保护 WordPress 网站安全的 6 个技巧

WordPress 已经为互联网上超过 30% 的网站提供支持，是世界上增长最快的内容管理系统 (CMS)——而且不难看出原因。凭借通过编码和插件提供的大量自定义功能、一流的 SEO 以及卓越的博客声誉，WordPress 无疑赢得了它的受欢迎程度。

然而，随着受欢迎程度的提高，也带来了其他不太受欢迎的关注。WordPress 是入侵者、恶意软件和网络攻击的常见目标——事实上，WordPress 约占 2019 年 被黑客攻击的 CMS 平台的 90%。

无论您是 WordPress 初次用户还是经验丰富的开发人员，都可以采取重要的步骤来保护您的 WordPress 网站。以下六个关键技巧将帮助您入门。

1. 选择可靠的托管服务

托管是所有网站看不见的基础——没有它，您就无法在线发布您的网站。但是托管的功能远不止托管您的网站。它还负责网站速度、性能和安全性。

首先要做的是检查主机是否在其计划中包含 SSL 安全性。

SSL 是所有网站必不可少的安全功能，无论您是运行小型博客还是大型在线商店。如果您接受付款，您将需要更高级的 SSL 证书，但对于大多数网站来说，基本的免费 SSL 应该就足够了。

需要注意的其他安全功能包括

• 频繁的自动异地备份
• 恶意软件和病毒扫描与清除
• 分布式拒绝服务 (DDoS) 防护
• 实时网络监控
• 高级防火墙保护

除了这些数字安全功能外，还值得考虑您的托管提供商的物理安全措施。这些措施包括使用保安人员、闭路电视和双因素或生物识别身份验证来限制对数据中心的访问。

2. 使用安全插件

保护网站安全最好也是最简单的方法之一是安装安全插件，例如 Sucuri，这是一个开源的 GPLv2 许可项目。安全插件至关重要，因为它们可以自动化安全，这意味着您可以专注于运行您的网站，而不是将所有时间都投入到对抗在线威胁中。

这些插件可以检测和阻止恶意攻击，并提醒您注意任何需要您关注的问题。简而言之，它们在后台不断工作以保护您的网站，这意味着您不必 24/7 熬夜来对抗黑客、漏洞和其他数字恶意软件。

一个好的安全插件将免费提供您需要的所有基本安全功能，但某些高级功能需要付费订阅。例如，如果您想解锁 Sucuri 的网站防火墙，则需要付费。启用 Web 应用程序防火墙 (WAF) 可以阻止常见威胁，并为您的网站增加额外的安全层，因此在选择安全插件时，最好寻找此功能。

3. 选择值得信赖的插件和主题

WordPress 的乐趣在于它是开源的，因此任何人都可以参与开发主题和插件。但在选择高质量的主题或插件时，这也可能会带来问题。

在选择免费主题或插件时，务必谨慎，因为有些主题或插件设计不良，或者更糟糕的是，可能隐藏恶意代码。

为避免这种情况，请始终从信誉良好的来源（例如 WordPress 库）获取免费主题和插件。始终阅读评论并研究开发人员，看看他们是否构建了任何其他程序。

过时或设计不良的主题和插件可能会留下“后门”，让攻击者或漏洞进入您的网站，这就是为什么在选择时要小心。但是，您也应该警惕空主题或破解主题。这些是高级主题，已被黑客入侵并被非法出售。您可能会购买空主题，认为它一切正常——结果却因隐藏的恶意代码而损坏了您的网站。

为了避免空主题，不要被打折价格所吸引，并且始终坚持信誉良好的商店，例如官方 WordPress 目录。如果您在其他地方寻找，请坚持大型且值得信赖的商店，例如 Themify，这是一家自 2010 年以来一直在运营的主题和插件商店。Themify 确保其所有 WordPress 主题都通过了 Google 移动设备友好测试，并且根据 GNU 通用公共许可证开源。

4. 定期运行更新

这是一个基本的 WordPress 规则：始终保持您的网站最新。 然而，并非每个人都遵守这条规则——事实上，只有 43% 的 WordPress 网站正在运行最新版本。

问题在于，当您的网站过时时，它会变得容易受到故障、漏洞、入侵和崩溃的影响，因为它在安全性和性能修复方面落后了。过时的网站无法像更新的网站那样修复漏洞，并且攻击者可以分辨出哪些网站已过时。这意味着他们可以搜索最脆弱的网站并相应地进行攻击。

这就是为什么您应该始终在最新版本的 WordPress 上运行您的网站。为了保持您的安全处于最强状态，您必须更新您的插件和主题以及您的核心 WordPress 软件。

如果您选择托管 WordPress 托管计划，您可能会发现您的提供商会为您检查和运行更新——请明确您的主机是否提供软件和插件更新。如果不是，您可以安装开源插件管理器，例如 GPLv2 许可的 Easy Updates Manager 插件，作为替代方案。

5. 加强您的登录

除了通过仔细选择主题和安装安全插件来创建安全的 WordPress 网站外，您还需要防范通过登录进行未经授权的访问。

密码保护

加强登录安全的第一种也是最简单的方法是更改您的密码——特别是如果您正在使用 容易猜到的短语，例如“123456”或“qwerty”。

相反，尝试使用长密码短语而不是密码，因为它们更难破解。最好的方法是使用一系列您认为容易记住的不相关的单词串联在一起。

以下是一些其他技巧

• 永远不要重复使用密码
• 不要包含明显的单词，例如家庭成员的名字或您最喜欢的足球队
• 永远不要与任何人分享您的登录详细信息
• 包含大写字母和数字以增加密码短语的复杂性
• 不要写下或将您的登录详细信息存储在任何地方
• 使用密码管理器

更改您的登录 URL

最好将您的默认登录网址从标准格式更改：yourdomain.com/wp-admin。这是因为黑客知道这是默认 URL，因此如果不更改它，您将面临暴力攻击的风险。

为避免这种情况，请将 URL 更改为其他内容。使用开源插件，例如 GPLv2 许可的 WPS Hide Login，以实现安全、快速且简单的自定义。

应用双因素身份验证

为了额外保护免受未经授权的登录和暴力攻击，您应该添加双因素身份验证。这意味着即使有人确实获得了您的登录详细信息，他们也需要一个直接发送到您手机的代码才能获得对您 WordPress 网站管理员的访问权限。

添加双因素身份验证非常容易。只需再安装一个插件——这次，在 WordPress 插件目录中搜索“双因素身份验证”，然后选择您想要的插件。一个选项是 Two Factor，这是一个流行的 GPLv2 许可项目，拥有超过 10,000 个活跃安装。

限制登录尝试次数

WordPress 试图提供帮助，让您可以随意猜测您的登录详细信息。然而，这也有助于黑客试图未经授权访问您的 WordPress 网站以发布恶意代码。

为了对抗暴力攻击，请安装一个限制登录尝试次数的插件，并设置您想要允许的猜测次数。

6. 禁用文件编辑

这不是一个初学者友好的步骤，所以除非您是一位自信的编码员，否则不要尝试它——并且始终先备份您的网站！

话虽如此，如果您真的认真对待保护您的 WordPress 网站，禁用文件编辑确实是一项重要措施。如果您不隐藏您的文件，则意味着任何人都可以直接从管理区域编辑您的主题和插件代码——如果入侵者进入，这将非常危险。

要拒绝未经授权的访问，请转到您的 .htaccess 文件并输入

<Files wp-config.php>
order allow,deny
deny from all
</Files>

或者，要从您的 WordPress 管理区域完全删除主题和插件编辑选项，请通过添加以下内容来编辑您的 wp-config.php 文件

define( 'DISALLOW_FILE_EDIT', true );

一旦您保存并重新加载文件，插件和主题编辑器将从 WordPress 管理区域内的菜单中消失，从而阻止任何人编辑您的主题或插件代码——包括您。 如果您需要恢复对主题和插件代码的访问权限，只需删除您在禁用编辑时添加到 .htaccess 文件中的代码即可。

无论您是阻止未经授权的访问还是完全禁用文件编辑，采取行动保护您网站的代码都很重要。否则，不速之客很容易编辑您的文件并添加新代码。这意味着攻击者可以使用编辑器从您的 WordPress 网站收集数据，甚至使用您的网站对其他人发起攻击。

为了更轻松地隐藏您的文件，您可以使用安全插件来为您完成，例如 Sucuri。

WordPress 安全回顾

WordPress 是一个出色的开源平台，初学者和开发人员都应该享受它，而不必担心成为攻击的受害者。可悲的是，这些威胁不会很快消失，因此密切关注您网站的安全性至关重要。

使用上面概述的措施，您可以为您的 WordPress 网站创建更强大、更安全的保护级别，并确保您自己获得更愉快的体验。

保持安全是一项持续的承诺，而不是一次性的清单，因此请务必定期重新访问这些步骤，并在构建和使用 CMS 时保持警惕。