要確保充分利用其所有安全功能。

加密資料和備份

加密有助於在傳輸和靜止時保護學生資料，確保敏感資訊安全，防止未經授權的訪問。

首先，必須在 WordPress 網站上使用 SSL/TLS 證書並啟用 HTTPS。這樣可以在學生瀏覽器和 WordPress 網站之間傳輸資料時對資料進行加密，防止第三方截獲。

如果您要儲存學生資料，可能還需要對靜態資料進行加密。具體方法取決於資料的儲存位置：

• 如果資料儲存在 WordPress 資料庫中，可以考慮使用具有內建加密功能的資料庫。例如，MariaDB 支援透明資料加密 (TDE)，可對靜態資料進行加密。
• 如果您使用的是外部資料庫，請檢查它是否支援加密以及如何正確配置。

對包含學生資料的任何備份進行加密也很重要，因為這些備份可能成為未經授權者訪問學生資料的另一個媒介。

伺服器自動備份列表。

許多 WordPress 備份外掛還包括可以加密 WordPress 備份的功能。例如，BackWPup Pro 有一個特殊的加密功能，您可以用它來保護備份中學生資料的安全。

對員工和管理員進行資料安全教育

保護學生資料安全是一項團隊工作。即使您在技術層面上將一切設定得完美無缺，但簡單的人為錯誤，如重複使用弱密碼或對敏感資料處理不當，也可能導致安全漏洞。

為了防止這些風險，重要的是要教育員工和管理員在處理學生資料時的責任。

您應該瞭解以下內容：

• 密碼政策。要求員工為自己的賬戶使用獨特、強大的密碼。您還可以鼓勵他們使用 Bitwarden 或 LastPass 等密碼管理器。
• 資料處理實踐。授權員工應接受安全處理學生資料的培訓。例如，如果員工透過電子郵件或其他不安全的渠道共享未加密的檔案，在伺服器上加密學生資料也無濟於事。
• 預防網路釣魚。您應解釋常見的網路釣魚攻擊型別以及員工如何避免這些問題。例如，不點選電子郵件中的連結，不共享雙因素身份驗證的 OTP 等。英國政府有一個很好的頁面，介紹如何保護您的組織免受網路釣魚攻擊。

限制對網站和資料的訪問

除了教育員工和管理員如何正確處理資料外，您還應限制誰可以訪問學生資料。一般來說，訪問學生資料的人員越少，資料的安全性就越高，人為失誤導致資料洩露的機率也就越小。

除了普遍提高資料安全性外，FERPA 還明確要求您限制只有經過授權的人才能訪問學生資料。

在 WordPress 上，您可以使用 WordPress 核心使用者角色系統來限制每個使用者的訪問許可權。WordPress 有五個內建使用者角色（如果您使用 WordPress 多站點，則有六個），但您可以自由建立自己的角色或編輯預設角色。

WordPress 預設的使用者角色。

每個角色都有一組預定義的“許可權”，用於控制使用者的個別操作/訪問。我們在 WordPress 角色和許可權詳細指南中介紹了這些主題。

為了更方便地管理這些角色和功能，您可以使用 User Role Editor 外掛。

它提供了一個簡單的介面，您只需勾選一個覈取方塊，就可以啟用或停用特定功能。您可以編輯 WordPress 預設使用者角色的功能，也可以建立自己的角色。

如何使用 User Role Editor 管理使用者角色和功能。

然後，您可以進一步對所有可以訪問敏感資料的使用者實施雙因素身份驗證。您可以使用 Wordfence Login Security 這樣的外掛進行設定，它允許您對網站上的特定使用者角色要求雙因素身份驗證。

如果您要求任何可以訪問學生資料的使用者角色使用雙因素身份驗證（同時強制使用高強度密碼），就可以大大降低未經授權人員訪問的機率。

負責任地收集資料（並儘量減少資料收集）

除了確保所擁有的學生資料的安全外，首先注意如何收集學生資料也很重要。

首先，應儘量減少收集的資料。試著想想為什麼要收集每項資料，只收集教育機構執行所需的資料。

然後，在收集資料時，確保以負責任的方式進行。

您應該制定同意書，對您收集的所有學生資料收集明確的同意。

您還應制定詳盡的隱私政策，解釋以下內容：

• 您要收集哪些資料。
• 為什麼要收集這些資料。
• 如何儲存資料。

為了幫助建立和顯示隱私政策，您可以使用像 Complianz 這樣的 WordPress 外掛。

此外，您還必須安裝 SSL/TLS 證書並啟用 HTTPS，這樣您透過網站收集的任何資料在從使用者瀏覽器傳輸到您的伺服器時都會經過加密。

最後，您應該實施資料保留政策，規定資料的儲存時間，並定期刪除不再需要的資料。

例如，如果你只需要在校學生的某些資訊，那麼一旦學生畢業，繼續儲存這些資料就沒有意義了。資料保留策略可以確保您在不再需要資料時將其正確刪除。

要自動執行某些資料保留策略，可以使用 WordPress 外掛，如 Advanced Database Cleaner。它可以讓您按照自己設定的時間表從資料庫中清除某些資料（也可以在需要時手動執行）。

如何使用 Advanced Database Cleaner 外掛刪除資料。

確保所有檔案上傳和許可權安全

為了保護您的網站和資料免受惡意檔案的攻擊，確保檔案上傳至網站的安全也很重要。這可以防止有意或無意地將惡意檔案上傳到您的伺服器，從而有可能造成資料洩露。

首先，您應該限制允許上傳到伺服器的檔案型別。阻止所有潛在的惡意檔案型別，只允許上傳網站所需的特定型別檔案。在 WordPress 上，您可以使用 File Upload Types 這樣的免費外掛來控制允許上傳的檔案型別。

如何使用 File Upload Types 外掛限制檔案型別。

您還應該嚴格控制允許哪些使用者上傳檔案到您的網站。正如我們前面所討論的，您可以使用 WordPress 的角色系統來做到這一點。更具體地說，您可以使用 upload_files 許可權來控制哪些使用者角色可以上傳檔案。

配置伺服器以限制上傳檔案的訪問許可權也很重要，這可以透過 .htaccess 規則或 nginx.conf 來實現。還應確保設定適當的檔案許可權，以控制對伺服器上這些檔案的訪問。

審計和監控對學生資料的訪問

監控學生資料和稽覈學生資料訪問許可權也很重要。

例如，如果您想檢視誰檢視了學生資料、對學生資料的任何修改等。這可以幫助您發現潛在的問題，並確保您的員工遵守您的資料儲存和處理政策。

要跟蹤檢視或修改學生資料的 WordPress 使用者，可以使用 WP Activity Log 這樣的外掛。除了可以檢視 WordPress 儀表盤內的操作日誌外，還可以透過電子郵件或簡訊設定警報，幫助您快速發現任何可疑活動。

WP Activity Log 外掛示例。

除了記錄 WordPress 中的活動外，您還應該定期進行審計，檢視資料庫條目和使用者訪問日誌。

MySQL和MariaDB都包含可供您使用的日誌工具，不過您可能需要啟用它們：

• MariaDB 日誌文件
• MySQL 日誌文件

只使用可信的WordPress外掛

WordPress 外掛種類繁多，這也是 WordPress 之所以如此適合教育網站的原因之一。

但是，您在網站上安裝的每個外掛都有可能導致資料安全問題。因此，必須徹底審查每個外掛，並且只使用來自高質量、值得信賴的 WordPress 開發人員的外掛。

在安裝任何外掛之前，請確保您考慮了以下因素：

• 開發人員的支援和更新。確保開發人員仍在積極支援外掛併發布新的更新。特別注意任何安全更新。即使是最好的軟體也會出現安全問題，但開發人員會迅速釋出安全補丁，並提供有關漏洞的資訊。
• 使用者評論。這些評論是瞭解其他使用者使用體驗和外掛整體質量的重要視窗。
• 啟用安裝。一般來說，您應該警惕啟用安裝數較低的外掛。不過也有例外情況。例如，如果一個外掛解決了一個非常小眾的問題，但仍然來自一個值得信賴的開發者，你就不應該自動排除它。

除了關注外掛和開發者的質量，您還應該評估外掛的設計是否符合 FERPA、GDPR 和其他相關準則。

例如，即使一個外掛來自一個具有良好記錄的高質量開發商，但如果該外掛收集或儲存資料的方式本質上不符合 FERPA 或 GDPR 的規定，那麼它仍然可能不是一個合適的外掛。

及時更新WordPress、外掛和主題

及時更新 WordPress 核心、外掛和主題對於維護網站安全至關重要。過時的軟體會暴露惡意行為者可能利用的漏洞。

根據 Sucuri 的 2023 年安全報告，39.1% 的駭客 CMS 網站在感染時執行的是過時軟體。此外，在 2023 年，WordPress 生態系統中 97% 的新安全漏洞都是由外掛造成的。

要降低這些風險，必須及時將所有安全更新應用到 WordPress 核心、外掛和主題中。定期更新可確保已知漏洞得到修補，從而降低被利用的風險。

如果您擔心軟體更新會導致網站出現問題，可以先在暫存網站上進行測試，然後再將它們應用到您的即時網站上。

• 外掛和主題的計劃更新。它會在您選擇的日期對所有外掛和主題進行更新，確保您的網站保持最新。
• 更新前自動備份。在應用任何更新之前，它都會自動進行新的備份，以便您有一個乾淨的還原點。
• 視覺化迴歸測試。這意味著比較更新前後網站的外觀。如果發現任何問題，它會自動回滾到還原點。

自動更新工具。

您也可以考慮使用 Easy Updates Manager 這樣的外掛。它可以透過幾種不同的方式提供幫助：

• 可用更新的電子郵件通知。當有新外掛更新時，您可以收到一封電子郵件，如果您不是每天都檢視 WordPress 儀表盤，這將很有幫助。
• 管理自動更新。如果您想啟用外掛自動更新，您可以使用工具進行管理，例如安排何時應用更新。
• 日誌記錄。您可以檢視已應用更新的日誌。
• 自動備份。如果使用開發者的 UpdraftPlus 外掛，它可以在更新外掛前自動備份網站。

準備好資料洩露協議

如果您遵循了上述所有提示，那麼您應該能夠很好地保護學生資料的安全。

但是，制定一個萬一出了問題怎麼辦的計劃仍然很重要，這就是為什麼您應該為任何資料洩露制定一個預先確定的協議。

首先，您應該制定一個如何傳達任何資料洩露的通知計劃：

• 計劃如何通知受影響的個人使用者。您需要及時這樣做。例如，GDPR 要求您在 72 小時內通知使用者。
• 查詢資料洩露時需要通知哪些機構，以及如何與他們取得聯絡。

許多 WordPress GDPR 合規外掛可以幫助您向受影響的使用者報告資料洩露情況。例如，Complianz 外掛有一個資料洩露報告嚮導，可以幫助您報告和管理資料洩露。其他一些外掛也提供類似的工具。

除了滿足報告要求，您還需要制定網站恢復計劃。例如，如果網站出現漏洞，您可能需要恢復到最近的乾淨備份。

您還應該定期測試將備份還原到暫存環境，因為這樣可以積累實際經驗，以便在壓力較大時還原備份。

小結

無論您如何構建教育機構的網站，都必須確保學生資料的安全，以遵守美國的 FERPA 和歐洲的 GDPR 等法律。

如果您使用 WordPress，您可以利用 WordPress 的核心功能和 WordPress 豐富的外掛庫來幫助您保護學生資料並遵守相關法律。

如果您將適當的 WordPress 設定和使用者教育與可靠、