安全的 WordPress – 如何确保您网站的安全

那些最好的网站是那些只有最好的设计并且看起来更吸引眼球的网站的日子已经一去不复返了。叙述正在发生变化，人们现在开始将安全性作为设置网站时最重要的参数之一。 

醒来看到一个刚刚被臭名昭著的黑客访问过的网站对任何人来说都不是一种愉快的经历，当然也不是任何人愿意看到的景象。如果受到攻击的是电子商务网站，情况会变得更糟，因为您可能会失去客户，关闭您的运营一段时间，甚至可能在此过程中损失大量金钱——这一切都是不应有的黑客的胜利！任何合理和负责任的网站所有者都不希望发生这种情况。 

对于拥有网站的任何人来说，这是一个相当严肃的话题，因为如果您未能在网站安全方面做正确的事情，那么当任何灾难最终袭来时，您只能责怪自己。 

安全检查清单——如何确保您的 WordPress 网站安全？

• 更新 WordPress

• 更新插件，甚至停用

• 更新主题

• 仅使用合法开发人员维护良好的插件

• 使用强密码并定期更改

• 保持对主机的安全访问

• 确保与您的网站共享主机的其他网站的安全

WordPress 的安全性如何？

了解 wordpress 是否是用于构建网站的安全平台是开始我们的活动的绝妙起点。人们只是以某种方式得到这样的印象，即 wordpress 不是用于构建网站的安全平台。这种印象如此普遍的原因很简单——他们中的许多人在网站安全功能方面没有采用最佳实践; 其他人仍然热衷于使用老式且几乎不再使用的 wordpress 软件；其他几个似乎仍然无效和无效的插件是唯一可用于装备其网站的工具；另一群人对网络安全是什么一无所知，而且他们的系统管理不善。常见的，让我们面对现实吧，这些都是破坏任何现有网站的可靠和可靠的理由。 

[sc name=”helpbanner” title=”担心 WordPress 的安全性？”]

要直接回答上述问题，wordpress 是用于构建网站的安全平台。 

我们需要担心另一群人，这些人对使用 wordpress 持怀疑态度，因为他们认为它在安全性方面不是 100% 有效的。没有一个建站平台是100%安全的！事实上，如果你执着于寻找一款100%安全的建站软件，那你就如同一生只为追求影子的人！ 

然而，可以说 wordpress 具有强大的安全功能和控件，可以帮助您最大限度地减少和减轻成为那些居住在互联网黑暗世界中的人的风险。 

世界上超过 34% 的网站由 wordpress 提供支持，这就是它应该成为黑客攻击目标的一个很好的理由。这就是为什么你不能避免任何可用的安全漏洞，因为如果你这样做，你将以自己的损害为代价。 

[sc name=”helpchat”]

WordPress 有一些漏洞导致了您过去和今天一定听说过的大部分安全漏洞，尤其是那些仍然不知道可以采取哪些措施来遏制此类威胁的人。其中一些漏洞包括使用后门、恶意重定向、制药黑客、DOS（拒绝服务）、跨站点脚本以及使用暴力登录。这些是黑客在过去对某些 wordpress 服务器造成严重破坏。不过，您应该知道的一件好事是，您可以采取多种安全措施来保护您免受此类攻击。  

开发人员正在充实数以千计的插件和主题，以支持众多 wordpress 用户实现他们的各种目标，其中一些工具最终无意中为某些漏洞和安全漏洞创造了空间。但这不是你应该担心的事情，因为有一个专门的 wordpress 团队投入了他们的时间来确保这些安全漏洞在最短的时间内得到充分处理和纠正。这些专业人员中有一些是为了完成此类任务而获得报酬的，因此您几乎可以想象他们为掌控每一个安全情况准备了多远。

根据以审查网站安全性而闻名的研究小组进行的一项调查，每天有超过 100,000 个网站受到数字窃贼的攻击。因此，在创建一个安全的 wordpress 网站时，您可以做很多事情来避免任何此类攻击，并根据情况防止不必要的经济损失。这些是您可以采取的一些步骤：

安全的 WordPress 托管公司更好

永远不要错误地认为保护您的 wordpress 网站完全取决于您一个人。您的托管公司有自己的责任，如果他们不履行职责，无论您做什么，您的网站都可能被黑客入侵。只将您的业务信任已在行业中证明其价值的网络托管公司。就像我们说的那样，一旦他们的安全功能受到威胁，您只能做很少的事情；相信我，你永远不想发现自己处于那个位置！

最好的托管公司确实使用服务器强化作为确保 wordpress 网站安全环境的一种手段。它使用包含硬件和软件的多个层来确保他们的 IT 设置足以抵御任何安全威胁，无论它们多么复杂。 

他们还确保使用最新的操作系统正确更新他们的服务器，并定期进行全面的测试和扫描以处理任何潜在的恶意软件和可能性。 

试图在没有必要的防火墙和系统来检测任何可能的入侵的情况下运行托管服务只是一场等待发生的灾难。在进行任何 wordpress 安装之前，这些事情必须到位。这些公司还通过安装不完全支持该平台的安全工具来确保他们不会损害您网站的性能。 

使用智能登录凭证

通过简单地沉迷于使用出色的密码和用户名，您可以使您的 wordpress 网站对黑客来说难以捉摸。一些站点管理员出于某种原因仍然喜欢使用看起来很笨的密码来登录他们的站点，当这种情况发生时，您几乎可以猜到后果。根据几年前某技术期刊进行的一项调查，站点管理员最常用的密码是 1234567，其次是许多其他容易猜到的密码。就是这么糟糕。

您想知道为什么高级网站强制使用密码强度来衡量密码的复杂性。如果您希望拥有一个受到高度保护的 wordpress 站点，那么您需要首先采用潜在黑客无法立即猜到的好密码！ 

幸运的是，有许多在线工具可以帮助您选择密码。在 Google 中进行一些搜索，我相信您会找到合适的答案。 

wordpress 安装附带一个默认用户名 Admin，切勿尝试使用该帐户。为您的管理员想出您自己的唯一用户名，并为其分配管理员角色。然后在创建自定义管理员帐户后删除默认管理员用户名。实现此目的的另一种方法是进入 phyMyAdmin 并执行以下命令。当然，在备份你的表之后。

更新 wp_users SET user_login = 'customadminuser' WHERE user_login = 'admin';

没有什么比最新版本的 PHP

正如我们所知，WordPress 非常依赖 PHP 来完成工作。因此，知道您的主机服务器应该运行最新版本的 PHP 以确保您的网站安全并不是一件容易的事。 

每个发布的 PHP 版本只会在接下来的两年内获得所需的支持。在那段时间之后，用户将自行承担使用它的风险。不幸的是，多达 56% 的许多用户仍在使用 5.6 或更低版本的 PHP 来进行 Web 开发。 

这在很大程度上是不充分和不恰当的，只会给网站所有者带来更多问题。如果您不想为管理您的 wordpress 网站而心痛，则不必属于此类。 

除了在金盘上将敏感数据牺牲给黑客之外，运行旧版本的 PHP 会很好地影响您的 wordpress 网站的性能，而现在任何人都不想拿这个因素开玩笑。 

找出您的 wordpress 主机当前使用的 PHP 版本。您可以通过几种方式做到这一点。一种方法是在 pingdom 上运行您的网站。如果它恰好低于可接受的当前和安全的 PHP 版本，那么您可以使用您的 CPanel 来切换您的版本。 

锁定您的 WordPress 管理员

充分锁定您的 wordpress 管理部分是保护您的网站的好方法。这将使黑客几乎不可能在您的网站上找到任何后门，因为这是他们中的一些人喜欢开始的地方。现在，您可以通过两种方式执行此操作。首先，您可以通过修改 wordpress 登录的 URL 来挫败攻击者。 

wordpress 管理员的默认 URL 格式为 domain_name.com/wp-admin。如果你能改变这个，你就会为自己创造一个美好的世界，因为那里的每个人（包括好人和坏人）都知道这是默认 URL，并且可能会决定试试运气。 

要成功修改此 URL，您可以使用几个免费插件，例如 WPS 隐藏登录。 

第二种方法是限制某人尝试登录的次数。这种方法已被证明在阻止黑客入侵方面非常有效。探索可用的工具，因为它们可以帮助您定义锁定持续时间、登录次数以及 IP 黑名单和白名单。 

您使用的一切都应该是最新版本

与我们之前提到的一致，太多的 wordpress 用户发现自己在构建网站时纠结于过时的部分。这些用户几乎没有意识到创建安全 wordpress 网站的一个简单技巧是确保您用于该项目的所有内容都应该是最新版本。从 WordPress 软件到您选择的主题再到您正在使用的插件，一切都必须是最新的副本。这些更新版本通常具有改进的安全性以及大量错误修复。 

今天将自己从那些只是觉得他们不需要更新他们正在使用的任何东西的企业中赶出去。这是一种只会在以后导致厄运的商业策略。您很可能会遇到错误，甚至只是因为您使用过时版本的插件来执行您的 wordpress 网站而导致网站损坏。 

对于网站所有者来说，另一个有趣的统计数据是，超过 50% 的被黑客利用的 wordpress 漏洞是过时插件的结果。通过探索任何可用的最佳 wordpress 网站安全插件，让自己免于心痛。此外，专家通常建议您不要只是在网络上选择任何插件并开始使用它们。如果您可以访问受信任的插件，那会好很多。因此，养成从开发人员的存储库获取插件的习惯，或者在应用它们供您使用之前使用在线扫描工具对您下载的任何内容进行检查。 

[sc name=”helpchat”]

更新 WordPress 核心

大多数托管公司确实提供一键式解决方案来更新您的 wordpress 核心。这是一个更简单的选项，因为它会自动处理更新。 

要完成此操作，请进入 wordpress 仪表板并单击“立即更新”。 

您同样可以通过手动下载最新的 wordpress 版本来实现这个目标。使用此方法的唯一问题是您必须非常小心，以免最终覆盖错误的目录。因此，特此建议您在继续使用此选项之前咨询开发人员。 

升级到最新版本时请遵守以下步骤：

• 删除旧的 wp-includes 以及 wp-admin 目录。

• 上传最近的 wp-includes 和 wp-admin 目录。

• 将文件从新目录单独上传到您的 wp-content 文件夹。确保您不要删除 wp-content 中的任何文件夹或文件，除非您打算覆盖这些文件夹或文件。 

• 将新版本根目录中的每个新文件上传到 wordpress 的根目录。 

更新 WordPress 插件

您还可以自动或手动更新您的 wordpress 插件。自动更新过程与上面的方式几乎相似。 

为此，请导航到您的 wordpress 仪表板并单击“更新”，选择您要更新的插件并单击“更新插件”。它是如此简单！

对于手动更新，从开发人员的存储库获取插件或转到 wordpress 存储库并下载它并通过 FTP 上传它以覆盖以前位于此目录中的插件：/wp-content/plugins。

HTTPS 更适合加密连接

站点所有者的一个主要误导性信念是，许多人认为 SSL 仅适用于运行使用信用卡和类似东西处理金融交易的网站的人。HTTPS，即安全超文本传输协议，只是一种确保您的 Web 应用程序或 Web 浏览器与网站安全连接的措施。 

因此，如果您想在在线社区中保持安全，那么您应该确保始终对所有加密连接使用 HTTPS。并且为了您的信息，有很多显而易见的原因可以向所有人推荐 HTTPS，即使您没有运行电子商务网站。其中一些原因包括： 网络内容加密；增加搜索引擎的机会；向网站访问者保证您是值得信赖的；网站不会被标记为不安全；以合理的程度提高您的网站性能。 

采用两阶段认证

有时您不能仅仅依靠密码验证来保护您的 wordpress 站点。事实上，您不能太确定密码的强度。那些黑客可能只是偶然发现了您的密码，而您不想讲述剩下的故事！

如今，两阶段身份验证已成为优先事项，因为它在批准登录之前使用除密码之外的另一种方法。在很多情况下，谈到的附加方法可能是电话、简单的短信或 OTP（一次性密码）。 

对于采用两阶段身份验证过程的网站，暴力攻击大多不会成功。因此，两阶段身份验证是您不想想当然的wordpress网站安全功能之一！

应隐藏 WordPress 版本

保护您的 wordpress 站点免受未经授权访问的可靠方法是让那些想知道的人不知道您的 wordpress 版本。没有什么比知道您使用的是过时的 wordpress 更能让入侵者高兴的了。他们掌握的有关您的 wordpress 网站配置的信息越多，他们攻击此类网站的机会就越大。 

通常，您的 wordpress 站点的版本总是写在您网站的源代码标头中。但是，如果您正在实施最新的 wordpress 版本，那么您将不需要将此作为额外的安全措施。 

话虽如此，如果您使用的是旧版本的 wordpress，您可以通过将以下代码引入您的 functions.php 文件来删除该版本：

函数 wp_version_remove_version() {

返回 ”;

}

add_filter('the_generator', 'wp_version_remove_version');

或者最好是，您可以采用一键式解决方案来完成工作。一个可行的解决方案是 Perfmatters。 

编辑wordpress代码

增强 wp-config.php

协调任何 wordpress 安装的一个关键功能是 wp-config.php。它包含一些关于您的安装的非常有价值的信息，例如您的数据库登录、安全加密和其他相关信息。您可以通过执行下面将突出显示的一些操作来强化此文件的外观：

• 确保更新您的 wordpress 安全密钥——这些密钥只不过是一组安全信息，用于增强用户 cookie 中包含的信息的加密。wordpress 2.7的出现，引入了AUTH_KEY、LOGGED_IN_KEY、SECURE_AUTH_KEY、NONCE_KEY。安装成功后，这些密钥通常会自动为您生成。但是，如果您似乎是从其他人那里继承站点，那么这可能是需要一些新的 wordpress 密钥集的充分理由。 

• 更改 wp-config.php 文件的位置——当您使用默认的公共 HTML 文件夹存储 wp-config.php 文件时，您可能会遇到麻烦。这可以通过将此类敏感文件移动到非 www 可访问的目录来避免。要更改 wp-config.php 文件的位置，请复制其所有内容并将其粘贴到新文件中。完成后，返回 wp-config.php 文件并发布以下代码： 

<?php

include('/home/your_unique_name/wp-config.php'); 请注意，您自己的目录路径将取决于您的虚拟主机的目录路径以及设置。 

• 更改权限——通常，wordpress 网站根目录中的文件通常设置为 644。这仅仅意味着该文件将可读和可写，由文件所有者、组所有者和其他所有人读取。根据 wordpress 文档的规定，wp-config.php 文件权限应为 4wp-config.php 文件权限应为 400 或 440，因为这会阻止服务器内的其他用户访问它。使用您自己的 FTP 客户端进行更改。 

你不需要 XML-RPC

记录表明，XML-RPC在 wordpress 站点上执行暴力破解措施而受到黑客的欢迎。正如网络专家所说，XML-RPC 的缺点之一是它允许用户通过其 system.multicall 方法对单个请求进行多次调用。当出于正确的原因使用它时，这无疑是好的。唯一的问题是它也可能被错误的人用来帮助他们自己的邪恶和自私的道路。 

所以这就是为什么您当然不需要任何 XML-RPC 的原因；它似乎更像是一种安全责任，而不是一种保护资产。话虽如此，您的 wordpress 站点目前不太可能在启用此功能的情况下运行。但是，为了让您对它有绝对的把握，您可以尝试使用任何可用的在线工具来验证它的状态。如果碰巧启用了它，那么请在使用您的 wordpress 网站之前将其禁用。

为 WordPress 采用安全插件

如果您认为 wordpress 的安全插件只是为了好玩，那么我认为您可以原谅。WordPress 安全插件仍然是确保您的 wordpress 网站安全的重要组成部分。 

从用户创建个人资料时生成强密码，到恶意软件扫描，再到跟踪 DNS 更改，这些安全插件的用途非常广泛，而且非常重要，不容忽视。wordpress 安全领域的一些著名插件包括 WordFence Security、SecuPress、iThemes Security 和 WP fail2ban。这些最好的 wordpress 网站安全插件确实确保他们不时检查您的网站并确保核心文件没有受到任何损害。 

使用最新的 HTTP 安全标头

提高wordpress 网站安全功能的一种便捷方法是利用安全标头。它们的配置通常在 Web 服务器级别，指示浏览器在处理您网站上的内容时执行的操作。有很多 HTTP 标头可供您使用；然而，本文只是在这里列出一些最重要的：Public-Key-Pins、X-XSS-Protection、Strict-Transport-Security、Content-Security Policy、X-Frame-Options 和 X-Content -类型。 

但是，如果您不确定 HTTP 安全标头的类型，您可以通过打开 chrome 的开发人员工具进行检查，并仔细查看第一个响应中包含的标头。 

同样，如果您不习惯自己处理这个问题，您可以咨询开发人员的服务。 

检查文件以及服务器权限

在安装和 Web 服务器的过程中，对文件权限了解一两件事非常重要。如果您没有足够严格的权限来阻止犯罪倾向，您可能会在不知不觉中丢弃很多东西。 

您必须知道如何为适当的用户分配正确的文件和目录权限。如果您不知道，读取权限适用于被允许读取文件的用户，写入权限适用于有权更改所述文件内容的用户，而执行权限仅适用于被允许的用户运行脚本。 

对于目录，可以为有权访问和查看该目录内容的人分配读取权限；写权限适用于可以在指定目录中添加或删除文件的用户；执行权限是有权访问指定的目录并运行命令及其上的功能。 

尽量不要通过为错误的用户分配不同的权限来混淆这些。作为更直接的指南，您可以使用下面的这些要点来分配您的 wordpress 网站的权限：

• 文件最好使用 640 或 644 权限。一个应该被排除的文件是 wp-config.php 文件，它应该是 400 或 440，这样碰巧在同一台服务器上的其他未经授权的用户就无法访问它。

• 目录最好使用 750 或 755 权限。

• 避免为任何目录分配 777 权限，包括用于上传的目录。 

始终确保备份

备份的说教永无止境，但令人担忧的是，用户在备份他们的资料方面做得还不够。您可以通过部署一些最先进的安全措施来击退攻击者，这是绝对正确的。 

然而，在计算机世界中，任何事情都必然会发生。因此，确保您的内容安全的唯一方法是确保您不时进行备份活动。幸运的是，许多托管公司现在都提供各种格式的备份服务。有些非常简单，您只需单击一个按钮，您的 wordpress 站点就会得到备份。 

然而，如果您正在光顾缺乏此类功能的托管公司，那么您并不孤单。有几个插件可以自动备份并最终使它成为一个方便的过程。这些插件让您可以通过 FTP 或与 Google Drive、Dropbox 或 Amazon S3 等外部存储集成来获得备份副本。其中一些插件包括 WP Time Capsule、UpdraftPlus、BackWPup、Duplicator 等。 

注意：大多数 web 专家和推荐基于增量的解决方案作为这里的方法。这样的插件需要更少的资源并且不会影响性能。 

或者，您可以通过订阅备份服务来应对备份挑战。这些服务可帮助您将内容存储在云中，每月收取少量费用。它们包括 CodeGuard、VaultPress 和 BlogVault。 

DDOS防护

如果您认为让您的网站被黑是一种有趣的经历，那么请等到您遇到 DoS 或拒绝服务攻击。这种攻击利用各种系统来攻击单个网站。他们的动机？通常，此类攻击的重点只是在短时间内关闭您的网站。 

有一些服务可以帮助您抵御对您的 wordpress 网站的这种形式的攻击。其中一项服务是Cloudfare。任何真正想让这些吸血鬼远离他们站点的人都可以依赖他们提供的针对 DDOS 攻击的内容。它以神秘的方式工作，其中之一是使用代理保护您的 IP 地址，这样黑客就不知道如何获取您的确切信息。 

安全托管

安全的托管公司可以是避免所有这些麻烦的好方法。如果您缺乏实施上面推荐的所有选项的专业知识或技术诀窍，您的托管公司会很乐意为您提供帮助，因为这是帮助他们的客户实现业务目标的一种方式。因此，您今天就可以通过连接来节省精力！ 

概括

你不需要在没有采取必要的安全措施的情况下运行你的 wordpress 站点，因为这是每个人都这样做的方式。根据您在这篇文章中学到的所有知识，如果您将黑客攻击成功的借口寄托在不知道自己应该做什么上，那将是有罪的。为什么不通过创建一个wordpress 网站安全检查表并使用它来确保在您做任何事情之前所有安全功能都到位，从而在您的网站安全方面采取大胆的步骤。最有趣的是，其中一些安全措施的成本并不像许多人担心的那样高。您可以部署最好的网站安全功能没有在你的口袋里烧一个洞。与您的 wordpress 网站因黑客策划的安全漏洞而遭受一些停机时间相比，上述所有措施都是便宜的。因此，今天要保持安全，不要忽视本文中提出的所有建议，因为这是确保您的业务永不中断的最可靠方法。