提高 WordPress 安全性的 12 种重要方法

WordPress 是世界上最受欢迎的网站建设者之一。 它被数百万人使用，包括世界上一些最大的品牌和组织。

然而，巨大的责任伴随着巨大的力量，其中包括确保您的 WordPress 网站尽可能安全。 近年来，一些知名的 WordPress 网站遭到黑客攻击，因此必须采取措施保护您的网站。

Sucuri 的一项研究发现，43% 的 WordPress 网站容易受到攻击。

以下是一些提高 WordPress 安全性的方法。

让 WordPress 保持最新状态

为了提高 WordPress 安全性，您可以做的最重要的事情之一就是让您的 WordPress 网站保持最新状态。

这意味着更新 WordPress 本身以及您安装的任何主题和插件。 WordPress 的新版本会定期发布，每个新版本都包含针对已发现漏洞的安全修复程序。

要更新 WordPress，请转到仪表板 > 更新页面，然后单击“立即更新”按钮。

更新主题和插件也很重要。 大多数主题和插件开发人员会定期发布更新以修复安全漏洞。

您可以从仪表板 > 更新页面更新您的主题和插件，或安装 WP Updates Notifier 插件，当更新可用时，它会通过电子邮件发送给您。

隐藏 WordPress 版本号

随着 WordPress 变得越来越流行，黑客越来越多地瞄准它。

他们寻找的东西之一是 WordPress 版本号，它显示在每个 WordPress 网站的源代码中。 黑客可以通过了解您正在运行的 WordPress 版本来针对特定漏洞。 此外，一些 WordPress 安全插件仅适用于特定版本的 WordPress。

因此，隐藏您的 WordPress 版本号至关重要。 大多数 WordPress 主题都有执行此操作的选项，或者您可以安装像 WP-Hardening Plugin 这样的插件。

您也可以通过将此代码粘贴到您的 functions.php 文件中来手动隐藏它：

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


使用强密码

提高 WordPress 安全性的另一个重要方法是使用强密码。

强密码应至少有八个字符长，并且包含大小写字母、数字和符号的混合。 为您访问的每个网站使用不同的密码也很重要。 这样，如果一个网站被黑客入侵，您的其他帐户将是安全的。 您可以使用 LastPass 或 KeePass 等密码管理器来帮助您生成和记住强密码。

Imperva 的一项研究发现，使用强密码是防止暴力攻击（一种常见的 WordPress 黑客）的最有效方法。

使用密码生成器网站生成高强度密码。 以下是一些最好的密码生成器：

• 最后一次
• 诺顿
• 1密码

使用双重身份验证

双重身份验证（也称为两步验证）是额外的安全层，可以帮助保护您的 WordPress 网站。

使用双重身份验证时，您需要输入密码和第二个代码，通常由智能手机上的应用程序生成。 这样，即使有人设法猜到了您的密码，他们也无法登录，除非他们也有您的智能手机。

默认情况下，WordPress 不包含双重身份验证，但您可以安装像 Google Authenticator 或 Duo Security 这样的插件。

但请记住，如果您丢失了智能手机，双因素身份验证将不起作用，因此必须有备用方法，例如备用电子邮件地址或电话号码。

限制登录尝试

提高 WordPress 安全性的另一种方法是限制登录尝试。

默认情况下，WordPress 允许无限次数的登录尝试，这让黑客有充分的机会猜测您的密码。 通过限制登录尝试，您可以帮助防止暴力攻击。 一些插件允许您执行此操作，例如限制登录尝试和登录锁定。

Wordfence 的研究表明，限制登录尝试可以阻止 99.99% 的暴力攻击。

此外，如果您忘记了密码，请选择一个不会锁定合法用户（例如您自己）的插件。

使用 SSL

SSL（安全套接层）是一种对网站和用户浏览器之间传输的数据进行加密的协议。 这意味着如果有人试图拦截数据，他们将无法读取它。 过去，电子商务网站主要使用 SSL 来保护信用卡信息。

但如今，越来越多的 WordPress 网站正在使用 SSL 来保护敏感数据，例如登录凭据和联系表单提交。 您可以通过几种不同的方式将 SSL 添加到您的 WordPress 网站。 例如，一些网络托管公司提供免费的 SSL 证书，或者您可以从 Symantec 或 Comodo 等公司购买证书。 获得 SSL 证书后，您需要安装并激活 WordPress SSL 插件。

限制对插件目录的访问

WordPress 插件目录是您服务器上的一个文件夹，其中包含您在站点上安装的所有插件。

默认情况下，任何人都可以访问此文件夹并查看他们使用的插件。 如果黑客知道您正在使用哪些插件，他们就可以针对这些插件中的任何漏洞。 因此，必须限制对插件目录的访问。 您可以通过在 .htaccess 文件中添加一行简单的代码来完成此操作。

如果您不习惯在服务器上编辑文件，您可以安装 iThemes Security 之类的插件，它会为您添加代码。 如果您确实编辑了 .htaccess 文件，请确保在进行任何更改之前创建备份。

更改管理员用户名

安装 WordPress 时，默认管理员用户名是“admin”。 这不是很安全，因为黑客很容易猜到。

因此，安装 WordPress 后您应该做的第一件事就是更改管理员用户名。 您可以创建一个具有管理员权限的新用户，然后删除旧的“admin”用户。 或者，您可以安装 WP Security Scan 之类的插件，该插件将扫描您的站点以查找任何不安全的设置，包括默认的管理员用户名。

更改管理员用户名后，退出您的 WordPress 帐户并使用新用户名重新登录。 许多人忘记了这样做，并想知道为什么他们无法访问他们的 WordPress 网站。

在您的登录屏幕上使用 CAPTCHA 或 reCAPTCHA

CAPTCHA（完全自动化的公共图灵测试以区分计算机和人类）是一种挑战-响应测试，用于确保只有人类才能访问网站或执行某些操作。 reCAPTCHA 是 Google 拥有的 CAPTCHA 版本。 它比传统的 CAPTCHA 更安全，因为它使用先进的风险分析技术来防止自动化软件参与您网站上的滥用活动。 要将 CAPTCHA 或 reCAPTCHA 添加到 WordPress 登录屏幕，您可以安装 WP-reCAPTCHA 之类的插件。

安装并激活插件后，您需要使用 reCAPTCHA 注册一个免费帐户。 然后，您将获得一个站点密钥和一个秘密密钥，您需要在插件设置中输入它们。

自动注销空闲用户

当您登录 WordPress 网站时，即使您关闭浏览器窗口或离开计算机，您也可以无限期地保持登录状态。 这不是很安全，因为这意味着任何可以访问您的计算机的人也可以访问您的 WordPress 网站。

您可以安装一个像 Idle User Logout 这样的插件来解决这个问题。 该插件会在一段时间内自动注销非活动用户。

例如，您可以将其设置为注销 15 分钟未活动的用户。 这样，即使有人确实可以访问您的计算机，他们也无法保持登录到您的 WordPress 网站。 如果您有共享计算机或使用公共 Wi-Fi，则插件是必不可少的。

使用 SFTP 连接到您的服务器

当您连接到您的 WordPress 站点时，您正在连接到您的服务器。

默认情况下，大多数人使用 FTP（文件传输协议）连接到他们的服务器。 但是 FTP 是一种不安全的协议，因为它不会加密您的数据。 这意味着任何监控连接的人都可以看到您的用户名和密码。

因此，使用 SFTP（安全文件传输协议）是必不可少的。 SFTP 是一种加密您的数据的安全协议，因此有人拦截您的连接并窃取您的凭据要困难得多。 要使用 SFTP，您需要生成一个 SSH 密钥对并将公钥添加到您的服务器。 大多数托管服务提供商都有如何执行此操作的说明。

监控恶意软件

恶意软件是可以感染您的 WordPress 网站并导致许多问题的恶意软件。

例如，恶意软件可以将您的访问者重定向到其他网站，或者它可以在未经您许可的情况下在您的网站上展示广告。 恶意软件还可以窃取密码和信用卡号等敏感信息。 因此，定期扫描您的 WordPress 网站以查找恶意软件并删除您发现的任何内容非常重要。 有几种不同的方法可以做到这一点。 例如，您可以使用 Wordfence Security 之类的插件，它会扫描您的网站以查找恶意软件并自动删除它发现的任何内容。

或者，您可以使用像 Sucuri SiteCheck 这样的服务，它会扫描您的网站，然后向您提供它发现的任何恶意软件的报告。

结论

这些只是提高 WordPress 安全性的众多方法中的一部分。 通过采取这些措施，您可以帮助保护您的 WordPress 网站免受黑客和其他恶意用户的侵害。 其中许多技巧很容易实施，因此没有理由不采取行动。 请记住，您的 WordPress 网站的安全性取决于您所做的一切。 因此，请不要等到为时已晚才开始考虑安全性。 立即采取行动，帮助保护您的 WordPress 网站安全。