如何保护您的 WordPress 网站的综合指南。

大多数人在开始设计和开发他们的网站时，主要关心的是让事情按照他们想要的方式工作，并使网站看起来很棒。 WordPress 安全性不是他们的主要关注点之一。

这很有趣，因为几乎每个人都听说过或读过黑客攻击，但是当涉及到我们的网站时，我们不知何故希望它不会发生在我们身上。 因为为什么黑客会对我们本地业务的一小部分感兴趣，对吧？ 错误的。 WordPress 安全性非常重要，因此，您的 WordPress 网站需要得到充分保护和固定。 一起来看看原因吧！

黑客为何以及如何入侵您的网站？

在我们讨论防止它发生的方法之前，了解网站黑客背后的原因很重要。 黑客对您的网站感兴趣的原因可能有多种，即使它是小型企业网站甚至是个人博客。

除此之外的其他负面影响是：

既然我们已经简要地确定了您的网站可能被黑客入侵的原因，那么让我们看看黑客如何从数以百万计的在线可用网站中找到并定位您的特定网站。

黑客攻击您的网站的可能性极小，对吧？ 毕竟，这只是网站海洋中的一滴水。 好吧，很抱歉打破你的泡沫，但那是错误的！

黑客不是手动完成的。 黑客使用机器人/程序，其唯一功能是寻找易受攻击的网站。 这些程序通常在云服务器上运行，根据需要设置和销毁它们，几乎没有留下任何痕迹。 它们旨在每小时发现数千个网站。 在找到一个站点时，它会搜索漏洞，这些漏洞在 WordPress 及其插件中不断被发现。 它们也可能是由于人为错误引起的，例如使用容易猜到的密码或不可靠或不可靠的主机。

因此，保护​​您的 WordPress 网站不是一种选择，而是一种必要，我们在这里帮助您完成整个过程！

保护 WordPress 的指南

在接下来的一长串安全措施结束时，您将有能力让您的 WordPress 网站得到充分保证。 在保护网站安全方面，每个人都需要采取具体的主要措施。

这些都是不可忽视的，而且大多是简单的东西，它们将大有帮助，并保持您的 WordPress 相当安全。 对于那些对您的网站的安全性非常偏执并且不介意加倍努力以保持其极其安全的人来说，还有另一套措施。

让我们首先讨论前一组措施，即所有网站所有者应执行的必要安全任务：

更改默认用户名

保护 WordPress 的最简单和最快的方法之一是将默认的“管理员”用户名更改为不容易猜到的名称。 理想情况下，您应该在安装 WordPress 期间更改您的管理员用户名，但如果您还没有这样做，您可以使用 phpMyAdmin 或通过在数据库上运行标准化查询语言脚本来重命名它。

无论哪种方式，这个简单的 WordPress 安全黑客都将帮助您的网站避开大量随机黑客攻击。

使用强密码，不要在不同平台上重复使用

黑客们都知道，我们作为人类试图保持安全和相同的密码，因为我们往往会忘记它们。 盗版者知道如何利用这一点，他们通常会列出最常用的密码，他们会反复尝试直到找到。 这种技术称为暴力破解密码。 因此，保持安全且复杂的密码是保护 WordPress 的直接步骤。

要记住的另一件事是永远不要重复使用密码。 重用密码的作用是，即使其中一个帐户遭到入侵，黑客也可以访问您的所有其他帐户。 是的，记住这么多不同的、复杂的密码可能会给您带来不便和麻烦，但为了帮助您解决这些问题，市场上的许多密码管理器会帮助您存储和保护密码安全。 我们建议使用这些。

始终运行最新版本的 WordPress

更新您的 WordPress 至关重要，因为每次核心更新时，WordPress 都会修复其最近发现的安全问题。 很多时候，人们禁用 WordPress 核心更新是因为最新版本可能与某些插件不兼容。 但是要记住的关键是，被黑的网站比暂时损坏的插件更成问题。

不要更改 WordPress 核心

编辑 WordPress 核心源文件是一个糟糕的主意，因为它消除了将 WordPress 自动更新到最新版本的便利性，我们在前一点讨论了这一点的重要性。 如果您更改了 WordPress 核心，更新到最新版本将使您失去这些更改。

那么，如果您想更改 WordPress 的功能，您应该怎么做？

写一个插件就是答案。 它使您可以自由地做任何您想做的事情，而不必在 WordPress 核心上妥协。

这同样适用于主题和插件。 任何对核心调整的尝试都将导致无法更新到最新版本。 总而言之，总是有其他方法可以获取您想要的功能，而更改核心不是可行的方法。

确保您的所有插件和主题都已更新

需要更新插件和想法的原因与保持 WordPress 更新的原因相同。 您有责任将它们更新到最新版本，无论您是手动还是自动更新，以保护您的网站免受黑客攻击。

如果您使用从 WordPress.org 下载的插件，您可以启用自动后台更新，对于任何其他商业插件更新，您将不得不通过他们的插件机制来处理它。 此外，请确保始终保持您的插件会员资格处于活动状态以获取最新更新。

现在，在更新主题时，您可能会担心在执行更新时对主题所做的所有更改会发生什么变化。 在更改主题时应该做的是通过“子主题”而不是直接对实际主题进行更改。

执行此操作时，您可以轻松地将主题更新到最新版本，而不会丢失迄今为止所做的任何更改。 要检查哪些主题需要更新，请转到 WordPress 中的“外观”，然后转到“主题”。 您还可以像使用插件一样启用自动后台更新。

始终仅从其官方来源下载插件、主题和脚本

从非官方来源以更优惠的价格或免费获取主题和插件可能很诱人，但这样做并不是一个聪明的主意。 这是因为许多盗版主题和插件被黑客错误地调整为他们执行邪恶计划的后门。

您应该始终依靠安全的网站来找到高质量的插件和主题，以确保您的 WordPress 是安全的。 其中最常见的是 WordPress.org。 其他可靠的网站是 WordPress.com、ThemeForest.net、CodeCanyon.net 等。

您的网站应始终运行最新版本的 PHP

PHP 是 WordPress 的底层引擎，它提供了相当多的版本更新。

但根据全球 WordPress 统计页面，几乎 80% 的 WordPress 安装运行在不再受支持的 PHP 版本上！ 这是一个令人担忧的原因，因为首先，您的网站无法从最新版本的性能功能中受益，这也导致无法修复先前版本中发现的任何安全故障。

这就是为什么必须确保您的站点运行最新版本的 PHP 的原因。

在更新 WordPress 核心时，插件和主题是一项非常明确的任务。 PHP 版本更新主要取决于您的托管服务器。 这是选择安全托管服务器必不可少的原因之一。 它将通过您的 WordPress 安装为您提供最新版本的 PHP。 安全的 WordPress 托管服务还将拥有一个积极主动的团队，他们的工作是检查您的网站面临的最新漏洞并采取措施缓解这些漏洞。

仅通过受信任的网络更新您的网站

谁不喜欢在机场甚至当地咖啡馆等地方使用免费网络 Wifi，对吧？ 但请记住，这些开放式 Wifi 连接很容易被窥探。 您应该避免通过这样的网络访问您的 WordPress 管理站点。 尤其是在更新您的网站时，请始终使用受信任的系统，例如您家中或办公室的系统。

使用防病毒软件

如果您的桌面上碰巧有病毒，它可以通过将自身复制到您的网站上来迅速传播。 这是病毒通常用来感染您的站点的一种方案。 然后它可以监视并访问您的密码，甚至您的银行和个人详细信息。 这就是为什么您应该确保您的工作站使用的是可靠且更新的防病毒软件。

使用 WordPress 安全插件保护您的网站

安全插件可让您了解您的网站面临哪些漏洞，并为您提供如何修复这些漏洞的指导。 使用插件是保护您的 WordPress 网站的一种简单而安全的方法，它几乎不需要您付出任何努力。 他们会进行扫描，并为您详细审查您网站中跟踪的任何问题。

一些受信任的安全插件是 Total Security、Vulnerable Plugin Checker、iThemes Security Pro 和 Plugin Inspector。

备份您的网站

如果上述所有措施都失败了，并且您的网站的安全性仍然受到威胁，那么这一步将拯救您。

为您的站点创建和安排备份至关重要。 这些计划的备份是站点安全策略中不可或缺的一部分，因为它可以确保如果您的站点受到威胁，它会轻松恢复到损坏之前的版本。

不仅在黑客攻击的情况下，而且在发生事故或技术错误的情况下，备份可确保您可以立即恢复站点并再次运行。

我们的主要、基本安全措施列表到此结束！

我们现在已经到了第二部分，我们将为我们的安全狂热者讨论 WordPress 安全提示。 这适用于那些希望为其网站提供各种保护的管理员。  

确保您已设置 WordPress 秘密身份验证密钥

您将在 wp-config.php 中找到 8 个 WordPress 安全和身份验证密钥。这些只是任意变量，通过在数据库中存储的方式添加随机元素，使推断您的 WordPress 密码变得更加困难。

让我们看看如何使用它。

您不应该共享或公开这些密钥。

限制登录尝试

我们已经讨论过暴力破解以及黑客如何使用它来破解您的密码。 由于这个原因，建立一种机制来限制登录尝试是必不可少的。

幸运的是，有一个插件可以为您做到这一点。 “限制登录 WordPress”插件检测到许多错误的密码尝试，并在特定时间内禁用进一步的尝试，这会导致暴力破解失败，从而提高您网站的安全性。

启用两因素身份验证

因此，启用 2FA 是一种加强登录和逃避对登录详细信息的暴力攻击的全面证明方式。

禁用 PHP 执行

当黑客获得对您网站的任何访问权限时，他们做的第一件事就是从目录中执行 PHP。 明智的做法是完全禁用它。 然后，即使您的 WordPress 网站中存在一些漏洞，这种保护也会主动破坏黑客为阻碍您的网站所做的其他努力。

这是朝着 WordPress 安全迈出的重要一步，可能会导致某些可能需要它的主题和插件的损坏，但仍然建议在风险最高的目录 wp-includes 和 uploads 中实现它。

您可以通过向 .htaccess 文件添加以下代码来实现此保护：

禁用文件编辑

当我们仍处于创建网站的初始阶段时，我们通常会使用插件和主题文件，因为默认情况下，WordPress 管理员可以编辑 PHP 文件。 但是，一旦我们的网站开发完成，我们将很少使用此编辑选项。

因此，一旦网站启动并上线，建议禁用 WordPress 管理员的文件编辑。 这是因为即使黑客设法登录到您的站点，他们也将没有编辑权限，也无法更改文件来执行他们的邪恶计划。 要禁用文件编辑，请在 wp-config.php 文件中插入以下命令：define('DISALLOW_FILE_EDIT', true);

隔离您的 WordPress 数据库

如果您在同一个数据库中创建所有站点，甚至其中一个站点遭到入侵，那么托管在同一数据库上的所有其他 WordPress 站点也面临被黑客入侵的巨大威胁。 在安装 WordPress 时，您应该始终创建一个新数据库并为其提供单独的数据库名称、数据库和密码。 确保这些与您使用的任何其他网站或登录名不同。

这样做的目的是，如果您的某个网站被黑客入侵，即使在同一个共享主机帐户上，感染也将停止传播到您的其他地方。

如果不使用，禁用 XML-RPC

应用程序可以通过称为 API（应用程序编程接口）的东西访问您的 WordPress。 为了简单地向您解释，XML-RPC 的一个示例是使用您的手机应用程序来更新您的站点。 还有一些使用 XML-RPC 功能的特定插件。

但是，如果您没有使用任何第三方应用程序并且确定您的 WordPress 插件都没有通过 XML-RPC 使用您的网站，那么禁用它是明智的，因为 XML-RPC 可以用作破解您的地点。

保护您的 wp-config.php 文件

wp-config.php 文件是最关键的数据之一，它存储了许多必要的配置设置，例如您的数据库登录详细信息、哈希密码盐等。您不希望任何人侵入这里，因此，安全措施必须采取保护这个关键的 WordPress 配置文件。

如果您尚未禁用 PHP 执行（在第 15 点中讨论），请将此命令添加到您的 .htaccess 文件中：

安装防火墙

为了简单起见，Software Fireballs 可以阻止事物进入或阻止它们退出。 在这种情况下，它们有助于防止黑客接近您的网站（或您的网站方）。 您需要使用 Web 应用程序防火墙 (WAF)，而 WordPress 托管服务通常免费提供的最可靠和开源的防火墙之一是“ModSecurity”防火墙。
您可以了解您的托管服务是否提供此功能，如果提供，您可以使用并启用它。

理想情况下，您还应该使用内容交付网络防火墙 (CDN)通过快速提供丰富的资源来提高站点的性能。 CDN 还可以保护您的网站免受众多 WordPress 安全问题的影响。

停止 PHP 错误报告

错误报告在开发网站时很有用，因为它可以让您意识到错误并且您可以及时修复它们。 但是，当在一个正常运行的网站上启用错误报告时，它为黑客提供了非常重要的线索，并使他们的工作比应有的舒适得多。 错误报告可以向任何寻找它的人提供重要的信息。

因此，一旦网站上线就禁用 PHP 错误报告可确保至少将因泄露有关您网站的敏感信息而导致的 WordPress 安全风险降至最低。 要禁用 PHP 错误报告，请按如下所述更改 php.ini 文件：

使用安全日志来监控您的 WordPress 安全

查看您的日志可以帮助您了解您的网站上发生了哪些攻击，并让您能够阻止它们。 这是提高 WordPress 安全性的好方法。 举个简单的例子，如果您发现大多数黑客攻击来自特定区域，可能是您的网站不支持的区域，您可以使用防火墙阻止该区域。 建议使用安全审计插件来保存定期审计日志。

就这样！

至此，我们结束了全面保护您的 WordPress 网站的冗长而全面的指南。 毫无疑问，如果您之前没有考虑过确保您的网站安全，那么这份清单可能会让您有点不知所措。 但好消息是，这些步骤中的大多数都不需要您付出很多努力来执行它们，并且随着时间的推移，它将成为您的 WordPress 维护程序的常规部分。 公平地说，你们中的大多数人不会完成上述所有步骤，这没关系。 但是，您采取的这些安全措施越多，您的网站就越安全。 你现在的一点额外努力将有很长的路要走！