WordPress 安全性 – 每个网站所有者的基本提示

您是否知道每分钟对 WordPress 网站的攻击超过 90,978 次？ 幸运的是，尽管这个数字听起来很大，但如果您遵循基本的安全规则，您可以防止大多数潜在的攻击，并使您的网站能够抵御攻击。

或者至少让入侵变得如此困难，以至于黑客宁愿瞄准成千上万个安全性差的黑客中的一个。 这并不难做到，特别是如果您考虑到许多攻击是在自动漏洞扫描程序找到潜在方法之后执行的。那么，如何使您的 WordPress 网站安全性飙升？ 以下是 6 个基本技巧。

1. 保持您的 WP 安装、主题和插件更新

一个不费吹灰之力但经常被忽视的人。 据WordPress.org称，所有WordPress网站中有1/3尚未更新到最新版本。 最重要的是，几乎 2/3 的 Web 主机使用早于 7.0 的 PHP。 过时的 WordPress 安装和服务器框架对您的网站构成了巨大威胁，并增加了成功入侵的风险，因为黑客会尝试使用未修补的漏洞访问您的网站。

事实上，如果您将所有主题、插件以及 WordPress 保持最新，您将比 75%的所有合法网站更安全——因为据估计，四分之三的网站包含未修补的漏洞。 幸运的是，获取最新版本的 WP 插件、主题和 WP 本身非常简单——只需点击几下按钮即可。

同时，确保您的服务器运行最新的 PHP 版本可能会更加耗时。 这就是为什么最好联系您的托管支持并要求他们为您提供有关如何自己升级它的指南，甚至要求他们为您升级它。

2. 安装恶意软件扫描程序和防火墙

如果您认为只有您的 PC 会受到恶意软件、病毒和暴力攻击的影响，那您就大错特错了。 不仅 WordPress 会受到影响，事实上，它是受感染最多的网站 CMS ，这很可能与其受欢迎程度有很大关系。

好消息是，有许多免费和付费的 WordPress 防火墙和恶意软件扫描程序。 最受欢迎的之一是Wordfence Security ，它提供恶意软件扫描和防火墙，并提供免费和付费版本。

3.获取VPS并将其变成堡垒

与共享主机相比，VPS 允许您控制其配置的各个方面。 多亏了这一点，您不仅可以使您的网站更快，还可以确保其托管环境（服务器）得到适当保护。

在非托管 VPS 上，由您选择操作系统（例如，CentOS 被认为比 Ubuntu 更安全）、防火墙和您安装的其他软件，例如恶意软件扫描程序（您应该在 WordPress 和服务器本身）。

此外，通过将 WordPress 安装在具有 root 访问权限的 VPS 上，可以轻松更改 MySQL 密码或重命名 WordPress 文件夹并重新配置其文件以减少潜在攻击的机会。 虽然其中一些也可以使用安全插件来完成

自然地，为了获得虚拟专用服务器的所有好处（速度、灵活性和可扩展性等等），您应该从一家提供不同定价套餐的公司租用一台服务器，如果您需要更多资源，这些套餐很容易升级。 你可以在这里看到一个很好的例子。

4.隐藏/wp-admin和你的WordPress安装

为什么首先告诉全世界您在 WordPress 上运行？ 虽然它是一个很棒的内容管理系统，但您不必吹嘘运行它。 特别是它为潜在的入侵者提供了有价值的信息。 例如，除非您隐藏 WordPress，否则诸如What WordPress Theme is That 之类的网站？ 不仅披露有关您使用的主题的信息，还披露有关某些插件的信息。 这就像告诉黑客嘿，你可以这样进入：

那么，您如何隐藏您的 WP 站点信息，以免被潜在入侵者窥探？ 幸运的是，您根本不需要任何技术技能。 在有需求的地方，有 WordPress 插件，您可以使用它来做到这一点 - 最受欢迎的是Hide My WP by the wave，它可以隐藏您的登录页面，并使您的 WordPress 网站的详细信息不可见（不幸的是，有没有免费版本）。

或者，您可以获得免费版本的iThemes Security ，它没有为您提供尽可能多的隐藏选项（尽管它允许您隐藏登录页面），但具有许多其他安全特权。

5. 更改您的 WP 用户名并保持隐藏

就像您不应该使用密码一词作为您的实际密码一样，保留默认的 WordPress 用户名admin可能会产生可怕的后果。 最后，这可能是任何潜在入侵者尝试猜测的第一件事，因此通过使用它，您可以让他们非常容易地找出您的管理员帐户的详细信息。

如何改变它？ 有两种方法可以做到这一点。 您可以寻找可以为您完成的插件或手动方式。 就个人而言，我更喜欢后者——因为它既快速又简单，任何人都可以做到。 但是，因为 WordPress 没有为您提供开箱即用的选项来更改它，所以您需要使用一个小的解决方法。 首先，登录您的站点并转到用户 > 添加新的。

在那里，插入新管理员帐户的用户名，并确保将用户角色设置为管理员。 完成后，单击显示密码并更改或复制默认（安全）密码。

创建用户后，退出站点，然后使用新用户登录。 转到用户 > 所有用户并删除旧的 WordPress 管理员帐户。 但是，这还不是全部。 您需要一个帐户来发布您的帖子，对吗？ 而不是使用管理员发布它们，由于永久链接，它的用户名很容易猜到，（除非你玩弄它们），继续创建一个单独的帐户。 这一次，不是将其角色设置为管理员，而是将其设置为没有管理员权限的角色（例如作者或编辑者）。

完成后，继续将所有现有帖子的作者设置为新用户（您可以在每篇文章下的所有帖子>快速编辑中执行此操作）。

6. 保护现有的 WordPress 用户帐户

您是否与虚拟助手一起工作或拥有可以访问您的 WordPress 网站的员工？ 在这种情况下，最好不要让他们访问所有插件和数据。 最后，他们可能不必配置您网站上的所有插件。 而且，除非他们是值得信赖的开发人员，否则他们绝对不应该有权访问主题编辑器。 如何限制他们的访问？ 其中一种方法是创建他们的帐户并将他们的角色设置为贡献者、作者或编辑的默认角色之一。

但是，如果您想阻止他们超过这些角色限制，同时允许他们访问默认设置未提供给他们的网站部分，该怎么办？ 在这种情况下，您可以使用免费插件，例如用户角色编辑器，它允许您创建新角色，并设置他们可以访问网站的哪些元素。

7. 通过审计日志监控活动

如果您不能仅仅限制您的用户访问您网站上的大多数易受攻击的元素，而是想至少知道谁更改或编辑了什么内容，以防出现任何问题，该怎么办？ 要以综合审核日志的形式获得概览，您可以安装WP 安全审核日志。 它的免费版本足以让您方便地了解员工和 VA 的活动：

8. 使用 Google Authenticator 让登录更安全

说到用户，您还可以做一件事来使您的网站更加安全。 想象一下，您的 WordPress 凭证（或您员工的凭证）被盗。 在这种情况下，根据您员工的用户角色，入侵者可以访问整个 WP 网站。 为防止这种情况发生，请考虑在登录时添加双重身份验证。 最简单的方法是Google Authenticator 插件。 完成后，即使有人获得了您的用户名和密码，如果没有 Google Authenticator 应用程序提供的代码，他们也将无法登录。

正如您所看到的，尽管 WordPress 被认为是所有流行的内容管理系统中最易受攻击的内容管理系统，但要最小化甚至完全摆脱最常见的风险并保护您网站上最濒危的元素并不难。

如果您遵循上述提示，请在向他人提供访问您的网站时保持谨慎，并保持您网站的元素是最新的，您的网站以及它，您的企业将免受任何潜在入侵者的侵害。 更不用说您可以节省多少，只是防止了安全漏洞。