WordPress 安全性：通过这些步骤提高您网站的安全性

在网络上，在 WordPress 平台上运行的网站数量最多。 这意味着 WordPress 正在统治网络。 它引起了网络上恶意元素的注意。 因此，谷歌每年禁止近 2 万个恶意软件网站和 5 万个网络钓鱼网站。

在这种惨淡的情况下，网站安全变得至关重要。 由于使用 WordPress 代码运行的网站数量较多，因此记录的攻击事件在 WordPress 平台上最高。 因此，今天我想强调一些可以帮助您保护 WordPress 网站的可行步骤。

保护您的 WordPress 网站用户的进入

在现实生活中，当我们想要保护家庭、办公室或工厂等场所时，我们首先会查看恶作剧或恶意元素可以尝试进入的接入点。 相同的策略需要适用于保护您的 WordPress 网站。

现在，让我们评估一下可能通过黑客或恶意用户访问您的后端或源代码的入口点。 默认情况下，WordPress 后端访问 URL 以：

/wp-login.php 或 /wp-admin/

因此，您需要采取适当的步骤来阻止不需要的用户进入您的 WordPress 后端页面。

更改登录 URL

如果您是 WordPress 开发人员，您已经知道如何更改网站后端的默认 URL，但对于高级用户或 DIY 类型的用户，高级安全插件或扩展可以让您这样做。 因此，您可以更改

• /wp-login.php 到 /Your-Domain-Name-login.php
• /wp-admin/或/你的域名-admin/
• /wp-login.php?action=register 或 /Your-Domain-Name-registration

因此，这种自定义的 URL 可以极大地帮助您抵御暴力攻击。

更改用户名

默认情况下，大多数 WordPress 开发人员将“Admin/admin”关键字设置为用户名。 它使黑客和不受欢迎的用户的工作很容易访问您的 WordPress 网站后端，他们必须使用他们的 Guess Work Database (GWDb) 来猜测密码。

如果您将默认用户名更改为无法预测的名称，例如您的电子邮件地址，则可以减少攻击者及其软件的威胁。

更改密码

就像用户名一样，密码总是受到威胁。 有很多方法可以保护密码猜测活动。 例如，使用由小写、大写、数字和符号组合而成的高度复杂的密码。

但是，最近的双因素身份验证趋势是保护所有级别用户访问后端的绝佳而可靠的方法。 手机/智能手机是访问 OTP（一次性密码）以验证 2FA 系统的便捷设备。

设置锁定和禁令

为了防止暴力尝试并实施锁定或禁止该 IP 地址，有许多插件和软件可用于识别重复登录或注册尝试。 插件可让您设置多次失败尝试并提供其他功能以防止您的网站后端遭到未经授权的访问。

保护您的 WordPress 网站的管理仪表板

对于 WordPress 后端用户来说，仪表板是后端中最具吸引力和使用率最高的部分。 它提供了所有工具和选项来管理从默认使用到自定义的整个网站。 如果有人成功破解了仪表板，那将是黑客最大的胜利，对网站所有者的破坏最大。

因此，我们应该对WordPress 管理仪表板采取特殊措施。 以下是我们今后可以考虑的可能措施。

照顾“wp-admin”目录

一切都放在 wp-admin 目录中，允许您管理整个网站，包括资源和文件。 因此，防止对目录的未经授权的访问意味着预先消除大部分最坏的情况。

WordPress社区开发了一些插件来保护目录密码。 因此，WordPress 管理员用户必须使用两个不同的密码才能访问仪表板。 一个用于登录页面，另一个用于仪表板。 此类插件会自动生成 [.htpasswd] 文件，然后对密码进行加密，并配置文件权限。

小心添加管理员用户

除了拥有后端所有权限的超级管理员外，其他用户也可以访问后端，对后端特性和功能具有不同级别的访问权限。 对后端的基于角色的访问是可能的，您可以授予他们不同的用户名以及您认为最安全的密码。

监控管理目录中的重要文件

您可以使用一些插件来监控所有管理员用户的可疑活动，以便在检测到安全威胁时采取实时措施。

加密数据

如果您实施了使用最新加密技术来保护您存储和交换的数据的安全套接字证书(SSL)，您可以防止在两者之间发生任何错误并保护整个 WP 管理区域以及网站。

保护您的 WordPress 网站的数据库

WordPress 平台高度依赖数据库，因为所有网站资产都以 SQL 类型数据库中的大多数表格格式存储在数据库中，无论是文本、图像、布局代码、多媒体内容，WordPress 网站中的任何内容都在数据库中占有一席之地。

为了保护数据库免受SQL 注入和其他网络攻击，您可以通过以下措施保护您的数据库。

设置数据库密码

您可以为您的数据库设置一个强密码，并将对数据库的访问限制为超级管理员角色，这样可以最大限度地减少篡改数据库或出错的可能性。

更改 WP 前缀

如果你要安装一个 WordPress 网站，你可能会遇到一个数据库表的设置，它是 WP 表前缀。 默认情况下它是 wp- 并且您必须更改它以防止 SQL 注入（如数据库攻击）。 您可以将其从 wp- 更改为 Your-Domain-Name ，就像自定义前缀一样。

定期备份数据库

您可能会定期备份整个网站，也可能没有，但安排数据库备份可以避免由于各种已知和未知原因而发生的数据丢失。 今天我们有特殊权限的备份插件，可以进行不同频率的数据库备份。

保护您的 WordPress 网站的托管

如今，托管网站对其成功至关重要，因为搜索引擎需要理想的 SEO 友好型托管来满足其排名要求。 同样，网站用户包括后端用户和前端用户，性能优化、转化优化和用户体验很大程度上取决于托管环境和整体托管质量。

今天，除了默认的 WordPress 社区托管服务之外，我们还有多种托管选项，例如共享托管、VPS 托管、专用托管以及最重要的基于云的托管服务，例如适用于不同规模和规模的网站的Kinsta 。

保护 wp-config.php 文件

WordPress wp-config.php文件访问是黑客轻松实现其恶意意图的一项关键成就，因为它包含有关您整个 WordPress 安装的高度关键信息。

最好的方法是将文件移动到比根目录更高的级别。 您可以轻松地做到这一点，因为即使它位于 WordPress 的根目录之外，WordPress 也可以看到它。 因此，服务器可以轻松地在更高级别找到它。

禁止文件编辑

在托管服务器中，您的网站源有几个文件，其中包含关键信息和权限，可以顺利运行您的网站。 如果黑客或恶意分子破解服务器并访问这些文件，他们可能会造成不同程度的危害。

如果您禁止超级管理员以外的任何人编辑文件，您可以轻松避免这些损失。 您可以通过在 wp-config 文件的末尾添加一个代码行来做到这一点。

设置目录权限时要小心

托管服务器上的目录、子目录和文件是重要的 WordPress 安全方面。 如果您为网站的这些组件设置了错误的权限。 一旦服务器妥协，您可能会增加攻击的机会。

因此，您必须为目录/子目录设置 755 权限，为文件设置 644 权限。 通过使用主机/c-Panel 中可用的文件管理器工具，您可以轻松设置或更改权限。 有关文件权限的更多信息 –了解文件权限并使用它们来保护您的站点。

正确的服务器连接

传统上，我们使用 FTP 协议进行服务器连接。 但是 SFTP 或 SSH 是当今建立服务器连接的更安全可靠的方式。

保护 WordPress 网站的主题和插件

大多数 WordPress 主题和插件都是由第三方开发人员开发的。 从安全的角度来看，这些并不完全可靠。 因此，您必须采取一些措施来安全地渲染它们。 例如：

定期更新

就像您的 WordPress 网站一样，插件和主题开发人员/公司也会发布更新以跟上 WordPress 版本的步伐，并修复他们通过用户反馈了解到的错误和问题。 因此，请尝试使用适当的插件通过仪表板定期安装更新。

隐藏 WordPress 版本信息

对于攻击者来说，知道您的 WordPress 版本信息（如数字）有助于开发量身定制的攻击，并且版本信息在 WordPress 源代码中很容易获得。 如果您可以 DIY 删除这些版本信息，或者在您专门的 WordPress 开发人员的帮助下，您可以让攻击者的生活变得有点艰难。

结论

我写了上面的帖子，牢记初学者和中级 WordPress 开发人员以及专门的 WordPress 插件开发人员。 因此，如果没有适当的和最新的 WordPress 安全插件的帮助，实施上述提示来保护您的 WordPress 网站将被证明是困难的。 我建议为您的网站安装以下插件，使其比以往更安全：

• 多合一 WP 安全和防火墙
• 蛮力登录保护
• 防弹安全
• 谷歌身份验证器
• iThemes Security，以前是 Better WP Security
• Sucuri 安全 WordPress 插件
• WordFence
• WP防病毒网站保护

如果您仍然有困惑并希望得到专家的帮助。 Perception System 提供 WordPress 开发服务以及雇用 WordPress 开发人员的设施，以帮助有需要的客户使他们的网站完全安全。