雖然在線存在有助于吸引大量受眾并擴(kuò)展您的業(yè)務(wù)，但它也帶來了某些威脅和風(fēng)險(xiǎn)。像 WordPress 這樣的頂級開源 CMS 平臺可能更容易受到攻擊，需要優(yōu)先考慮最佳安全性。

幸運(yùn)的是，如果您采取正確的步驟，您可以保護(hù)您的 WordPress 網(wǎng)站并防止漏洞和泄漏。在本文中，我們將讓您了解您的 WordPress 網(wǎng)站帶來的威脅和風(fēng)險(xiǎn)因素，以及您可以采取哪些措施來確保您的 WordPress 網(wǎng)站保持安全。

WordPress 安全嗎？

盡管 WordPress 是一個(gè)安全的內(nèi)容管理系統(tǒng)，但它很容易成為安全漏洞的犧牲品。由于 WordPress 是一種流行的 CMS，它已成為網(wǎng)絡(luò)攻擊者的熱門目標(biāo)。名為 Wordfence 的防火墻服務(wù)報(bào)告稱，它阻止了WordPress 網(wǎng)站上的185 億次密碼攻擊請求。

根據(jù)通用漏洞評分系統(tǒng)，每10 個(gè)WordPress 網(wǎng)站中就有 8 個(gè)屬于“中”或“高”。該數(shù)據(jù)表明 WordPress 可能并不像您基于其受歡迎程度所想象的那樣安全。但是，我們?nèi)匀唤ㄗh使用 WordPress。將近 50% 的網(wǎng)站使用 WordPress 作為他們的主要 CMS。

您應(yīng)該知道 WordPress 在這里并不完全是錯(cuò)誤的。事實(shí)上，他們擁有一支世界一流的研究人員團(tuán)隊(duì)，他們會(huì)定期發(fā)布新的安全更新，使 WordPress 成為一個(gè)更安全的平臺。但問題出現(xiàn)在 WordPress 是如何提供給用戶的。

由于 WordPress 是一個(gè)開源平臺，源代碼可以在任何地方修改和分發(fā)——它的軟件是無限定制的。雖然這種靈活性是 WordPress 受歡迎的一個(gè)重要原因，但它也使其容易出現(xiàn)許多安全問題。

如果用戶根據(jù)自己的喜好對其進(jìn)行優(yōu)化和自定義，則用戶有責(zé)任確保其網(wǎng)站的安全。但由于許多用戶對此不屑一顧，因此有機(jī)會(huì)潛入并利用漏洞。

例如，對于中大型網(wǎng)站，一些用戶試圖自己管理整個(gè)網(wǎng)站，而不是信任托管的 WordPress 托管?服務(wù)。由于用戶可能無法自己監(jiān)督一切，因此他們會(huì)損害安全性和網(wǎng)站基礎(chǔ)設(shè)施。了解您無法完全消除風(fēng)險(xiǎn)因素，但您可以確保通過采取特定措施盡可能地減少它們。

為什么 WordPress 安全性很重要？

如果 WordPress 網(wǎng)站不安全，它會(huì)給您的業(yè)務(wù)帶來多種風(fēng)險(xiǎn)和威脅。對于初學(xué)者來說，如果您的網(wǎng)站沒有得到最佳保護(hù)，它很容易被黑客入侵。黑客可以竊取您的私人信息、密碼和客戶數(shù)據(jù)并泄露或更改這些信息。

其次，黑客可以在您的網(wǎng)站上安裝惡意軟件，這些惡意軟件可以分發(fā)給您的用戶，從而危及您網(wǎng)站的真實(shí)性和聲譽(yù)。更重要的是，如果您的網(wǎng)站遭到黑客攻擊，您可能會(huì)發(fā)現(xiàn)自己向黑客支付贖金以恢復(fù)您網(wǎng)站的訪問權(quán)限。

你有沒有去過一個(gè)網(wǎng)站，看到一個(gè)搜索引擎彈出窗口說“不安全”？該彈出窗口會(huì)顯著增加跳出率，因?yàn)橛脩魰?huì)在發(fā)現(xiàn)網(wǎng)站不安全時(shí)離開該網(wǎng)站。

基于商業(yè)的網(wǎng)站不應(yīng)承擔(dān)這些風(fēng)險(xiǎn)——它會(huì)對您的收入和融洽關(guān)系產(chǎn)生負(fù)面影響。就像鎖定商店、保持收銀機(jī)有人值守、在各處安裝攝像頭是實(shí)體店的職責(zé)一樣，您需要采取同等措施來確保您的在線營業(yè)場所安全無虞。

WordPress 安全漏洞的類型

1. 后門

顧名思義，此漏洞為黑客和竊取者提供隱藏通道或“后門”以繞過加密和安全措施進(jìn)入您的網(wǎng)站。他們使用非正統(tǒng)的方法訪問網(wǎng)站，例如 wp-admin 和 SFTP。

一旦這些后門被成功使用，黑客就可以通過污染和攻擊對托管服務(wù)器造成嚴(yán)重破壞。它可以同時(shí)影響托管在同一服務(wù)器上的每個(gè)網(wǎng)站。這些后門可能看起來像合法的系統(tǒng)文件，并順利地進(jìn)入 WordPress 數(shù)據(jù)庫，在那里它們在過時(shí)的平臺版本中安裝錯(cuò)誤。

幸運(yùn)的是，您可以通過將您的網(wǎng)站與SiteCheck等可以輕松檢測常見后門的安全工具集成來防止此漏洞。您還可以使用由HostPapa托管的 WordPress主機(jī)，它帶有檢測和刪除后門的安全措施，包括阻止 IP、雙因素身份驗(yàn)證、限制管理員訪問以及防止未經(jīng)授權(quán)執(zhí)行 PHP 文件。

2. 制藥黑客

制藥黑客在過時(shí)版本的 WordPress 及其插件中插入流氓代碼。當(dāng)搜索受感染的網(wǎng)站時(shí)，它會(huì)導(dǎo)致搜索引擎返回醫(yī)藥產(chǎn)品的廣告。這個(gè)漏洞更像是垃圾郵件的威脅，而不是惡意軟件的并發(fā)癥，但它為搜索引擎提供了足夠的理由來阻止有關(guān)垃圾郵件分發(fā)報(bào)告和指控的網(wǎng)站。換句話說，Pharma Hacks 可以永久阻止您的網(wǎng)站。如果您使用推薦的具有更新服務(wù)器和適當(dāng)管理的WordPress 托管，則可以防止 Pharma Hacks。

3. 暴力登錄嘗試

暴力登錄嘗試使用自動(dòng)化腳本來利用弱密碼來訪問 WordPress 網(wǎng)站。這就是為什么你應(yīng)該讓你的密碼盡可能強(qiáng)。

雙因素身份驗(yàn)證、限制登錄嘗試、阻止 IP、監(jiān)控未經(jīng)授權(quán)的登錄、監(jiān)控不熟悉的設(shè)備以及使用強(qiáng)密碼可以有效防止暴力登錄嘗試。

4. 惡意重定向

惡意重定向使用 FTP、SFTP 和 wp-admin 等異常方法在 WordPress 中創(chuàng)建后門，并將重定向代碼注入網(wǎng)站。這些重定向通常放在您的“.htaccess 文件”和其他核心 WordPress 文件中，這些文件會(huì)將您的訪問者重定向到惡意站點(diǎn)。我們在本文中討論的安全措施將有助于保護(hù)您的網(wǎng)站免受惡意重定向。

5. 跨站點(diǎn)腳本 (XSS)

當(dāng)惡意腳本被注入可信賴的應(yīng)用程序或網(wǎng)站時(shí)，就會(huì)發(fā)生跨站腳本 (XSS)。黑客或攻擊者會(huì)在用戶不知情的情況下向用戶發(fā)送惡意代碼，從而獲取黑客可以使用的 cookie 或會(huì)話數(shù)據(jù)。WordFence報(bào)告稱，跨站點(diǎn)腳本是最常見的 WordPress 插件漏洞。

6. 拒絕服務(wù)

拒絕服務(wù) (DoS) 可能是最危險(xiǎn)的 WordPress 漏洞。它通過代碼中的錯(cuò)誤和錯(cuò)誤淹沒了網(wǎng)站操作系統(tǒng)的內(nèi)存。黑客通過 WordPress 的過時(shí)和有缺陷的 WordPrs 版本在數(shù)百萬個(gè)網(wǎng)站上利用 DoS 獲得數(shù)百萬美元。DoS 通常被出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)攻擊者使用，這將大型公司置于風(fēng)險(xiǎn)之中。

應(yīng)對此漏洞的第一步始終是更新版本的 WordPress。也就是說，即使是最新版本也無法完全抵御專業(yè)級的 DoS 攻擊。但是，它可以保護(hù)您免于陷入金融機(jī)構(gòu)和網(wǎng)絡(luò)犯罪分子之間的交火之中。

您是否想知道可以采取哪些措施來確保您的網(wǎng)站盡可能安全，免受這些漏洞的影響？遵循本指南并實(shí)施我們的每個(gè) WordPress 安全提示和措施，從獲得安全的 WordPress 托管開始，為您的網(wǎng)站獲得最高級別的安全性。

選擇安全的 WordPress 托管

WordPress 安全不僅僅是獲得幾個(gè)證書來加密您的站點(diǎn)。實(shí)際過程從選擇安全的WordPress 托管開始。這是因?yàn)槟闹鳈C(jī)負(fù)責(zé) Web 服務(wù)器級別的安全性，如果安全漏洞影響您在服務(wù)器上的站點(diǎn)，則您的服務(wù)器主機(jī)將有過錯(cuò)。

可以通過服務(wù)器加固創(chuàng)建一個(gè)完全安全的 WordPress 環(huán)境，它采取多層硬件和軟件安全措施來確保物理和虛擬基礎(chǔ)架構(gòu)的安全，并可以抵御威脅。

服務(wù)器強(qiáng)化并不容易——需要花費(fèi)大量時(shí)間、精力和金錢，尤其是當(dāng)您只有一個(gè)網(wǎng)站需要保護(hù)時(shí)。這就是人們不選擇此類安全措施的原因。?消除此問題的最佳方法是獲得托管 WordPress 托管，它具有增強(qiáng)的安全性。您的主機(jī)將為您提供自己的網(wǎng)絡(luò)空間，并負(fù)責(zé)確保您的網(wǎng)站安全和更新。

使用最新的 PHP 版本

PHP 是您的 WordPress 網(wǎng)站最關(guān)鍵的部分，因此您需要使用最新版本。從發(fā)布之日起，每個(gè)版本的 PHP 都支持兩年。在此期間，安全問題和錯(cuò)誤會(huì)定期修復(fù)。PHP 8.1 為最新版本，不再支持 PHP 7.3 或以下任何版本。任何使用不受支持版本的人都會(huì)面臨不同的安全漏洞。

不幸的是，據(jù)WPTavern稱，PHP 5.6 仍然是使用最多的 PHP 版本，而 95.3% 使用 PHP 的網(wǎng)站仍在使用系列 5 版本。換句話說，大多數(shù)在 WordPress 上注冊的網(wǎng)站都沒有使用更新版本的 PHP，而是使用不再受支持或受保護(hù)的版本。考慮到這一點(diǎn)，WordPress 不應(yīng)為網(wǎng)站中的安全漏洞負(fù)責(zé)——網(wǎng)站所有者才是。

有時(shí)企業(yè)和開發(fā)人員需要時(shí)間來測試和檢查他們的網(wǎng)站是否與代碼兼容，但是在不再正式安全的代碼上運(yùn)行他們的網(wǎng)站是愚蠢的。除此之外，舊的 PHP 版本沒有像新版本那樣優(yōu)化并且會(huì)對性能產(chǎn)生負(fù)面影響。

如果您不知道您使用的是哪個(gè) PHP 版本，請查看您的主機(jī)是否提供了請求標(biāo)題選項(xiàng)。出于安全原因，許多托管服務(wù)提供商不會(huì)顯示此信息。但是，您仍然可以檢查和切換 PHP 版本，具體取決于您的托管服務(wù)提供商向您提供的權(quán)限。

設(shè)置智能用戶名和密碼

加強(qiáng)安全性的最簡單方法之一是設(shè)置強(qiáng)用戶名和密碼。令人驚訝的是，很多人不這樣做。根據(jù)SplashData 的 2019 年前 50 個(gè)密碼，最流行的密碼是“123456”，其次是一個(gè)非常幼稚的“密碼”。名單上的其他人是“iloveyou”和“12345678”。這就是為什么有些主機(jī)會(huì)在您登錄時(shí)強(qiáng)制使用強(qiáng)而復(fù)雜的密碼的原因之一。

安全基礎(chǔ)知識從您的用戶名和密碼開始。雖然您應(yīng)該始終創(chuàng)建最強(qiáng)的密碼，但請確保將它們記在某個(gè)地方，以便在您忘記密碼時(shí)可以訪問您的網(wǎng)站。

如果您有多個(gè)網(wǎng)站，請為每個(gè)網(wǎng)站設(shè)置不同的密碼。您甚至可以使用在線密碼管理器來管理不同站點(diǎn)和平臺的密碼，而不必使用便利貼。HostPapa 提供了創(chuàng)造性地設(shè)置和管理用戶名和密碼的重要提示。

始終更新 WordPress、插件和主題的版本

如果 WordPress 及其插件和主題未更新到最新版本，它們可能會(huì)給您帶來問題。這些需要更新是有原因的——更新通常伴隨著安全增強(qiáng)和錯(cuò)誤修復(fù)。

選擇不更新可能會(huì)導(dǎo)致安全漏洞、黑客攻擊和利用不同的漏洞。令人驚訝的是，數(shù)以百萬計(jì)的網(wǎng)站正在運(yùn)行過時(shí)版本的 WordPress 和插件。

網(wǎng)站所有者不更新 WordPress 和插件和主題的常見借口是他們的網(wǎng)站會(huì)崩潰、插件無法工作、他們的核心修改將消失，或者他們不需要新功能。

事實(shí)上，網(wǎng)站“崩潰”的原因之一是它們沒有更新到更安全的版本。核心修改是有風(fēng)險(xiǎn)的，WordPress 開發(fā)人員和專家絕不會(huì)推薦它們。如果他們阻止您更新到新版本，那是不值得的。

WordPress 更新大多帶有必備的安全修復(fù)程序和補(bǔ)丁以及運(yùn)行最新插件的附加功能。如果更新給功能帶來任何變化，它只會(huì)進(jìn)一步改進(jìn)它。

不故意更新您的 WordPress 或其主題和插件是愚蠢的。一份報(bào)告顯示，插件漏洞?約占黑客入口點(diǎn)的 56%。更新您的插件可以確保您不會(huì)受此影響——主題和 WordPress 軟件也是如此。

如果您管理過 WordPress 托管，則不必?fù)?dān)心進(jìn)行更新 – 它將由您的托管商處理。但是，如果您沒有訂閱該服務(wù)，請繼續(xù)閱讀以了解如何更新您的 WordPress、主題和插件。

更新您的 WordPress 版本

WordPress 使其用戶更新您的 WordPress 版本變得非常簡單。您可以直接從 WordPress 儀表板執(zhí)行此操作。要更新您的 WordPress 軟件，請轉(zhuǎn)到WordPress 儀表板中的更新，然后單擊立即更新。您也可以通過在設(shè)備上下載最新版本并通過 SFTP 上傳來手動(dòng)更新 WordPress，但要小心。覆蓋錯(cuò)誤的文件夾可能會(huì)破壞您的站點(diǎn)。如果您不知道如何操作，請堅(jiān)持使用自動(dòng)更新。

更新您的 WordPress 插件

首先，確保您安裝了受信任的插件。標(biāo)有“特色”和“流行”的插件通常是您可以信任的插件。確保從 WordPress 下載相同的插件，而不是其副本或同名插件?；蛘?，您可以直接從開發(fā)它的網(wǎng)站下載您想要的插件。這樣，就不可能下載損壞的版本。

其次，提防免費(fèi)插件。雖然它們中的大多數(shù)都很好用，但有些是有害的，會(huì)逐漸影響您網(wǎng)站的安全。我們始終建議您獲得高級插件。

更新插件的過程與更新 WordPress 非常相似。要更新 WordPress 插件，請轉(zhuǎn)到您的 WordPress 儀表板并單擊更新。將顯示具有可用更新的插件。選擇您要更新的插件（通過標(biāo)記它們）并單擊Update Plugins。

同樣，您也可以手動(dòng)更新您的插件。您可以從開發(fā)人員或 WordPress 存儲庫獲取最新的插件版本并通過 FTP 上傳。確保您正在覆蓋“/wp-content/plugins”目錄中的現(xiàn)有插件。

您應(yīng)該始終獲得一個(gè)保持最新的插件。根據(jù)WPLoop的一份報(bào)告，近 50% 的插件在兩年內(nèi)沒有更新。這并不意味著插件不能工作，但是一段時(shí)間沒有更新的插件會(huì)存在一些安全漏洞。?為避免這種情況，請?jiān)谙螺d插件時(shí)查看“最后更新”日期。檢查其評級和標(biāo)簽以確保。留意 WordPress 在長時(shí)間未更新的插件頂部的警告。

更新您的 WordPress 主題

更新 WordPress 主題與更新 WordPress 或其插件一樣簡單。在我們學(xué)習(xí)如何更新主題之前，讓我們熟悉如何以正確的方式安裝主題。

主題會(huì)改變您網(wǎng)站的外觀。它還可以伴隨獨(dú)特的功能或條款，具體取決于主題。人們對主題非常輕視，但事實(shí)是主題可以幫助您的網(wǎng)站發(fā)展。下載錯(cuò)誤的主題（未正確驗(yàn)證或更新的主題）會(huì)使您的網(wǎng)站處于危險(xiǎn)境地。因此，您應(yīng)該知道如何選擇合適的 WordPress 主題。

當(dāng)前版本的 WordPress 帶有四個(gè)預(yù)安裝的主題，它們是：

• 二十九
• 二十 二十
• 二十二十一
• 二二十二

首次登錄 WordPress 時(shí)，您會(huì)看到默認(rèn)主題，但您可以安裝新主題。有兩種方法可以在 WordPress 中安裝新主題。一種是通過儀表板進(jìn)行，另一種是上傳您自己的主題。

要從 WordPress 安裝新主題，請從 WordPress 儀表板轉(zhuǎn)到外觀，然后選擇主題>添加新主題。使用搜索和篩選選項(xiàng)來查找您正在尋找的主題。

單擊預(yù)覽以查看主題在您的網(wǎng)站上的外觀。如果您喜歡，請單擊立即安裝，主題將添加到您的站點(diǎn)。安裝主題后，選擇Activate Theme。

在 WordPress 上獲得主題的第二種方法是安裝它——如果您從其他地方下載了 WordPress 網(wǎng)站的主題并想將它應(yīng)用到您的 WordPress 網(wǎng)站上，您可以這樣做。

為此，請轉(zhuǎn)到外觀>主題>添加新>上傳主題。

接下來，單擊瀏覽以從您的設(shè)備中找到您的主題，然后單擊上傳。上傳主題后，您可以單擊激活主題將新主題設(shè)置為活動(dòng)主題。

您從 WordPress 下載的主題也可以更新。與插件一樣，我們建議下載定期更新的主題。

您可以使用與插件和軟件類似的方式更新您的主題。要在 WordPress 中更新您的主題，請轉(zhuǎn)到儀表板上的更新并選擇您的主題。單擊更新主題，您的主題將被更新。

管理您的 WordPress 登錄

保護(hù)您的 WordPress 比您想象的要簡單得多。如果您讓黑客更難找到您網(wǎng)站中的后門和其他漏洞，您被黑客攻擊的可能性就會(huì)大大降低。?但是，有些人不注意登錄頁面。保持您的管理和登錄頁面安全是 WordPress 安全基礎(chǔ)，有一些非常簡單的方法可以做到這一點(diǎn)。

• 更改您的 WordPress 登錄 URL
• 限制登錄嘗試
• 添加基本??的 HTTP 身份驗(yàn)證
• 鎖定 URL 路徑

如何更改您的 WordPress 登錄 URL

默認(rèn)情況下，您的 WordPress 網(wǎng)站的登錄頁面 URL 是“domain.com/wp-admin”。問題是每個(gè)熟悉 WordPress 工作原理的人都知道這一點(diǎn)，包括黑客和機(jī)器人。如果他們想找到您的登錄 URL 來試用您的網(wǎng)站，沒有什么能阻止他們。

通過更改您的 WordPress 登錄 URL，您可以降低網(wǎng)絡(luò)犯罪分子找到您的網(wǎng)站的可能性，并保護(hù)您自己免受暴力攻擊等漏洞的侵害。雖然此解決方案不能完全保證安全，但它可以使您在網(wǎng)站安全方面朝著正確的方向發(fā)展。

要更改您的 WordPress 登錄 URL，請使用免費(fèi)的WPS 隱藏登錄插件。這個(gè)官方 WordPress 插件有一個(gè)簡單的輸入字段——您所要做的就是想出一些獨(dú)特的東西。

如何限制登錄嘗試

雖然更改登錄 URL 可以減少暴力登錄的可能性，但對登錄設(shè)置限制可以進(jìn)一步增強(qiáng)安全性。幸運(yùn)的是，也有一個(gè)插件。WordPress 上的免費(fèi)Cerber Limit Login Attempts插件可以設(shè)置有限的登錄嘗試、鎖定持續(xù)時(shí)間以及 IP 白名單和黑名單。

但是，如果您正在尋找更簡單的東西，登錄鎖定插件可以記錄每次失敗的登錄嘗試的 IP 地址和時(shí)間戳。如果同一 IP 地址在短時(shí)間內(nèi)超過了登錄嘗試的限制，則該范圍內(nèi)的所有請求都將禁用登錄功能。這也可以使用上面提到的 WPS 隱藏登錄插件。

如何添加基本 HTTP 身份驗(yàn)證（htpasswd 保護(hù)）

另一種保護(hù) WordPress 登錄的方法是添加 HTTP 身份驗(yàn)證，這需要一組單獨(dú)的用戶名和密碼才能訪問登錄頁面。這是阻止機(jī)器人程序和詐騙者的一種非常有效的方法。有兩個(gè)平臺（HTTP 服務(wù)器）可以幫助您使用受密碼保護(hù)的目錄。

阿帕奇

如果您使用的是 cPanel 主機(jī)，則可以從控制面板啟用受密碼保護(hù)的目錄。但是要手動(dòng)設(shè)置它，您需要?jiǎng)?chuàng)建一個(gè)“.htpasswd 文件”。您可以使用“htpasswd 生成器”工具并將文件上傳到“wp-admin”文件夾中的目錄。它看起來像“home/user/.htpasswd/public_html/wp-admin/htpasswd/”

接下來，使用以下代碼創(chuàng)建一個(gè)“.htaccess”文件：

AuthName “僅限管理員”

AuthUserFile /home/user/.htpasswds/public_html/wp-admin/htpasswd

授權(quán)類型基本

需要用戶你的用戶名

將此文件上傳到您的“/wp-admin/”目錄中。請記住更新目錄路徑和用戶名。

一個(gè)限制是這會(huì)破壞您網(wǎng)站前端的 AJAX (admin-ajax)，因此您還需要將以下代碼添加到上面的“.htaccess”文件中。

<文件 admin-ajax.php>

訂單允許、拒絕

允許所有

滿足任何

</文件>

Nginx

運(yùn)行 Nginx 允許您使用基本的 HTTP 身份驗(yàn)證來限制訪問。根據(jù)您的主機(jī)，您最有可能在網(wǎng)站的儀表板中使用密碼保護(hù)工具。您可以啟用此工具并開始使用。在您的 WordPress 網(wǎng)站上啟用 Nginx 后，您的網(wǎng)站將需要身份驗(yàn)證才能訪問登錄頁面。您可以隨時(shí)更改憑據(jù)或禁用該工具。

鎖定 URL 路徑

最后但并非最不重要的一點(diǎn)是，如果您使用的是 Sucuri 或 Cloudflare 等 WAF（Web 應(yīng)用程序防火墻），則您有資格鎖定 URL 路徑。這樣，只有您的 IP 地址才能訪問您的 WordPress 管理員登錄 URL。

一般來說，網(wǎng)站所有者，尤其是電子商務(wù)或會(huì)員網(wǎng)站的所有者，不會(huì)使用這種方法，因?yàn)樗麄兺ǔ２坏貌灰揽亢蠖瞬僮鱽硗瓿晒ぷ?。不過，這仍然是加強(qiáng)網(wǎng)站安全性的好方法。

雙因素身份驗(yàn)證

您可能經(jīng)常聽說過“雙因素身份驗(yàn)證”一詞。讓我們看看為什么它是加強(qiáng)網(wǎng)站安全性的最關(guān)鍵和最容易實(shí)施的方法之一。

無論您的密碼多么安全、強(qiáng)大和復(fù)雜，總有可能有人發(fā)現(xiàn)它并嘗試訪問您放置密碼的任何內(nèi)容。雙因素身份驗(yàn)證是一個(gè)登錄的兩步過程，您不僅需要密碼登錄，還需要第二種方式。通常，第二種方式是帶有一次性密碼 (OTP) 的短信。

毫無疑問，這種方法可以免受暴力攻擊——成功破解您密碼的攻擊者幾乎不可能同時(shí)擁有您的電話號碼和 OTP。

當(dāng)我們談?wù)摼W(wǎng)站的雙因素身份驗(yàn)證時(shí)，它有兩個(gè)方面。首先是您在托管服務(wù)提供商處注冊的帳戶和儀表板。如果有人可以訪問它，他們可以更改您的密碼、更改您的 DNS 記錄，甚至刪除您的網(wǎng)站。因此，選擇可靠的托管服務(wù)提供商至關(guān)重要。

第二個(gè)與您的 WordPress 安裝的雙因素身份驗(yàn)證有關(guān)。您可以使用一些插件，包括Duo 雙因素身份驗(yàn)證和Google Authenticator。利用雙因素身份驗(yàn)證。它不僅是實(shí)現(xiàn)更安全協(xié)議的最簡單方法之一，而且證明它可以抵御漏洞。

HTTPS——SSL證書

人們通常會(huì)忽略安裝 SSL 證書和通過 HTTPS 運(yùn)行網(wǎng)站的重要性。HTTPS（安全超文本傳輸??協(xié)議）是一種允許您的瀏覽器安全連接網(wǎng)站的系統(tǒng)。SSL 是一種在您的網(wǎng)站上放置“鎖”的證書，向訪問者表明它是安全的。一個(gè)流行的誤解是，如果您的網(wǎng)站不接受信用卡，就不需要 SSL，但這與事實(shí)相去甚遠(yuǎn)。

安全

HTTPS 主要用于為涉及電子商務(wù)的站點(diǎn)提供額外的安全性，但這并不是 HTTPS 至關(guān)重要的唯一原因。問問自己，您的登錄信息有多重要？那些運(yùn)行多作者網(wǎng)站的人需要了解，如果您通過 HTTP 運(yùn)行，那么每次有人登錄時(shí)，信息都會(huì)以純文本形式發(fā)送到服務(wù)器。老練的網(wǎng)絡(luò)罪犯可以輕松破解此文本。

但是，HTTPS 確保瀏覽器和網(wǎng)站之間的連接安全且完全加密，防止黑客訪問您的網(wǎng)站。因此，無論您是在運(yùn)行博客、基于服務(wù)的站點(diǎn)還是電子商務(wù)業(yè)務(wù)，HTTPS-SSL 都將確保一流的安全性，因此不會(huì)以純文本形式傳遞任何內(nèi)容。

搜索引擎優(yōu)化

官方宣布HTTPS 是 Google 的排名因素。由 HTTPS 提供支持的網(wǎng)站——谷歌首選 SSL 來位于 SERP 之上。谷歌建議訪問者登陸安全和加密的網(wǎng)站，而不是不安全的網(wǎng)站。雖然它只是您網(wǎng)站排名的一個(gè)小因素，但值得利用它，這樣您就可以在 SERP（搜索引擎結(jié)果頁面）中擊敗競爭對手。

信任和信譽(yù)

GlobalSign進(jìn)行的一項(xiàng)調(diào)查報(bào)告稱，大約 29% 的訪問者確保他們的瀏覽器中有一個(gè)綠色地址欄，其中 77% 的人擔(dān)心他們的數(shù)據(jù)在網(wǎng)上沖浪時(shí)被濫用或攔截。

當(dāng)您實(shí)施 SSL 安全措施時(shí)，您會(huì)在地址欄的左角看到一個(gè)綠色的掛鎖，告訴用戶該站點(diǎn)是安全的并且他們的數(shù)據(jù)受到保護(hù)。這增加了網(wǎng)站的可信度，客戶或訪問者會(huì)立即安心，因?yàn)樗麄冎浪麄冊诰W(wǎng)站上提供的任何信息都是安全的。?如果您沒有保護(hù) HTTPS 網(wǎng)站，您應(yīng)該閱讀將網(wǎng)站訪問者從 HTTP 重定向到 HTTPS 的指南。

保護(hù)您的 wp-config.php

WordPress 安裝的主干是 wp-config.php 文件，必須不惜一切代價(jià)保護(hù)它。此文件是您的登錄信息和加密 cookie 中信息的安全憑證的數(shù)據(jù)庫。為保護(hù)此文件，您可以采取以下一些措施。

移動(dòng) wp-config.php

默認(rèn)情況下，您的 wp-config.php 文件位于 WordPress 安裝的根目錄中（/public_html 文件夾）。但是，可以將其移動(dòng)到非 www 可訪問目錄以使其更安全。

要移動(dòng)此文件，請將所有內(nèi)容復(fù)制到另一個(gè)文件中，然后將以下代碼片段放入您的 wp-config.php 文件中以包含您的其他文件。

<?php

include('/home/user/wp-config.php');

注意：根據(jù)您的虛擬主機(jī)和設(shè)置，目錄路徑可能會(huì)有所不同。

更新 WordPress 安全密鑰

WordPress 安全密鑰是一組或一組隨機(jī)變量，用于加密存儲在用戶 cookie 中的信息。自 WordPress 2.7 以來有四種不同的密鑰，它們是 AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY 和 NONCE_KEY。

這些密鑰是在您安裝 WordPress 時(shí)隨機(jī)生成的。但是，如果您已多次遷移您的網(wǎng)站或從其他人那里購買，最好創(chuàng)建一組新的密鑰以獲得最大的安全性。您可以在 wp-config.php 文件中找到密鑰。

更改權(quán)限

通常，WordPress 根目錄中的文件被設(shè)置為 644，這意味著它們對文件的所有者是可讀和可寫的，并且對其他所有人都是可讀的。WordPress 文檔指出 wp-config.php 文件的權(quán)限應(yīng)為 440 到 400，因此同一服務(wù)器上的其他網(wǎng)站所有者不會(huì)讀取它。這可以通過您的 FTP 客戶端輕松更改。某些托管平臺具有不同的權(quán)限，因?yàn)榫W(wǎng)絡(luò)服務(wù)器用戶沒有寫入文件的權(quán)限。要確定權(quán)限，請聯(lián)系您的托管服務(wù)提供商。

禁用 XML-RPC

根據(jù)Sucuri 的說法，在過去幾年中，XML-RPC 已成為暴力攻擊者的一個(gè)大目標(biāo)。XML-RPC 的隱藏特性之一是允許您使用 system.multicall 方法在單個(gè)請求中執(zhí)行多個(gè)方法。這是一項(xiàng)有用的功能，因?yàn)樗试S應(yīng)用程序在一個(gè) HTTP 請求中傳遞多個(gè)命令。但是，此功能的一個(gè)缺點(diǎn)是它也可能被用于惡意目的。

很少有 WordPress 插件（如 Jetpack）依賴 XML-RPC，但大多數(shù) WordPress 用戶甚至不需要它。因此，禁用它對您的網(wǎng)站是有益的。您甚至可以安裝 Disable?XML-RPC插件來自動(dòng)禁用它。

隱藏 WordPress 版本

隱藏您的 WordPress 版本的想法聽起來似乎沒有任何區(qū)別，但它不會(huì)讓人們知道您的站點(diǎn)配置，這在保護(hù)您的站點(diǎn)方面可以發(fā)揮重要作用。如果您的 WordPress 版本未被隱藏，人們可以看到您是否運(yùn)行過時(shí)的 WordPress 版本，從而允許入侵者進(jìn)入您的站點(diǎn)。

默認(rèn)情況下，WordPress 版本在網(wǎng)站源代碼的標(biāo)題中可見。雖然我們建議您首先始終保持 WordPress 更新，這樣您就不必?fù)?dān)心 WordPress 版本的可見性，您可以通過在 WordPress 主題的 functions.php 文件中使用以下代碼來隱藏它。

函數(shù) wp_version_remove_version() {

返回 ”;

}

add_filter('the_generator', 'wp_version_remove_version');

如果操作不當(dāng)，編輯源代碼可能會(huì)破壞站點(diǎn)。如果您不愿意這樣做，請先咨詢開發(fā)人員。您還可以下載一個(gè)插件來隱藏您的 WordPress 版本。

添加更新的 HTTP 安全標(biāo)頭

您的 HTTP 安全標(biāo)頭通常在服務(wù)器級別配置，讓瀏覽器知道在處理您的網(wǎng)站時(shí)如何表現(xiàn)。要加強(qiáng) WordPress 網(wǎng)站的安全性，您可以使用 HTTP 安全標(biāo)頭。盡管有許多 HTTP 安全標(biāo)頭，但以下是通常最重要的標(biāo)頭。

• 內(nèi)容安全政策
• X-XSS-保護(hù)
• 嚴(yán)格運(yùn)輸安全
• X-Frame-選項(xiàng)
• 公鑰密碼
• X-內(nèi)容類型

通過啟動(dòng) Chrome 開發(fā)工具并查看網(wǎng)站初始響應(yīng)中的標(biāo)頭，您可以檢查網(wǎng)站上當(dāng)前處于活動(dòng)狀態(tài)的標(biāo)頭。

添加 WordPress 安全插件

雖然插件不是您可以采取的最好的安全措施，但最好的 WordPress 安全插件可以在保護(hù)您的網(wǎng)站方面發(fā)揮重要作用。一些安全插件被證明是保護(hù)您的 WordPress 站點(diǎn)免受威脅和危害的絕佳解決方案。

這里有一些：

• Sucuri 安全
• iThemes 安全
• WordFence 安全
• WP fail2ban
• 安全出版社

數(shù)據(jù)庫安全

關(guān)于您網(wǎng)站的所有內(nèi)容都存儲在 WordPress 數(shù)據(jù)庫中。采取措施保護(hù)數(shù)據(jù)庫非常重要。有幾種方法可以做到這一點(diǎn)。

一、使用巧妙的數(shù)據(jù)庫名稱。如果您的站點(diǎn)名為 cheap car covers，則您的數(shù)據(jù)庫很可能會(huì)命名為 wp_cheapcarcovers。但是，您可以更改您的數(shù)據(jù)庫名稱，以防止黑客通過嘗試使用與網(wǎng)站域相似的名稱來破解您的數(shù)據(jù)庫。使您的數(shù)據(jù)庫名稱盡可能模糊。

二、使用不同的數(shù)據(jù)庫表前綴。WordPress 數(shù)據(jù)庫的默認(rèn)前綴是“wp_”。您可以將其更改為類似“l(fā)bw9_”的內(nèi)容。使其更安全。

始終使用安全連接

我們怎么強(qiáng)調(diào)使用安全連接的重要性都不為過。首先，確保您的 WordPress 主機(jī)采取了預(yù)防措施，包括提供 SFTP。SFTP（secure file transfer protocol，安全文件傳輸協(xié)議），也稱為SSH，是一種用于以更快的路由傳輸文件的網(wǎng)絡(luò)協(xié)議。它比標(biāo)準(zhǔn) FTP 更可靠。

其次，您需要確保家中或辦公室的路由器設(shè)置正確。如果有人在家里或工作場所入侵網(wǎng)絡(luò)，他們可以訪問各種信息，包括有關(guān)您的 WordPress 網(wǎng)站的信息。

以下是一些防止這種情況的提示：

• 不要啟用遠(yuǎn)程管理 (VPN)。大多數(shù)用戶甚至不使用它，因此通過將其關(guān)閉，您可以防止您的網(wǎng)絡(luò)暴露于外界。
• 路由器使用范圍內(nèi)的默認(rèn) IP，例如 192.168.1.1。使用唯一的范圍，例如 10.9.8.7。
• 在您的 wifi 上啟用最高加密級別。
• IP 白名單您的 wifi，因此只有擁有密碼和特定 IP 的人才能訪問它。
• 保持路由器上的固件更新。

每當(dāng)您在公共場所（例如學(xué)?；蚓W(wǎng)吧）登錄 WordPress 網(wǎng)站時(shí)，請務(wù)必小心，因?yàn)檫@些場所通常不安全。在連接之前檢查安全性，例如驗(yàn)證 SSID。

文件和服務(wù)器權(quán)限

文件和服務(wù)器權(quán)限對您的 WordPress 安全至關(guān)重要，如果這些權(quán)限松散，網(wǎng)絡(luò)犯罪分子可以輕松訪問您的網(wǎng)站。也就是說，過于嚴(yán)格的權(quán)限會(huì)使您的網(wǎng)站無法正常運(yùn)行，因此了解設(shè)置哪些權(quán)限很重要。

文件權(quán)限

1. 如果用戶有權(quán)讀取文件，則授予讀取權(quán)限。
2. 如果用戶有權(quán)寫入文件，則授予寫入權(quán)限。
3. 如果用戶有權(quán)運(yùn)行該文件或?qū)⑵渥鳛槟_本執(zhí)行，則授予執(zhí)行權(quán)限。
4. 所有文件都應(yīng)該是 644 或 640，wp-config.php 除外，它應(yīng)該是 440 或 400。

目錄權(quán)限

1. 如果用戶有權(quán)訪問文件夾或目錄的內(nèi)容，則授予讀取權(quán)限。
2. 如果用戶有權(quán)在目錄中添加或刪除文件，則授予寫入權(quán)限。
3. 如果用戶有權(quán)訪問目錄并執(zhí)行命令，包括從目錄中刪除數(shù)據(jù)的權(quán)限，則授予執(zhí)行權(quán)限。
4. 所有目錄都應(yīng)為 755 或 700。任何目錄都不應(yīng)達(dá)到 777。

在儀表板中禁用文件編輯

許多 WordPress 網(wǎng)站有多個(gè)管理員和用戶，這使得安全性變得更加復(fù)雜。一些網(wǎng)站所有者甚至向作者和所有者授予管理訪問權(quán)限，這是一種不好的做法，也是一種安全威脅。

所有用戶都應(yīng)該有正確的權(quán)限，這樣他們就不會(huì)在網(wǎng)站上造成干擾。一種方法是禁用WordPress 中的外觀編輯器。許多用戶在 Appearance Editor 上快速編輯某些內(nèi)容，然后突然出現(xiàn)白屏。建議您在本地編輯文件并通過 FTP 或 SFTP 上傳。

如果您的 WordPress 被黑，黑客可能做的第一件事就是嘗試通過外觀編輯器編輯主題或 PHP 文件，這是他們在您的網(wǎng)站上安裝惡意代碼的最快方式。

但是，如果此選項(xiàng)在儀表板中甚至不可見，則可用于防止攻擊。將以下代碼放在 wp-config.php 文件中，以刪除所有用戶的 edit_themes、edit_plugins 和 edit_files 選項(xiàng)。

定義（'DISALLOW_FILE_EDIT'，真）；

防止盜鏈

盜鏈?zhǔn)侵改鷱幕ヂ?lián)網(wǎng)上獲取圖像并將其 URL 直接復(fù)制到您的網(wǎng)站上，以將其顯示在從原始位置提供的網(wǎng)站上。雖然這看起來沒什么大不了的，但它屬于盜竊行為，可能會(huì)花費(fèi)您很多額外的錢。有多種方法可以防止您網(wǎng)站上的盜鏈?。

防止 Apache 中的熱鏈接

要防止 Apache 中的熱鏈接，請將以下代碼添加到您的 .htaccess 文件中。

重寫引擎開啟

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]

重寫規(guī)則 \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

防止 NGINX 中的盜鏈

將以下代碼添加到您的配置文件中以防止 NGINX 中的熱鏈接。

位置 ~ .(gif|png|jpe?g)$ {

valid_referers 沒有被阻止 ~.google。~.bing。~.yahoo yourdomain.com *.yourdomain.com;

如果（$invalid_referer）{

返回 403；

}

}

始終制作 WordPress 備份

盡管上面列出的安全措施可以幫助保護(hù)您的網(wǎng)站，但它永遠(yuǎn)不會(huì)是無懈可擊的。因此，萬一您的網(wǎng)站出現(xiàn)問題，您需要一個(gè)備份。一些托管 WordPress 托管服務(wù)提供商提供每日備份，但如果您的主機(jī)沒有為您的站點(diǎn)提供備份，您可以使用服務(wù)和插件來自動(dòng)執(zhí)行該過程。

WordPress 站點(diǎn)備份服務(wù)，包括 VaultPress 和 CodeGuard，通常是最可靠的服務(wù)，并且每月收取較低的費(fèi)用以在云中備份您的網(wǎng)站。?另一方面，有一些插件可以讓您通過 FTP 備份您的站點(diǎn)或?qū)⑵渑c外部云存儲集成，例如 Amazon S4、Google Cloud Storage、Dropbox、Google Drive 等。一些可靠的插件是 Duplicator、WP Time Capsule、BackupBuddy 和 WP BackItUp。

DDoS 防護(hù)

DDoS 攻擊并不新鮮，但防止這些攻擊的措施已經(jīng)取得了進(jìn)步。與其他攻擊不同，DDoS 攻擊不會(huì)入侵您的網(wǎng)站，但會(huì)導(dǎo)致網(wǎng)站癱瘓數(shù)小時(shí)或數(shù)天。

要保護(hù)自己免受 DDoS 攻擊，請使用第三方安全服務(wù)，例如 Cloudflare 或 Sucuri。如果您經(jīng)營一家企業(yè)，那么您應(yīng)該投資保費(fèi)計(jì)劃，不要冒任何可能危及您業(yè)務(wù)的風(fēng)險(xiǎn)。

這些安全服務(wù)帶有高級 DDoS 保護(hù)，可用于消除各種 DDoS 攻擊，包括針對 UDP 和 ICMP 協(xié)議、SYN/ACK、DNS 放大和第 7 層的攻擊。這些服務(wù)的其他好處是通過將您置于專用代理后面來隱藏您的原始 IP 地址。

關(guān)鍵要點(diǎn)

正如我們在本文中展示的那樣，有很多方法可以提高您的 WordPress 網(wǎng)站的安全性。把它們加起來;?使用聰明而強(qiáng)大的密碼，保持軟件、插件和主題更新，跟蹤您的權(quán)限，并獲得可靠的托管 WordPress 托管，這可以通過保護(hù)您的網(wǎng)站并為您采取所有必要措施，使您的工作輕松十倍。對于我們中的許多人來說，網(wǎng)站不僅僅是一個(gè)網(wǎng)站——它還是一種收入來源。如果它遭到破壞，它會(huì)造成很大的損害，因此花費(fèi)時(shí)間、精力和金錢來實(shí)施所提到的安全實(shí)踐至關(guān)重要。