保护网站的 19 种方法(7 种是关键!)

已发表: 2022-08-20


担心 WordPress 的安全性?

你应该! 但不要担心——如果您在您的网站上实施一些 WordPress 网站安全最佳实践,您可以确信您的网站不会遇到问题。

WordPress安全的。 但是用户采取的行动(以及用户安装的插件)可能会引入各种 WordPress 漏洞。

为避免犯这些错误,您需要做的就是按照这篇文章中的提示进行操作。

为了使这篇文章尽可能可行,我们将把我们的 WordPress 安全提示分为两类:

七个必须遵循的 WordPress 安全最佳实践

如果您从这篇文章中没有得到任何其他信息,我建议您在您的网站上至少实施这七个 WordPress 安全最佳实践。

如果你不做这七件事,你的网站就会面临巨大的漏洞。

1. 尽快应用核心和插件更新

确保 WordPress 安全的绝对最佳方法之一是始终及时将更新应用到 WordPress 核心、插件和主题。

不管一个软件有多么出色,新的漏洞被发现是很自然的。 但是,有了高质量的开发团队,这些漏洞将在被恶意攻击者利用之前得到修复……只要您及时应用更新!

如果人们只是更新他们的网站,那么许多最近流行的 WordPress 漏洞都是可以避免的。

要收到新更新的提醒,请注意 WP 管理员中的仪表板 → 更新区域。

应用 WordPress 更新对于 WordPress 安全至关重要

如果您担心兼容性问题,可以先在临时站点上测试更新,然后再将它们应用到您的实时站点。 您还需要在应用更新之前进行备份——稍后会详细介绍。

注意– 此规则的一个例外是重大更新,这些更新仅专注于添加新功能,不包含任何安全修复程序。 您可以放心地等待几周来应用这些主要更新。

  • 主要版本(功能) ——5.0、5.1、6.0 等——您可以等待应用这些更新。
  • 次要版本(安全/错误修复)——5.0.1、5.1.2、6.0.4 等——你总是需要尽快应用这些。

2. 只使用信誉良好的开发者的插件和主题(并且没有无效的插件)

虽然核心 WordPress 软件是安全的,但不能对每个插件和主题(主要是插件)说同样的话。

通过添加新代码和修改站点的功能,插件可以引入各种漏洞。

同时,使用插件并不是一个真正的选择,因为插件是每个 WordPress 网站不可或缺的一部分。

因此,重要的是只专注于使用具有良好代码质量和及时维护记录的知名开发人员的插件和主题。

也就是说,请注意您在站点上安装了哪些插件

以下是一些提示,可帮助您仅使用高质量的插件和主题:

  • 阅读评论。 差评可能表明代码质量差。
  • 检查活动安装计数。 虽然这不是硬性规定,但流行的插件通常更容易受到关注。
  • 检查最近的更新。 拥有一个活跃的开发人员对于修补任何新发现的漏洞非常重要。
  • 不要安装不必要的插件。 因为您安装的每个插件都是潜在的攻击媒介,所以您应该只安装对您的站点很重要的插件。

我们还有关于选择 WordPress 插件的完整指南。

最后,您还需要避免使用无效插件,因为您不知道插件中添加了哪些代码。

3. 使用安全的 WordPress 主机

选择优质的 WordPress 托管服务提供商可以大大确保您网站的安全。

首先,优质的 WordPress 托管服务提供商将确保您的环境针对 WordPress 安全性进行了优化,例如适当的文件权限和安全的 wp-config.php 文件。

许多 WordPress 主机还将构建更主动的保护,例如内置防火墙或恶意软件扫描。

如果发生任何事情,一些托管的 WordPress 主机甚至会免费清理您的网站。

基本上,有了高质量的主机(尤其是托管的 WordPress 主机),他们会处理很多这些最佳实践,这样您就可以专注于发展您的网站。

要找到一些质量选项,请查看我们的帖子,其中包含管理最好的 WordPress 托管和一般最好的 WordPress 托管。

如果您负担得起,请考虑诸如 Flywheel(我们用于 WPKube - 我们的 Flywheel 评论)或 Kinsta(我们的 Kinsta 评论)之类的选项。

优质主机可以实施WordPress网站安全提示

4. 锁定您的登录页面和帐户访问权限

如果恶意行为者能够访问您的一个合法 WordPress 用户帐户(尤其是管理员帐户),那么世界上所有的 WordPress 安全提示都无济于事。

在现实世界中考虑一下——你可以拥有世界上绝对最好的家庭安全系统,但如果强盗拥有你的房门钥匙和安全密码,它就无济于事。

这意味着您必须找到保护 WordPress 网站的登录过程和用户​​帐户的方法。

首先,您需要使用强帐户凭据:

  • 用户名——永远不要使用“admin”作为用户名。 相反,请选择一个您不会在其他任何地方使用的唯一用户名。
  • 密码– 使用强而独特的密码。 为获得最佳效果,请使用 LastPass 或 Bitwarden 等密码管理器为每个站点生成唯一密码。

除此之外,您还可以使用策略来保护 WordPress 登录页面:

  • 更改登录 URL——这也减少了很多机器人流量。 如何? 使用免费的 WPS 隐藏登录插件。
  • 限制登录尝试– 如果 IP 地址尝试错误的登录次数过多(就像银行的做法一样),则暂时阻止它。 如何? 使用免费的限制登录尝试重新加载插件。
  • 需要双因素身份验证 (2FA) – 让人们除了凭据之外还输入来自身份验证器应用程序、SMS 或电子邮件的代码。 如何? 使用免费插件,如 WP 2FA 或 Two-Factor。
在 WordPress 上限制登录尝试的示例

所有站点都应更改登录 URL 并限制登录尝试,但实际上只有任务关键型站点才需要使用 WordPress 双重身份验证。

5. 安装 SSL 证书并使用 HTTPS

SSL 证书允许您在站点上使用 HTTPS 而不是 HTTP。

使用 HTTPS,在您的浏览器和服务器之间传递的任何数据都会被加密。 除了通常有利于隐私之外,这对于保护重要数据(例如您的用户名和密码)至关重要。

如果没有 HTTPS,您的 Internet 网络上的恶意行为者可以看到在您的浏览器和您的站点之间传递的所有数据。 例如,如果您在本地咖啡店使用 HTTP 登录您的站点,则该网络上的某人将能够以纯文本形式查看您的用户名和密码。

但是,当您使用 HTTPS 时,您的用户名和密码(以及所有其他数据)会被安全加密,这意味着恶意行为者只会看到一堆随机字符。

WordPress HTTPS 使用

如今,大多数优质的 WordPress 托管服务提供商都提供免费的 SSL 证书。

通过托管仪表板安装 SSL 证书后,您可以将站点配置为使用 HTTPS。 如果您在将网站迁移到 HTTPS 时需要帮助,免费的真正简单 SSL 插件提供一键式设置。

请按照我们的 WordPress HTTPS 指南了解更多详细信息。

6. 使用支持的 PHP 版本

WordPress 是用 PHP 编程语言编写的。 但是,您可以在您的主机帐户上使用不同的 PHP 版本。

旧版本的 PHP 不再接受维护,这意味着它们可能存在未修补的安全问题。

截至 2022 年,接收安全更新的最旧 PHP 版本是 PHP 7.4。 但是,从 2023 年开始,您至少需要使用 PHP 8.0。

您可以在此页面上查看当前的 PHP 版本支持。

WordPress PHP 支持

作为额外的奖励,较新版本的 PHP 还提供了很大的性能改进,这意味着您的网站加载速度更快,而且更安全。

如果您不确定如何更新 PHP,您可以向您的主机寻求支持。 我们还有一个关于如何在流行的 WordPress 主机上更新 PHP 的指南。

7. 定期备份您的网站

备份您的网站不会阻止您的网站上发生安全问题。 但是,它将防止安全问题变成更大的问题。

如果没有备份,您网站上的任何安全事件都可能是毁灭性的。 您可能会丢失数据、有很多停机时间等等。

但是,对于最近的备份,安全事件的最坏情况通常是您只需要恢复站点的干净备份。 仍然很烦人——但灾难性要小得多。

如果您的主机尚未提供安全的自动备份,Jetpack Backup 或 BlogVault 等付费工具提供了启用安全异地备份的最简单方法。

如果您没有购买工具的预算,UpdraftPlus 也是一个不错的免费选择 - 只需确保将其连接到非现场存储提供商,例如 Google Drive 或 Amazon S3。

这是我们关于最佳 WordPress 备份插件的完整帖子。

十二个额外的 WordPress 安全强化技巧

如果您忠实地实施上述必须遵循的 WordPress 网站安全最佳实践,您将避免网站上 99% 的问题。

但是,如果您想进一步加强,您可以实施一些额外的强化技巧来进一步保护您的网站。

8. 设置防火墙

防火墙可以通过在恶意流量或操作影响您的站点或服务器之前阻止它们来主动保护您的站点免受威胁。

许多主机已经实现了自己的防火墙,这就是为什么如果您使用高质量的 WordPress 主机(见上文),这可能不是网站的必备条件。

如果您的主机没有(或者如果您想要更多保护),您可以使用 Wordfence 之类的插件在应用程序级别添加防火墙,或者使用 Cloudflare 或 Sucuri 等服务在 DNS 级别添加防火墙。

9. 使用 WordPress 安全插件

您可以在没有专用安全插件的情况下创建安全的 WordPress 站点,因此绝对不需要安全插件来创建安全站点。

话虽如此,出于以下几个原因,安全插件仍然可以派上用场:

  1. 安全插件可以提供实时防火墙来抵御新出现的威胁。
  2. 一个高质量的安全插件可以很容易地实现这个列表中的许多其他强化技巧,这可以为你简化事情并节省你的时间。

如有疑问,Wordfence 插件是一个很好的入门选择。 您可以在我们最好的 WordPress 安全插件的完整集合中找到更多选项。

10.隐藏WordPress版本

隐藏 WordPress 版本号会增加微不足道的“安全性”,因为它会使恶意行为者更难检测到您网站的版本号。

要隐藏它,您可以将以下代码添加到您的子主题的 functions.php 文件或代码片段之类的插件中。

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

如果您想更进一步,我们提供了有关如何隐藏您的网站使用 WordPress 的指南。

11.检查文件权限

如果您使用的是优质主机,则您网站的文件权限应该已经正确。 但是,可能值得仔细检查,因为拥有正确的文件权限很重要。

要了解更多信息,请查看我们的 WordPress 文件权限完整指南。

12. 仅对 FTP 使用安全连接

每当您通过 FTP 或其他技术连接到您的站点时,请确保使用安全协议,例如 SFTP。

正如 HTTPS 保护在您的浏览器和您的网站之间移动的数据一样,SFTP 保护您的 FTP 客户端和您的服务器之间的连接。

您还应该避免将 FTP 密码存储在 FTP 客户端中,除非这些密码已安全加密。

13. 设置活动记录

活动日志可让您跟踪用户在您的仪表板中所做的事情,这可以帮助您捕获可疑活动(尤其是在您授予其他用户仪表板访问权限的情况下)。

用于网站安全的 WordPress 活动记录

要进行设置,您可以使用 WP Activity Log 之类的插件。 我们有一个关于如何设置活动日志的教程,以及一个独家的 WP 活动日志优惠券,可以为您节省一些钱。

14. 运行定期恶意软件/安全扫描

虽然如果您实施了上述最佳做法,您的网站应该不会遇到任何问题,但定期在您的网站上运行恶意软件/安全扫描仍然是一种很好的做法。

要检查您网站前端的任何问题,您可以使用免费的 Sucuri SiteCheck 工具。

要对服务器文件进行全面扫描,您可以考虑使用 MalCare 或 Wordfence 等工具。

您的 WordPress 主机也可能会运行自己的日常恶意软件扫描,这可能会使这些工具变得多余。

15. 禁用 XML-RPC

XML-RPC 帮助外部工具连接到您的 WordPress 站点,例如桌面 WordPress 应用程序。

但是,如果您不使用这些工具,它只会为您的站点添加不必要的攻击媒介。 要完全禁用它,您可以使用免费的 Disable XML-RPC 插件。

16. 阻止盗链

热链接是指有人将您服务器上的内容嵌入到他们的站点(例如图像)。 它会在未经您许可的情况下耗尽您的服务器资源,从而影响您网站的安全。

要阻止盗链,您可以在站点的 .htaccess 文件中添加一些代码。

要生成阻止盗链所需的 .htaccess 代码,您可以使用此免费工具。 它可以让您将某些热链接提供商(如 Google 图片搜索)列入安全名单,同时阻止其他提供商。

17. 更改 WordPress 数据库前缀

更改 WordPress 数据库前缀会增加少量的“隐蔽性安全性”,尽管一些专家(包括 Wordfence)说安全性好处是微不足道的。

如果您有一个现有的 WordPress 网站,我不建议您这样做,因为破坏您的网站的风险超过了任何潜在的安全收益。

但是,如果您正在建立一个新的 WordPress 站点,您不妨使用自定义数据库前缀,即使它没有太大的影响。

18. 在 wp-content/uploads 文件夹中禁用 PHP 文件执行

您可以通过在wp-content/uploads文件夹中禁用 PHP 文件执行来阻止一些边缘案例攻击。

就是这样:

  1. 使用记事本创建一个新的 .htaccess 文件。
  2. 在下面添加代码片段。
  3. 将该文件上传到wp-content/uploads文件夹。
 <Files *.php> deny from all </Files>

19.禁用仪表板代码编辑

默认情况下,WordPress 允许您从 WordPress 仪表板编辑主题和插件文件,如果攻击者可以访问管理员帐户,这将使攻击者添加恶意代码。

为了防止这种情况,您可以通过将此代码段添加到wp-config.php文件来禁用文件编辑:

define( 'DISALLOW_FILE_EDIT', true );

WordPress 网站安全常见问题解答

最后,这里有一些关于 WordPress 安全性的常见问题。

WordPress有安全问题吗?

WordPress 本身没有安全问题,但在您的网站上安装插件可能会引入安全漏洞,尤其是在插件编码和/或维护不佳的情况下。

WordPress容易被黑吗?

绝大多数 WordPress 网站被黑客入侵是因为用户错误,而不是因为软件本身。 遵循一些基本的安全最佳实践将使您的网站很难被黑客入侵。

你能让WordPress安全吗?

是的,一点没错。 只要您遵循最佳实践,WordPress 就可以非常安全。 有这么多主要品牌信任 WordPress 是有原因的。

您需要 WordPress 安全插件吗?

您可以在没有全面安全插件的情况下创建安全的 WordPress 网站。 但是,这些插件可以简化实施安全强化最佳实践的过程,并让您可以访问有用的功能,例如防火墙和安全扫描。

立即实施这些 WordPress 安全最佳实践

如果您从这篇文章中没有得到任何其他信息,我希望您至少实现上面的七个必须遵循的 WordPress 安全提示。

如果您只做这七件事,您可以确信您将避免站点上 99.9% 的安全问题。

如果您想要更好的保护,您可以继续并实施此列表中的所有 19 条提示。

您对 WordPress 安全性还有任何疑问吗? 让我们在评论中知道!