WordPress网站安全，你需要知道的

已发表: 2022-07-06

WordPress 网站安全有点像健康保险——在您绝对、肯定需要它之前，您永远不会真正担心它，而获得它为时已晚。

你可能会想，“不，这永远不会发生在我身上。”

好吧，最好再想想！

每天，托管服务器被炸毁，黑客入侵帐户，网站神秘消失，整个企业彻底消失。

据 Sophos Labs 称，每天大约有 30,000 个网站被黑客入侵。

还害怕吗？你应该。

也就是说，除非您已经获得了适当的网站保护和安全性。如果您不这样做，那么本文可能会对您的在线未来产生巨大影响。

没有像现在这样让您的网站完全安全并免受不必要的攻击、黑客和其他意外灾难的时候了。

现在我希望我可以说，如果您实施我在本文中分享的所有内容，您将完全安全地远离您的网站，但那将是谎言。
但是实施我分享的内容，肯定会降低发生某些事情的几率。

在本文中，我将专门讨论使用 WordPress 平台设置的网站和博客。

有许多可用于 WordPress 的出色工具，可以比以往更轻松地自动化您的网站备份和保护。

继续阅读有关备份您的网站、使用插件防止垃圾邮件、搜索您的网站文件以寻找黑客入侵迹象以及在您的网站被黑客入侵时采取的措施的提示。

并且不要拖延！

我想非常强烈地敦促您不仅要立即阅读它，而且要立即采取行动并在今天保护您的网站。

如果你不这样做，你可能会后悔，而且可能迟早会后悔。

所以让我们开始吧！

为什么您必须保护您的 WordPress 网站

您是否知道您的网站托管在计算机上？

是的，“服务器”这个词只是对坐在办公楼或仓库某处的 PC 的一个花哨术语。

大多数人没有意识到互联网并不像看起来那样“虚拟”。

感觉就像是在网络空间中，但您的网站实际上是计算机上的一堆文件，位于完全物理的建筑物的某个地方。

您已经知道计算机可能会遇到技术问题，因为您自己的计算机可能已经经历过多次故障。

因此，您的托管服务器（也是一台计算机）也可能会遇到麻烦。它可能会超载并崩溃，也可能会被黑客入侵。

有时它会模糊，需要重新启动。这些事情中的任何一个都可以将其关闭很短甚至很长一段时间。

许多人认为他们的托管公司有责任保证他们的网站安全。

不幸的是，通常情况并非如此，我敢肯定，如果您现在就去仔细检查您签署的托管协议，您会发现保护您的网站和业务的责任完全在于您。

我将很快介绍它的原理，但让我们从讨论原因开始。

为什么要保护您的网站免受黑客和其他意外问题的侵害？

显而易见的答案是，您不想失去为建立网站和业务所做的所有努力。

相信我，这是真实发生的。

几年前，在我所属的一个策划者中，我亲眼目睹了对问题毫无准备以及在安全设置中存在漏洞可能会产生毁灭性的后果。

我网络中的一些女性在托管服务器意外停机 24 小时后失去了数周的工作和整个网站！

存在主机无法立即解决的技术问题。

起初，有些人很生气，他们的主人让这种事情发生，但后来，他们慢慢意识到，他们真的应该有自己的安全措施。

以下是您的 WordPress 网站可能遭到入侵的几种方式：

网站托管问题
黑客添加代码或关闭您的网站
恶意员工或承包商扰乱您的网站
升级会产生错误并关闭您的网站
网站莫名其妙地消失了（真实的故事——这发生在我的一个客户身上！）

我想说，这些可能性中的任何一种都是采取行动的充分理由。

不要将价格作为选择虚拟主机的唯一因素。您的关键业务资产值得拥有最好的。如果您想了解我的推荐，请与我们联系。

WordPress 是否脆弱且容易受到攻击？

有些人认为 WordPress 不是最好的安全平台，因为它是开源的（免费），这意味着黑客可以轻松访问该软件以发现其安全漏洞。

我完全不同意这种推理。

是的，WordPress 是免费的，黑客可以轻松访问它，但我们在开玩笑吗？
黑客喜欢挑战，他们可以轻松下载他们想要的任何网站设计软件的盗版副本。 WordPress 是一个免费、开放的平台这一事实实际上使其更加安全。

原因可以总结如下：

成千上万的人参与了更新软件、创建插件和制作易于使用的模板等工作。 这是一个巨大的社区努力。

这意味着一旦出现问题，几乎立刻就会有人发现它。 当他们这样做时，WordPress 的创建者会努力快速地解决问题，并且每次他们还会发布一个全新的安全更新。
只需将这种奉献精神与其他更新频率低得多、社区小得多的公司进行比较，您就会看到 WordPress 的优势和价值。

可能导致您的 WordPress 网站崩溃的常见问题

是时候深入了解您的网站可能发生的事情的血腥细节了。以下是最常见的问题，它们可能会使您的网站完全瘫痪或导致您希望避免的问题。

你被黑了！

让您的网站被黑绝对是所有潜在网站问题中最令人恐惧的。您不希望您的网站内有人乱搞和破坏东西。这很像有人闯入你的房子，拿走东西，破坏东西或完全摧毁这个地方。

黑客可以对您的网站做很多事情，包括：

添加您看不到的不需要的链接。
添加您可以看到的不需要的链接。
添加攻击访问者计算机的病毒。
完全删除您的网站（甚至用带有骷髅和交叉骨图像的漂亮“您已被 XXX 入侵”消息替换它）。
删除网站文件。
控制您的网站并将您拒之门外。

您的托管公司的问题

如您所知，每个网站都托管在计算机上。

我们都知道，作为一项人造技术，计算机有时会变坏。

请不要错误地完全依靠您的托管公司来保护您的网站，并期望他们永远不会遇到任何技术问题。

您的托管公司的易受攻击的部分是他们托管您网站的服务器。 它可能会崩溃、被黑客入侵甚至被要求关闭。

我的旧托管公司最近不得不处理后者。市政府要求他们关闭服务器大约八小时。可以想象，这给许多网站所有者带来了巨大的不便和潜在的收入损失。

但至少，托管公司知道它即将到来，一旦他们能够重新打开服务器，事情就会恢复正常。

但是，如果一家公司出现意外的服务器问题，则损害可能会变得更加不可预测 - 并且持续时间更长。

如果您没有最近的备份，您最终可能会丢失有价值的数据甚至整个网站。

服务器着火的情况并不少见。

这可能由于各种原因而发生，但就您而言，这又是一个意想不到的问题，如果您没有做好准备，可能会导致彻底的灾难。

但是，如果您准备好了，这可能只是一种不便。从现在开始，您将负责。

其他潜在的托管问题包括糟糕的客户服务。

您的需求可能超出他们的能力，或者他们可能无法提供您期望的那种质量。

准备好备份并方便使用是个好主意，以便在需要时可以快速切换主机。

某人或某事弄乱了您的 WordPress 网站

可能是您，也可能是您的网站管理员，但在您添加插件、升级主题或更新到最新版本的 WordPress 时，您的网站也很可能会无意中搞砸。

如果您没有做好准备，您可能会失去整个网站。

重要提示：在进行任何类型的更新之前，您应该始终备份您的站点，如果您准备好不必担心备份，那么注册我的 Geek in Your Pocket 服务是一个理想的解决方案。

心怀不满或笨拙的团队成员

这可能不是一个明显的问题，但它可能是一个真正的威胁。

无论您是与虚拟助手一起工作，还是办公室中有一名员工在您的网站上工作，您都希望知道限制他们在 WordPress 中的能力以匹配他们的职责（以及您对他们的信任程度）是很重要的。

例如，您的一位常规投稿作者没有理由应该拥有管理员权限并且能够更改您网站的主题或安装新插件。

在您的网站上使用的顶级 WordPress 安全插件

WordPress 的一个明显优势是它拥有一个由非常忠诚的开发人员组成的整个社区，他们一直在创建新的插件（附加组件）。

更好的是，WordPress 的创建者、开发人员和用户在安全性方面都非常勤奋。是的，黑客既快速又聪明，但整个社区都尽最大努力保持领先地位。

您可以使用许多安全插件来阻止黑客和其他对您网站的威胁。我没有足够的空间来涵盖所有内容，但我列出的内容将对确保您的网站安全大有帮助——只要您安装和使用它们！

维护您的网站的我的 WordPress 插件建议

用于备份的 WordPress 插件

上升气流加

这个具有升级选项的强大免费插件将对您的站点进行完整备份。您可以安排它每天、每周或每月进行备份，并将这些备份通过电子邮件发送给您或保存到外部驱动器。这是目前我最喜欢的插件。

WordPress插件来对抗垃圾邮件

Akismet – Akismet 是已经随 WordPress 一起安装的程序。 您所要做的就是激活它。但是，您需要获取 API 密钥才能执行此操作，该密钥可以从 WordPress.org（免费）获得。一旦正确激活，Akismet 将过滤掉您的垃圾评论并将它们直接发送到垃圾箱。它工作得很好。 Akismet 对大多数使用是免费的（每月收入低于 500 美元的博客被认为是“个人”使用），但对高流量有利可图的博客（“商业”使用）收费。抓住插件

用于登录保护的 WordPress 插件

对您网站的暴力攻击试图通过一遍又一遍地尝试登录来猜测您的登录信息。这是由自动化机器人完成的，因此可以非常持久。当然，您的第一道防线是拥有不易被猜到的登录信息（管理员未命名为“admin”和强密码）。之后，您将需要使用其中一个插件来暂时锁定讨厌的机器人的计算机。

登录锁定
限制登录尝试

其他安全问题的 WordPress 插件

Shield Security – 目前我最喜欢的安全插件，为保护您的网站的所有事情提供了一个很好的演练，为您提供报告等等。更好的是，您每年只需 12 美元即可升级！（在撰写本文时）
iThemes Security – iThemes Security 用于锁定 WordPress、修复常见漏洞、阻止自动攻击并加强用户凭据。
WordFence – Wordfence 类似于 iThemes，有助于锁定您的网站，使其难以受到攻击和黑客的攻击。当您遇到 DDOS 攻击或试图进入您网站的人的过度登录尝试时，它也会提醒您。这是一个非常受欢迎的插件，他们网站上的内容是头等大事。我唯一的警告是我发现它似乎与其他插件有相当多的冲突，它会降低你的性能。

WordPress 插件提示

当您考虑向您的网站添加新插件时，这些提示可以帮助保护您的网站。

坚持使用 WordPress.org

在搜索和下载插件时，如果您坚持使用 WordPress.org，您是最安全的。如果您从任何其他来源或网站获取插件，请确保您是从受信任的来源获取的。插件可以在您的 WordPress 安装中创建漏洞，并在不知不觉中允许问题出现。

让他们保持更新

优秀的插件创建者会让他们的插件保持最新。您将在您的 WordPress 安装中收到需要更新各个插件的通知。立即执行此操作！

保护您的 WordPress 网站是一个持续的过程。

你能做的最糟糕的事情就是看着这份清单，感到不知所措，什么也不做。只需选择一件事即可开始，一切就绪，然后继续下一步。

或者，如果您只是没有时间自己做这件事，请将其外包。正是出于这个原因，我们为客户提供网站维护计划。

WordPress 安全性很重要。

黑客或服务器崩溃不会等到您腾出时间来完成这项工作。 花点时间让自己立即使用其中一些很棒的插件。

如何备份您的 WordPress 网站

好的！我想我已经说服您备份您的 WordPress 网站非常重要，对吗？

不仅如此，我还希望我已经说服你，这是绝对的，绝对是不可谈判的。

在我向您展示一些备份网站的方法之前，我认为讨论使您的 WordPress 网站运行的不同部分很重要。备份您的网站时，您需要确保将所有这些部分都准备好，否则您将无法获得完整的备份。

您的 WordPress 网站由以下部分组成：

WordPress 文件：包括使您的 WordPress 安装工作的所有 PHP 和 CSS 文件。它还包括您添加的任何内容，例如您的主题、插件、图像以及您可能已上传的任何其他文件。
数据库：数据库是您的页面和帖子的存储位置。
其他文件：如果您在 WordPress 之外上传了任何内容（通过 ftp、cPanel、Dreamweaver 等），那么这些文件将与您的实际 WordPress 站点分开。

因此，让我们深入了解它，并确切地讨论您如何备份您的 WordPress 网站。

选项 1：cPanel 备份

此步骤要求您的主机帐户中有 cPanel。大多数安装了 WordPress 的人都会使用 cPanel 来执行此操作。 cPanel 允许使用简单脚本或 Fantastico 程序进行简单的脚本安装过程。如果您没有 cPanel，请咨询您的托管公司，看看他们是否有可以在他们的系统中执行的手动备份选项。

要进行 cPanel 备份，请执行以下步骤：

通过您的主机登录到 cPanel。
滚动到“文件”>“备份向导”。
点击“备份”。

然后系统将开始备份您的整个网站和所有文件。这可能需要一些时间，具体取决于您拥有的文件数量。

当您的备份准备就绪时，cPanel 通常会向您发送电子邮件。然后您需要做的就是重新登录您的 cPanel 并下载您的备份。

我建议您保存最近的三个备份。如果您的网站损坏了一段时间并且您唯一的备份包含这些相同的坏文件怎么办。将备份存储在便携式硬盘驱动器上是一个聪明的主意（这样您就可以轻松地将其移动到另一台 PC 上，或者在您从下一场飓风中撤离时随身携带）。

进行手动备份的问题之一是您可能会忘记。因此，虽然我绝对建议您按照可以制定的任何计划进行手动备份，但我不建议您将其作为唯一的备份方法。

选项 2：WordPress 插件备份

有一些插件可以让您备份整个网站。 UpDraft Plus 就是这样一个插件。

您可以对整个 WordPress 安装和所有网站文件进行完整备份。

这是如何做到的：

下载并安装 UpDraft Plus
点击左侧菜单中的“Updraft Plus”。
完成初始设置 - 来自 WPcrafter 的这段视频有一个很好的演练。
进行完整备份并将其下载到您的计算机（用于远程存储主机服务器）。
通过单击设置部分中的“计划”来设置计划备份。
选择要发送备份的位置，然后保存。

现在您有两种简单的方法来备份您的整个网站。我建议您同时使用两者并至少保存最后三个备份，以便获得完整的保护。

WordPress 安全更新是不可协商的！

运行 WordPress 网站不是“一劳永逸”的交易。

如果您想保护您的网站免受黑客和其他潜在问题的侵害，您需要确保跟上软件更新，其中包括安全更新。

如前所述，WordPress 正在不断发展。这是一件非常好的事情，因为您可以获得最前沿的特性、功能和安全性。但也有一个缺点：您必须跟上更新以确保您的网站或博客的安全。

幸运的是，跟上更新并不是那么困难。

当您登录到您的 WordPress 仪表板时，如果您需要更新 WordPress 或其中一个插件，这应该是非常明显的。

在上图中，您会看到更新链接旁边的数字是可用的插件、主题或 WordPress 核心更新的总数。并且，顶部的黄色条显示新版本的 WordPress 已经发布。

这最终的网站清单任何网站所有者

维护 WordPress 网站所需了解的一切

立即获取您的副本

WordPress 更新

如果有一个主要的 WordPress 更新可用，它会显着显示在仪表板的顶部，并且几乎要求您进行更新。

虽然 WordPress 更新非常可靠，几乎没有错误，但在单击“请立即更新”链接之前，您应该始终进行完整的站点备份。

在不太可能（但不可避免）出现问题的情况下，您和您的托管服务将感谢您的幸运之星，因为您有完整且及时的备份可用。

完成完整站点备份（包括下载到您的计算机）后，单击“更新”或“请立即更新”链接。

除非您的托管服务指示您这样做，否则请使用“自动更新”按钮更新您的网站。它快速、简单且坚如磐石。

关于更新 WordPress 插件的重要说明

就像在安装新插件之前一样，请务必在安装更新之前阅读插件的更改。很多时候，您可能不一定想要插件的行为发生变化。

关于更新 WordPress 主题的重要说明

如果您对主题进行了**任何** 更改（调整 style.css 中的内容或更改模板文件），则更新主题时将覆盖更改。准备好在更新后重新进行更改。避免这种情况的唯一方法是专门为您的更改创建一个子主题，但这是本报告范围之外的高级主题。（有关更多信息，请参阅 WordPress 法典）

使用内置的 WordPress 自动更新功能更新您网站的插件。除非它是一个高级插件，否则你真的不应该做任何复杂的事情（比如下载更新然后使用 FTP 在你的网站上获取它）。对于高级插件，您需要始终遵循其特定说明。

其他 WordPress 安全措施

我们已经详细讨论了备份和更新您的网站。但是您可以采取其他安全措施来保护您的网站免受问题的影响。

始终使用“admin”以外的管理员名称。

最初安装 WordPress 时，您可以选择主管理员帐户的用户名。不要使用默认的“admin”；选择原始的东西。试图猜测您的密码的蛮力脚本（黑客脚本）会假设用户名“admin”已经存在……让他们做出错误的假设，并将他们排除在您的网站之外！

使用安全密码

我敢打赌你以前听过这个。您不应为所有网站和登录名使用相同的密码。你也不应该有一个简单的密码，比如你的孩子或宠物的名字。使您的密码长，超过 8 个字符，并使用大写、小写、数字和符号的组合以获得最佳保护。

偶尔更改管理员密码

更改所有管理员级密码。我偶尔会说，因为时间表真的取决于你的商业惯例。例如，如果您将 WordPress 维护或管理外包给使用您的主管理员帐户的不同人，那么如果您是唯一的管理员，您应该更频繁地更改密码。

删除未使用的帐户。

如果您的 WordPress 安装中有任何不再使用的用户帐户，请务必将其删除。

在其他地方注册您的域。

如果您因为主机问题而需要移动网站，您会很高兴在其他地方注册您的域名。这将允许您通过简单地将域名注册商的名称服务器指向您的新托管服务来快速移动域。

监控您的站点文件。

有时黑客会进入您的网站，进行更改并离开而不会大惊小怪。如果您不小心，这可能会完全被您忽视！定期检查您网站的文件是否有入侵迹象，以确保一切正常。一种简单的方法是查看文件的修改日期。

采取额外措施来保护您的 WordPress 安装可能需要一些额外的时间，但如果它能让您免受攻击，那将是非常值得的。当然，没有办法绝对保证您永远不会被黑客入侵或遇到其他问题。

但是，您会发现，您受过的教育和准备越充分，您以后必须处理后果的可能性就越小。

其他用户

许多网站和博客所有者都有其他人登录他们的网站。让客座博主或专栏作家拥有自己的用户名和密码是很常见的，这样他们就可以登录并添加自己的帖子，从而节省博客所有者的时间和工作。将您的网站或博客更新外包给必须能够登录并在您的网站上发布的虚拟助理或其他自由职业者也很常见。

以下是在这些情况下保持 WordPress 网站安全的一些规则：

不要授予管理员访问权限- 您应该始终保护您的管理员访问权限。 原因不一定是您的客人或员工可能会对管理员访问权限进行任何恶意操作，尽管已知会发生这种情况。相反，您打开了一个安全风险，因为他们的密码可能被破坏或被黑客入侵，这可能允许其他人通过他们的帐户进入。访问您帐户的方法越多，黑客就越有可能找到一个。
授予所需的最低访问级别- 始终授予某人完成工作所需的最低访问级别。
更改密码- 当有人离开公司时，请确保您更改密码或完全删除他们的用户帐户。

在安全失败时做好准备

尽管您尽了最大的努力和准备，但如果您的网站安全失败怎么办？

我可以告诉你的第一件事是为这种可能性做好准备。

不要认为仅仅因为你采取了所有适当的预防措施，你就得到了完全的保护。

考虑网站攻击或重大问题，就像考虑房屋火灾一样。您可以采取预防措施来防止家中发生火灾，但有时您就是无法预防。因此，除了预防措施外，我们还为最坏的情况做准备。我们创建消防通道，配备灭火器，备有火警警报器，并为亲人提供聚会场所。

为什么不为您的网站做同样的事情？

制定一个计划，如果安全失败，你会怎么做。以下是为网站黑客或安全故障做好准备的一些方法：

备份，备份，备份！ – 是的，我们已经不止一次讨论过这个问题，但值得再次提醒。根据需要经常备份。保留多个备份副本 - 并将它们保存在不同的位置。

拥有您的所有登录信息——如果您聘请某人来安装或设计您的网站，那么很可能存在您甚至无法访问的登录信息。 我给你的建议是你现在就改变它。在本报告的最后，您会找到一些清单，其中包括一份重要的网站信息。获取该列表并完成信息，将其打印出来，然后以数字方式将其存储在两个地方，以便在需要时随时使用！这一步非常重要。

致电您的主机- 询问您的托管公司如果服务器崩溃或您的网站被黑客入侵会发生什么。 有些人非常惊讶地发现他们的托管公司在这些情况下不提供任何损失保护。现在发现，而不是以后。

拥有一个备份主机——您不仅要备份您的文件，还需要四处寻找一家备份托管公司，如果需要，您可以快速转移到该公司。 已经拥有第二个主机的帐户可能是个好主意，这样您就知道它们是如何工作的，这样您就可以在需要时快速移动。在托管公司以外的地方注册您的域名也是一个好主意。

聘请专家——如果这一切对你来说太过分了，而你根本不想处理它，那就找一个可以的人。 在您遇到问题之前雇用某人并与他们建立这种关系，以便当问题确实发生时，他们已经准备好并能够快速帮助您。

所以你有它。

本文包含的信息可以很好地为您节省数千美元和/或数小时。这不是开玩笑。

我希望您能接受建议，做好备份，并保护您的网站。这样一来，您就不会在某一天早上发现眨眼之间就失去了多年的工作。

让我们把这个宝贝包起来！

我记得当我第一次听说要备份我的网站时。老实说，我觉得这太混乱了，太复杂了，太麻烦了。所以我没有采取行动，只是希望最好的。

同时，我听到有人警告我不备份我的网站和采取适当的安全措施的风险，但我认为我没有时间，无论如何也不会发生任何不好的事情。

然后，在我发展了一个规模庞大的企业和网站后的一天，我问自己：“如果我今天失去了整个网站怎么办？那会是什么感觉？”

答案是：“我会被摧毁的”。

老实说，如果过去几年的辛勤工作就这样化为乌有，我不知道该怎么办。将很难恢复。

我很幸运，我知道这一点。我从来没有在我的网站上遭受过攻击（敲木头），但我认识很多与我亲近的人并不那么幸运。相信我，我不再把我的安全留给机会。

请认真对待本文和此警告，并学习如何备份您的网站或聘请专家为您完成所有工作。如果您的网站出现问题，您会非常高兴！即使你不这样做。毕竟，内心的平静是无价的

下一步：

注册以获取我的5 个基本要素，以确保您的网站安全
报名参加我的一项护理计划。当您取得联系时，让我知道您已阅读此博文并收到特别优惠

这样，如果托管公司没有响应，您可以访问您的域进行转移。