雖然在線存在有助于吸引大量受眾并擴展您的業(yè)務，但它也帶來了某些威脅和風險。像 WordPress 這樣的頂級開源 CMS 平臺可能更容易受到攻擊，需要優(yōu)先考慮最佳安全性。

幸運的是，如果您采取正確的步驟，您可以保護您的 WordPress 網(wǎng)站并防止漏洞和泄漏。在本文中，我們將讓您了解您的 WordPress 網(wǎng)站帶來的威脅和風險因素，以及您可以采取哪些措施來確保您的 WordPress 網(wǎng)站保持安全。

WordPress 安全嗎？

盡管 WordPress 是一個安全的內(nèi)容管理系統(tǒng)，但它很容易成為安全漏洞的犧牲品。由于 WordPress 是一種流行的 CMS，它已成為網(wǎng)絡攻擊者的熱門目標。名為 Wordfence 的防火墻服務報告稱，它阻止了WordPress 網(wǎng)站上的185 億次密碼攻擊請求。

根據(jù)通用漏洞評分系統(tǒng)，每10 個WordPress 網(wǎng)站中就有 8 個屬于“中”或“高”。該數(shù)據(jù)表明 WordPress 可能并不像您基于其受歡迎程度所想象的那樣安全。但是，我們?nèi)匀唤ㄗh使用 WordPress。將近 50% 的網(wǎng)站使用 WordPress 作為他們的主要 CMS。

您應該知道 WordPress 在這里并不完全是錯誤的。事實上，他們擁有一支世界一流的研究人員團隊，他們會定期發(fā)布新的安全更新，使 WordPress 成為一個更安全的平臺。但問題出現(xiàn)在 WordPress 是如何提供給用戶的。

由于 WordPress 是一個開源平臺，源代碼可以在任何地方修改和分發(fā)——它的軟件是無限定制的。雖然這種靈活性是 WordPress 受歡迎的一個重要原因，但它也使其容易出現(xiàn)許多安全問題。

如果用戶根據(jù)自己的喜好對其進行優(yōu)化和自定義，則用戶有責任確保其網(wǎng)站的安全。但由于許多用戶對此不屑一顧，因此有機會潛入并利用漏洞。

例如，對于中大型網(wǎng)站，一些用戶試圖自己管理整個網(wǎng)站，而不是信任托管的 WordPress 托管?服務。由于用戶可能無法自己監(jiān)督一切，因此他們會損害安全性和網(wǎng)站基礎(chǔ)設(shè)施。了解您無法完全消除風險因素，但您可以確保通過采取特定措施盡可能地減少它們。

為什么 WordPress 安全性很重要？

如果 WordPress 網(wǎng)站不安全，它會給您的業(yè)務帶來多種風險和威脅。對于初學者來說，如果您的網(wǎng)站沒有得到最佳保護，它很容易被黑客入侵。黑客可以竊取您的私人信息、密碼和客戶數(shù)據(jù)并泄露或更改這些信息。

其次，黑客可以在您的網(wǎng)站上安裝惡意軟件，這些惡意軟件可以分發(fā)給您的用戶，從而危及您網(wǎng)站的真實性和聲譽。更重要的是，如果您的網(wǎng)站遭到黑客攻擊，您可能會發(fā)現(xiàn)自己向黑客支付贖金以恢復您網(wǎng)站的訪問權(quán)限。

你有沒有去過一個網(wǎng)站，看到一個搜索引擎彈出窗口說“不安全”？該彈出窗口會顯著增加跳出率，因為用戶會在發(fā)現(xiàn)網(wǎng)站不安全時離開該網(wǎng)站。

基于商業(yè)的網(wǎng)站不應承擔這些風險——它會對您的收入和融洽關(guān)系產(chǎn)生負面影響。就像鎖定商店、保持收銀機有人值守、在各處安裝攝像頭是實體店的職責一樣，您需要采取同等措施來確保您的在線營業(yè)場所安全無虞。

WordPress 安全漏洞的類型

1. 后門

顧名思義，此漏洞為黑客和竊取者提供隱藏通道或“后門”以繞過加密和安全措施進入您的網(wǎng)站。他們使用非正統(tǒng)的方法訪問網(wǎng)站，例如 wp-admin 和 SFTP。

一旦這些后門被成功使用，黑客就可以通過污染和攻擊對托管服務器造成嚴重破壞。它可以同時影響托管在同一服務器上的每個網(wǎng)站。這些后門可能看起來像合法的系統(tǒng)文件，并順利地進入 WordPress 數(shù)據(jù)庫，在那里它們在過時的平臺版本中安裝錯誤。

幸運的是，您可以通過將您的網(wǎng)站與SiteCheck等可以輕松檢測常見后門的安全工具集成來防止此漏洞。您還可以使用由HostPapa托管的 WordPress主機，它帶有檢測和刪除后門的安全措施，包括阻止 IP、雙因素身份驗證、限制管理員訪問以及防止未經(jīng)授權(quán)執(zhí)行 PHP 文件。

2. 制藥黑客

制藥黑客在過時版本的 WordPress 及其插件中插入流氓代碼。當搜索受感染的網(wǎng)站時，它會導致搜索引擎返回醫(yī)藥產(chǎn)品的廣告。這個漏洞更像是垃圾郵件的威脅，而不是惡意軟件的并發(fā)癥，但它為搜索引擎提供了足夠的理由來阻止有關(guān)垃圾郵件分發(fā)報告和指控的網(wǎng)站。換句話說，Pharma Hacks 可以永久阻止您的網(wǎng)站。如果您使用推薦的具有更新服務器和適當管理的WordPress 托管，則可以防止 Pharma Hacks。

3. 暴力登錄嘗試

暴力登錄嘗試使用自動化腳本來利用弱密碼來訪問 WordPress 網(wǎng)站。這就是為什么你應該讓你的密碼盡可能強。

雙因素身份驗證、限制登錄嘗試、阻止 IP、監(jiān)控未經(jīng)授權(quán)的登錄、監(jiān)控不熟悉的設(shè)備以及使用強密碼可以有效防止暴力登錄嘗試。

4. 惡意重定向

惡意重定向使用 FTP、SFTP 和 wp-admin 等異常方法在 WordPress 中創(chuàng)建后門，并將重定向代碼注入網(wǎng)站。這些重定向通常放在您的“.htaccess 文件”和其他核心 WordPress 文件中，這些文件會將您的訪問者重定向到惡意站點。我們在本文中討論的安全措施將有助于保護您的網(wǎng)站免受惡意重定向。

5. 跨站點腳本 (XSS)

當惡意腳本被注入可信賴的應用程序或網(wǎng)站時，就會發(fā)生跨站腳本 (XSS)。黑客或攻擊者會在用戶不知情的情況下向用戶發(fā)送惡意代碼，從而獲取黑客可以使用的 cookie 或會話數(shù)據(jù)。WordFence報告稱，跨站點腳本是最常見的 WordPress 插件漏洞。

6. 拒絕服務

拒絕服務 (DoS) 可能是最危險的 WordPress 漏洞。它通過代碼中的錯誤和錯誤淹沒了網(wǎng)站操作系統(tǒng)的內(nèi)存。黑客通過 WordPress 的過時和有缺陷的 WordPrs 版本在數(shù)百萬個網(wǎng)站上利用 DoS 獲得數(shù)百萬美元。DoS 通常被出于經(jīng)濟動機的網(wǎng)絡攻擊者使用，這將大型公司置于風險之中。

應對此漏洞的第一步始終是更新版本的 WordPress。也就是說，即使是最新版本也無法完全抵御專業(yè)級的 DoS 攻擊。但是，它可以保護您免于陷入金融機構(gòu)和網(wǎng)絡犯罪分子之間的交火之中。

您是否想知道可以采取哪些措施來確保您的網(wǎng)站盡可能安全，免受這些漏洞的影響？遵循本指南并實施我們的每個 WordPress 安全提示和措施，從獲得安全的 WordPress 托管開始，為您的網(wǎng)站獲得最高級別的安全性。

選擇安全的 WordPress 托管

WordPress 安全不僅僅是獲得幾個證書來加密您的站點。實際過程從選擇安全的WordPress 托管開始。這是因為您的主機負責 Web 服務器級別的安全性，如果安全漏洞影響您在服務器上的站點，則您的服務器主機將有過錯。

可以通過服務器加固創(chuàng)建一個完全安全的 WordPress 環(huán)境，它采取多層硬件和軟件安全措施來確保物理和虛擬基礎(chǔ)架構(gòu)的安全，并可以抵御威脅。

服務器強化并不容易——需要花費大量時間、精力和金錢，尤其是當您只有一個網(wǎng)站需要保護時。這就是人們不選擇此類安全措施的原因。?消除此問題的最佳方法是獲得托管 WordPress 托管，它具有增強的安全性。您的主機將為您提供自己的網(wǎng)絡空間，并負責確保您的網(wǎng)站安全和更新。

使用最新的 PHP 版本

PHP 是您的 WordPress 網(wǎng)站最關(guān)鍵的部分，因此您需要使用最新版本。從發(fā)布之日起，每個版本的 PHP 都支持兩年。在此期間，安全問題和錯誤會定期修復。PHP 8.1 為最新版本，不再支持 PHP 7.3 或以下任何版本。任何使用不受支持版本的人都會面臨不同的安全漏洞。

不幸的是，據(jù)WPTavern稱，PHP 5.6 仍然是使用最多的 PHP 版本，而 95.3% 使用 PHP 的網(wǎng)站仍在使用系列 5 版本。換句話說，大多數(shù)在 WordPress 上注冊的網(wǎng)站都沒有使用更新版本的 PHP，而是使用不再受支持或受保護的版本。考慮到這一點，WordPress 不應為網(wǎng)站中的安全漏洞負責——網(wǎng)站所有者才是。

有時企業(yè)和開發(fā)人員需要時間來測試和檢查他們的網(wǎng)站是否與代碼兼容，但是在不再正式安全的代碼上運行他們的網(wǎng)站是愚蠢的。除此之外，舊的 PHP 版本沒有像新版本那樣優(yōu)化并且會對性能產(chǎn)生負面影響。

如果您不知道您使用的是哪個 PHP 版本，請查看您的主機是否提供了請求標題選項。出于安全原因，許多托管服務提供商不會顯示此信息。但是，您仍然可以檢查和切換 PHP 版本，具體取決于您的托管服務提供商向您提供的權(quán)限。

設(shè)置智能用戶名和密碼

加強安全性的最簡單方法之一是設(shè)置強用戶名和密碼。令人驚訝的是，很多人不這樣做。根據(jù)SplashData 的 2019 年前 50 個密碼，最流行的密碼是“123456”，其次是一個非常幼稚的“密碼”。名單上的其他人是“iloveyou”和“12345678”。這就是為什么有些主機會在您登錄時強制使用強而復雜的密碼的原因之一。

安全基礎(chǔ)知識從您的用戶名和密碼開始。雖然您應該始終創(chuàng)建最強的密碼，但請確保將它們記在某個地方，以便在您忘記密碼時可以訪問您的網(wǎng)站。

如果您有多個網(wǎng)站，請為每個網(wǎng)站設(shè)置不同的密碼。您甚至可以使用在線密碼管理器來管理不同站點和平臺的密碼，而不必使用便利貼。HostPapa 提供了創(chuàng)造性地設(shè)置和管理用戶名和密碼的重要提示。

始終更新 WordPress、插件和主題的版本

如果 WordPress 及其插件和主題未更新到最新版本，它們可能會給您帶來問題。這些需要更新是有原因的——更新通常伴隨著安全增強和錯誤修復。

選擇不更新可能會導致安全漏洞、黑客攻擊和利用不同的漏洞。令人驚訝的是，數(shù)以百萬計的網(wǎng)站正在運行過時版本的 WordPress 和插件。

網(wǎng)站所有者不更新 WordPress 和插件和主題的常見借口是他們的網(wǎng)站會崩潰、插件無法工作、他們的核心修改將消失，或者他們不需要新功能。

事實上，網(wǎng)站“崩潰”的原因之一是它們沒有更新到更安全的版本。核心修改是有風險的，WordPress 開發(fā)人員和專家絕不會推薦它們。如果他們阻止您更新到新版本，那是不值得的。

WordPress 更新大多帶有必備的安全修復程序和補丁以及運行最新插件的附加功能。如果更新給功能帶來任何變化，它只會進一步改進它。

不故意更新您的 WordPress 或其主題和插件是愚蠢的。一份報告顯示，插件漏洞?約占黑客入口點的 56%。更新您的插件可以確保您不會受此影響——主題和 WordPress 軟件也是如此。

如果您管理過 WordPress 托管，則不必擔心進行更新 – 它將由您的托管商處理。但是，如果您沒有訂閱該服務，請繼續(xù)閱讀以了解如何更新您的 WordPress、主題和插件。

更新您的 WordPress 版本

WordPress 使其用戶更新您的 WordPress 版本變得非常簡單。您可以直接從 WordPress 儀表板執(zhí)行此操作。要更新您的 WordPress 軟件，請轉(zhuǎn)到WordPress 儀表板中的更新，然后單擊立即更新。您也可以通過在設(shè)備上下載最新版本并通過 SFTP 上傳來手動更新 WordPress，但要小心。覆蓋錯誤的文件夾可能會破壞您的站點。如果您不知道如何操作，請堅持使用自動更新。

更新您的 WordPress 插件

首先，確保您安裝了受信任的插件。標有“特色”和“流行”的插件通常是您可以信任的插件。確保從 WordPress 下載相同的插件，而不是其副本或同名插件?；蛘?，您可以直接從開發(fā)它的網(wǎng)站下載您想要的插件。這樣，就不可能下載損壞的版本。

其次，提防免費插件。雖然它們中的大多數(shù)都很好用，但有些是有害的，會逐漸影響您網(wǎng)站的安全。我們始終建議您獲得高級插件。

更新插件的過程與更新 WordPress 非常相似。要更新 WordPress 插件，請轉(zhuǎn)到您的 WordPress 儀表板并單擊更新。將顯示具有可用更新的插件。選擇您要更新的插件（通過標記它們）并單擊Update Plugins。

同樣，您也可以手動更新您的插件。您可以從開發(fā)人員或 WordPress 存儲庫獲取最新的插件版本并通過 FTP 上傳。確保您正在覆蓋“/wp-content/plugins”目錄中的現(xiàn)有插件。

您應該始終獲得一個保持最新的插件。根據(jù)WPLoop的一份報告，近 50% 的插件在兩年內(nèi)沒有更新。這并不意味著插件不能工作，但是一段時間沒有更新的插件會存在一些安全漏洞。?為避免這種情況，請在下載插件時查看“最后更新”日期。檢查其評級和標簽以確保。留意 WordPress 在長時間未更新的插件頂部的警告。

更新您的 WordPress 主題

更新 WordPress 主題與更新 WordPress 或其插件一樣簡單。在我們學習如何更新主題之前，讓我們熟悉如何以正確的方式安裝主題。

主題會改變您網(wǎng)站的外觀。它還可以伴隨獨特的功能或條款，具體取決于主題。人們對主題非常輕視，但事實是主題可以幫助您的網(wǎng)站發(fā)展。下載錯誤的主題（未正確驗證或更新的主題）會使您的網(wǎng)站處于危險境地。因此，您應該知道如何選擇合適的 WordPress 主題。

當前版本的 WordPress 帶有四個預安裝的主題，它們是：

• 二十九
• 二十 二十
• 二十二十一
• 二二十二

首次登錄 WordPress 時，您會看到默認主題，但您可以安裝新主題。有兩種方法可以在 WordPress 中安裝新主題。一種是通過儀表板進行，另一種是上傳您自己的主題。

要從 WordPress 安裝新主題，請從 WordPress 儀表板轉(zhuǎn)到外觀，然后選擇主題>添加新主題。使用搜索和篩選選項來查找您正在尋找的主題。

單擊預覽以查看主題在您的網(wǎng)站上的外觀。如果您喜歡，請單擊立即安裝，主題將添加到您的站點。安裝主題后，選擇Activate Theme。

在 WordPress 上獲得主題的第二種方法是安裝它——如果您從其他地方下載了 WordPress 網(wǎng)站的主題并想將它應用到您的 WordPress 網(wǎng)站上，您可以這樣做。

為此，請轉(zhuǎn)到外觀>主題>添加新>上傳主題。

接下來，單擊瀏覽以從您的設(shè)備中找到您的主題，然后單擊上傳。上傳主題后，您可以單擊激活主題將新主題設(shè)置為活動主題。

您從 WordPress 下載的主題也可以更新。與插件一樣，我們建議下載定期更新的主題。

您可以使用與插件和軟件類似的方式更新您的主題。要在 WordPress 中更新您的主題，請轉(zhuǎn)到儀表板上的更新并選擇您的主題。單擊更新主題，您的主題將被更新。

管理您的 WordPress 登錄

保護您的 WordPress 比您想象的要簡單得多。如果您讓黑客更難找到您網(wǎng)站中的后門和其他漏洞，您被黑客攻擊的可能性就會大大降低。?但是，有些人不注意登錄頁面。保持您的管理和登錄頁面安全是 WordPress 安全基礎(chǔ)，有一些非常簡單的方法可以做到這一點。

• 更改您的 WordPress 登錄 URL
• 限制登錄嘗試
• 添加基本??的 HTTP 身份驗證
• 鎖定 URL 路徑

如何更改您的 WordPress 登錄 URL

默認情況下，您的 WordPress 網(wǎng)站的登錄頁面 URL 是“domain.com/wp-admin”。問題是每個熟悉 WordPress 工作原理的人都知道這一點，包括黑客和機器人。如果他們想找到您的登錄 URL 來試用您的網(wǎng)站，沒有什么能阻止他們。

通過更改您的 WordPress 登錄 URL，您可以降低網(wǎng)絡犯罪分子找到您的網(wǎng)站的可能性，并保護您自己免受暴力攻擊等漏洞的侵害。雖然此解決方案不能完全保證安全，但它可以使您在網(wǎng)站安全方面朝著正確的方向發(fā)展。

要更改您的 WordPress 登錄 URL，請使用免費的WPS 隱藏登錄插件。這個官方 WordPress 插件有一個簡單的輸入字段——您所要做的就是想出一些獨特的東西。

如何限制登錄嘗試

雖然更改登錄 URL 可以減少暴力登錄的可能性，但對登錄設(shè)置限制可以進一步增強安全性。幸運的是，也有一個插件。WordPress 上的免費Cerber Limit Login Attempts插件可以設(shè)置有限的登錄嘗試、鎖定持續(xù)時間以及 IP 白名單和黑名單。

但是，如果您正在尋找更簡單的東西，登錄鎖定插件可以記錄每次失敗的登錄嘗試的 IP 地址和時間戳。如果同一 IP 地址在短時間內(nèi)超過了登錄嘗試的限制，則該范圍內(nèi)的所有請求都將禁用登錄功能。這也可以使用上面提到的 WPS 隱藏登錄插件。

如何添加基本 HTTP 身份驗證（htpasswd 保護）

另一種保護 WordPress 登錄的方法是添加 HTTP 身份驗證，這需要一組單獨的用戶名和密碼才能訪問登錄頁面。這是阻止機器人程序和詐騙者的一種非常有效的方法。有兩個平臺（HTTP 服務器）可以幫助您使用受密碼保護的目錄。

阿帕奇

如果您使用的是 cPanel 主機，則可以從控制面板啟用受密碼保護的目錄。但是要手動設(shè)置它，您需要創(chuàng)建一個“.htpasswd 文件”。您可以使用“htpasswd 生成器”工具并將文件上傳到“wp-admin”文件夾中的目錄。它看起來像“home/user/.htpasswd/public_html/wp-admin/htpasswd/”

接下來，使用以下代碼創(chuàng)建一個“.htaccess”文件：

AuthName “僅限管理員”

AuthUserFile /home/user/.htpasswds/public_html/wp-admin/htpasswd

授權(quán)類型基本

需要用戶你的用戶名

將此文件上傳到您的“/wp-admin/”目錄中。請記住更新目錄路徑和用戶名。

一個限制是這會破壞您網(wǎng)站前端的 AJAX (admin-ajax)，因此您還需要將以下代碼添加到上面的“.htaccess”文件中。

<文件 admin-ajax.php>

訂單允許、拒絕

允許所有

滿足任何

</文件>

Nginx

運行 Nginx 允許您使用基本的 HTTP 身份驗證來限制訪問。根據(jù)您的主機，您最有可能在網(wǎng)站的儀表板中使用密碼保護工具。您可以啟用此工具并開始使用。在您的 WordPress 網(wǎng)站上啟用 Nginx 后，您的網(wǎng)站將需要身份驗證才能訪問登錄頁面。您可以隨時更改憑據(jù)或禁用該工具。

鎖定 URL 路徑

最后但并非最不重要的一點是，如果您使用的是 Sucuri 或 Cloudflare 等 WAF（Web 應用程序防火墻），則您有資格鎖定 URL 路徑。這樣，只有您的 IP 地址才能訪問您的 WordPress 管理員登錄 URL。

一般來說，網(wǎng)站所有者，尤其是電子商務或會員網(wǎng)站的所有者，不會使用這種方法，因為他們通常不得不依靠后端操作來完成工作。不過，這仍然是加強網(wǎng)站安全性的好方法。

雙因素身份驗證

您可能經(jīng)常聽說過“雙因素身份驗證”一詞。讓我們看看為什么它是加強網(wǎng)站安全性的最關(guān)鍵和最容易實施的方法之一。

無論您的密碼多么安全、強大和復雜，總有可能有人發(fā)現(xiàn)它并嘗試訪問您放置密碼的任何內(nèi)容。雙因素身份驗證是一個登錄的兩步過程，您不僅需要密碼登錄，還需要第二種方式。通常，第二種方式是帶有一次性密碼 (OTP) 的短信。

毫無疑問，這種方法可以免受暴力攻擊——成功破解您密碼的攻擊者幾乎不可能同時擁有您的電話號碼和 OTP。

當我們談論網(wǎng)站的雙因素身份驗證時，它有兩個方面。首先是您在托管服務提供商處注冊的帳戶和儀表板。如果有人可以訪問它，他們可以更改您的密碼、更改您的 DNS 記錄，甚至刪除您的網(wǎng)站。因此，選擇可靠的托管服務提供商至關(guān)重要。

第二個與您的 WordPress 安裝的雙因素身份驗證有關(guān)。您可以使用一些插件，包括Duo 雙因素身份驗證和Google Authenticator。利用雙因素身份驗證。它不僅是實現(xiàn)更安全協(xié)議的最簡單方法之一，而且證明它可以抵御漏洞。

HTTPS——SSL證書

人們通常會忽略安裝 SSL 證書和通過 HTTPS 運行網(wǎng)站的重要性。HTTPS（安全超文本傳輸??協(xié)議）是一種允許您的瀏覽器安全連接網(wǎng)站的系統(tǒng)。SSL 是一種在您的網(wǎng)站上放置“鎖”的證書，向訪問者表明它是安全的。一個流行的誤解是，如果您的網(wǎng)站不接受信用卡，就不需要 SSL，但這與事實相去甚遠。

安全

HTTPS 主要用于為涉及電子商務的站點提供額外的安全性，但這并不是 HTTPS 至關(guān)重要的唯一原因。問問自己，您的登錄信息有多重要？那些運行多作者網(wǎng)站的人需要了解，如果您通過 HTTP 運行，那么每次有人登錄時，信息都會以純文本形式發(fā)送到服務器。老練的網(wǎng)絡罪犯可以輕松破解此文本。

但是，HTTPS 確保瀏覽器和網(wǎng)站之間的連接安全且完全加密，防止黑客訪問您的網(wǎng)站。因此，無論您是在運行博客、基于服務的站點還是電子商務業(yè)務，HTTPS-SSL 都將確保一流的安全性，因此不會以純文本形式傳遞任何內(nèi)容。

搜索引擎優(yōu)化

官方宣布HTTPS 是 Google 的排名因素。由 HTTPS 提供支持的網(wǎng)站——谷歌首選 SSL 來位于 SERP 之上。谷歌建議訪問者登陸安全和加密的網(wǎng)站，而不是不安全的網(wǎng)站。雖然它只是您網(wǎng)站排名的一個小因素，但值得利用它，這樣您就可以在 SERP（搜索引擎結(jié)果頁面）中擊敗競爭對手。

信任和信譽

GlobalSign進行的一項調(diào)查報告稱，大約 29% 的訪問者確保他們的瀏覽器中有一個綠色地址欄，其中 77% 的人擔心他們的數(shù)據(jù)在網(wǎng)上沖浪時被濫用或攔截。

當您實施 SSL 安全措施時，您會在地址欄的左角看到一個綠色的掛鎖，告訴用戶該站點是安全的并且他們的數(shù)據(jù)受到保護。這增加了網(wǎng)站的可信度，客戶或訪問者會立即安心，因為他們知道他們在網(wǎng)站上提供的任何信息都是安全的。?如果您沒有保護 HTTPS 網(wǎng)站，您應該閱讀將網(wǎng)站訪問者從 HTTP 重定向到 HTTPS 的指南。

保護您的 wp-config.php

WordPress 安裝的主干是 wp-config.php 文件，必須不惜一切代價保護它。此文件是您的登錄信息和加密 cookie 中信息的安全憑證的數(shù)據(jù)庫。為保護此文件，您可以采取以下一些措施。

移動 wp-config.php

默認情況下，您的 wp-config.php 文件位于 WordPress 安裝的根目錄中（/public_html 文件夾）。但是，可以將其移動到非 www 可訪問目錄以使其更安全。

要移動此文件，請將所有內(nèi)容復制到另一個文件中，然后將以下代碼片段放入您的 wp-config.php 文件中以包含您的其他文件。

<?php

include('/home/user/wp-config.php');

注意：根據(jù)您的虛擬主機和設(shè)置，目錄路徑可能會有所不同。

更新 WordPress 安全密鑰

WordPress 安全密鑰是一組或一組隨機變量，用于加密存儲在用戶 cookie 中的信息。自 WordPress 2.7 以來有四種不同的密鑰，它們是 AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY 和 NONCE_KEY。

這些密鑰是在您安裝 WordPress 時隨機生成的。但是，如果您已多次遷移您的網(wǎng)站或從其他人那里購買，最好創(chuàng)建一組新的密鑰以獲得最大的安全性。您可以在 wp-config.php 文件中找到密鑰。

更改權(quán)限

通常，WordPress 根目錄中的文件被設(shè)置為 644，這意味著它們對文件的所有者是可讀和可寫的，并且對其他所有人都是可讀的。WordPress 文檔指出 wp-config.php 文件的權(quán)限應為 440 到 400，因此同一服務器上的其他網(wǎng)站所有者不會讀取它。這可以通過您的 FTP 客戶端輕松更改。某些托管平臺具有不同的權(quán)限，因為網(wǎng)絡服務器用戶沒有寫入文件的權(quán)限。要確定權(quán)限，請聯(lián)系您的托管服務提供商。

禁用 XML-RPC

根據(jù)Sucuri 的說法，在過去幾年中，XML-RPC 已成為暴力攻擊者的一個大目標。XML-RPC 的隱藏特性之一是允許您使用 system.multicall 方法在單個請求中執(zhí)行多個方法。這是一項有用的功能，因為它允許應用程序在一個 HTTP 請求中傳遞多個命令。但是，此功能的一個缺點是它也可能被用于惡意目的。

很少有 WordPress 插件（如 Jetpack）依賴 XML-RPC，但大多數(shù) WordPress 用戶甚至不需要它。因此，禁用它對您的網(wǎng)站是有益的。您甚至可以安裝 Disable?XML-RPC插件來自動禁用它。

隱藏 WordPress 版本

隱藏您的 WordPress 版本的想法聽起來似乎沒有任何區(qū)別，但它不會讓人們知道您的站點配置，這在保護您的站點方面可以發(fā)揮重要作用。如果您的 WordPress 版本未被隱藏，人們可以看到您是否運行過時的 WordPress 版本，從而允許入侵者進入您的站點。

默認情況下，WordPress 版本在網(wǎng)站源代碼的標題中可見。雖然我們建議您首先始終保持 WordPress 更新，這樣您就不必擔心 WordPress 版本的可見性，您可以通過在 WordPress 主題的 functions.php 文件中使用以下代碼來隱藏它。

函數(shù) wp_version_remove_version() {

返回 ”;

}

add_filter('the_generator', 'wp_version_remove_version');

如果操作不當，編輯源代碼可能會破壞站點。如果您不愿意這樣做，請先咨詢開發(fā)人員。您還可以下載一個插件來隱藏您的 WordPress 版本。

添加更新的 HTTP 安全標頭

您的 HTTP 安全標頭通常在服務器級別配置，讓瀏覽器知道在處理您的網(wǎng)站時如何表現(xiàn)。要加強 WordPress 網(wǎng)站的安全性，您可以使用 HTTP 安全標頭。盡管有許多 HTTP 安全標頭，但以下是通常最重要的標頭。

• 內(nèi)容安全政策
• X-XSS-保護
• 嚴格運輸安全
• X-Frame-選項
• 公鑰密碼
• X-內(nèi)容類型

通過啟動 Chrome 開發(fā)工具并查看網(wǎng)站初始響應中的標頭，您可以檢查網(wǎng)站上當前處于活動狀態(tài)的標頭。

添加 WordPress 安全插件

雖然插件不是您可以采取的最好的安全措施，但最好的 WordPress 安全插件可以在保護您的網(wǎng)站方面發(fā)揮重要作用。一些安全插件被證明是保護您的 WordPress 站點免受威脅和危害的絕佳解決方案。

這里有一些：

• Sucuri 安全
• iThemes 安全
• WordFence 安全
• WP fail2ban
• 安全出版社

數(shù)據(jù)庫安全

關(guān)于您網(wǎng)站的所有內(nèi)容都存儲在 WordPress 數(shù)據(jù)庫中。采取措施保護數(shù)據(jù)庫非常重要。有幾種方法可以做到這一點。

一、使用巧妙的數(shù)據(jù)庫名稱。如果您的站點名為 cheap car covers，則您的數(shù)據(jù)庫很可能會命名為 wp_cheapcarcovers。但是，您可以更改您的數(shù)據(jù)庫名稱，以防止黑客通過嘗試使用與網(wǎng)站域相似的名稱來破解您的數(shù)據(jù)庫。使您的數(shù)據(jù)庫名稱盡可能模糊。

二、使用不同的數(shù)據(jù)庫表前綴。WordPress 數(shù)據(jù)庫的默認前綴是“wp_”。您可以將其更改為類似“l(fā)bw9_”的內(nèi)容。使其更安全。

始終使用安全連接

我們怎么強調(diào)使用安全連接的重要性都不為過。首先，確保您的 WordPress 主機采取了預防措施，包括提供 SFTP。SFTP（secure file transfer protocol，安全文件傳輸協(xié)議），也稱為SSH，是一種用于以更快的路由傳輸文件的網(wǎng)絡協(xié)議。它比標準 FTP 更可靠。

其次，您需要確保家中或辦公室的路由器設(shè)置正確。如果有人在家里或工作場所入侵網(wǎng)絡，他們可以訪問各種信息，包括有關(guān)您的 WordPress 網(wǎng)站的信息。

以下是一些防止這種情況的提示：

• 不要啟用遠程管理 (VPN)。大多數(shù)用戶甚至不使用它，因此通過將其關(guān)閉，您可以防止您的網(wǎng)絡暴露于外界。
• 路由器使用范圍內(nèi)的默認 IP，例如 192.168.1.1。使用唯一的范圍，例如 10.9.8.7。
• 在您的 wifi 上啟用最高加密級別。
• IP 白名單您的 wifi，因此只有擁有密碼和特定 IP 的人才能訪問它。
• 保持路由器上的固件更新。

每當您在公共場所（例如學?；蚓W(wǎng)吧）登錄 WordPress 網(wǎng)站時，請務必小心，因為這些場所通常不安全。在連接之前檢查安全性，例如驗證 SSID。

文件和服務器權(quán)限

文件和服務器權(quán)限對您的 WordPress 安全至關(guān)重要，如果這些權(quán)限松散，網(wǎng)絡犯罪分子可以輕松訪問您的網(wǎng)站。也就是說，過于嚴格的權(quán)限會使您的網(wǎng)站無法正常運行，因此了解設(shè)置哪些權(quán)限很重要。

文件權(quán)限

1. 如果用戶有權(quán)讀取文件，則授予讀取權(quán)限。
2. 如果用戶有權(quán)寫入文件，則授予寫入權(quán)限。
3. 如果用戶有權(quán)運行該文件或?qū)⑵渥鳛槟_本執(zhí)行，則授予執(zhí)行權(quán)限。
4. 所有文件都應該是 644 或 640，wp-config.php 除外，它應該是 440 或 400。

目錄權(quán)限

1. 如果用戶有權(quán)訪問文件夾或目錄的內(nèi)容，則授予讀取權(quán)限。
2. 如果用戶有權(quán)在目錄中添加或刪除文件，則授予寫入權(quán)限。
3. 如果用戶有權(quán)訪問目錄并執(zhí)行命令，包括從目錄中刪除數(shù)據(jù)的權(quán)限，則授予執(zhí)行權(quán)限。
4. 所有目錄都應為 755 或 700。任何目錄都不應達到 777。

在儀表板中禁用文件編輯

許多 WordPress 網(wǎng)站有多個管理員和用戶，這使得安全性變得更加復雜。一些網(wǎng)站所有者甚至向作者和所有者授予管理訪問權(quán)限，這是一種不好的做法，也是一種安全威脅。

所有用戶都應該有正確的權(quán)限，這樣他們就不會在網(wǎng)站上造成干擾。一種方法是禁用WordPress 中的外觀編輯器。許多用戶在 Appearance Editor 上快速編輯某些內(nèi)容，然后突然出現(xiàn)白屏。建議您在本地編輯文件并通過 FTP 或 SFTP 上傳。

如果您的 WordPress 被黑，黑客可能做的第一件事就是嘗試通過外觀編輯器編輯主題或 PHP 文件，這是他們在您的網(wǎng)站上安裝惡意代碼的最快方式。

但是，如果此選項在儀表板中甚至不可見，則可用于防止攻擊。將以下代碼放在 wp-config.php 文件中，以刪除所有用戶的 edit_themes、edit_plugins 和 edit_files 選項。

定義（'DISALLOW_FILE_EDIT'，真）；

防止盜鏈

盜鏈是指您從互聯(lián)網(wǎng)上獲取圖像并將其 URL 直接復制到您的網(wǎng)站上，以將其顯示在從原始位置提供的網(wǎng)站上。雖然這看起來沒什么大不了的，但它屬于盜竊行為，可能會花費您很多額外的錢。有多種方法可以防止您網(wǎng)站上的盜鏈?。

防止 Apache 中的熱鏈接

要防止 Apache 中的熱鏈接，請將以下代碼添加到您的 .htaccess 文件中。

重寫引擎開啟

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]

重寫規(guī)則 \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

防止 NGINX 中的盜鏈

將以下代碼添加到您的配置文件中以防止 NGINX 中的熱鏈接。

位置 ~ .(gif|png|jpe?g)$ {

valid_referers 沒有被阻止 ~.google。~.bing。~.yahoo yourdomain.com *.yourdomain.com;

如果（$invalid_referer）{

返回 403；

}

}

始終制作 WordPress 備份

盡管上面列出的安全措施可以幫助保護您的網(wǎng)站，但它永遠不會是無懈可擊的。因此，萬一您的網(wǎng)站出現(xiàn)問題，您需要一個備份。一些托管 WordPress 托管服務提供商提供每日備份，但如果您的主機沒有為您的站點提供備份，您可以使用服務和插件來自動執(zhí)行該過程。

WordPress 站點備份服務，包括 VaultPress 和 CodeGuard，通常是最可靠的服務，并且每月收取較低的費用以在云中備份您的網(wǎng)站。?另一方面，有一些插件可以讓您通過 FTP 備份您的站點或?qū)⑵渑c外部云存儲集成，例如 Amazon S4、Google Cloud Storage、Dropbox、Google Drive 等。一些可靠的插件是 Duplicator、WP Time Capsule、BackupBuddy 和 WP BackItUp。

DDoS 防護

DDoS 攻擊并不新鮮，但防止這些攻擊的措施已經(jīng)取得了進步。與其他攻擊不同，DDoS 攻擊不會入侵您的網(wǎng)站，但會導致網(wǎng)站癱瘓數(shù)小時或數(shù)天。

要保護自己免受 DDoS 攻擊，請使用第三方安全服務，例如 Cloudflare 或 Sucuri。如果您經(jīng)營一家企業(yè)，那么您應該投資保費計劃，不要冒任何可能危及您業(yè)務的風險。

這些安全服務帶有高級 DDoS 保護，可用于消除各種 DDoS 攻擊，包括針對 UDP 和 ICMP 協(xié)議、SYN/ACK、DNS 放大和第 7 層的攻擊。這些服務的其他好處是通過將您置于專用代理后面來隱藏您的原始 IP 地址。

關(guān)鍵要點

正如我們在本文中展示的那樣，有很多方法可以提高您的 WordPress 網(wǎng)站的安全性。把它們加起來;?使用聰明而強大的密碼，保持軟件、插件和主題更新，跟蹤您的權(quán)限，并獲得可靠的托管 WordPress 托管，這可以通過保護您的網(wǎng)站并為您采取所有必要措施，使您的工作輕松十倍。對于我們中的許多人來說，網(wǎng)站不僅僅是一個網(wǎng)站——它還是一種收入來源。如果它遭到破壞，它會造成很大的損害，因此花費時間、精力和金錢來實施所提到的安全實踐至關(guān)重要。