保護網站的 19 種方法(7 種是關鍵!)

已發表: 2022-08-20


擔心 WordPress 的安全性?

你應該! 但不要擔心——如果您在您的網站上實施一些 WordPress 網站安全最佳實踐,您可以確信您的網站不會遇到問題。

WordPress安全的。 但是用戶採取的行動(以及用戶安裝的插件)可能會引入各種 WordPress 漏洞。

為避免犯這些錯誤,您需要做的就是按照這篇文章中的提示進行操作。

為了使這篇文章盡可能可行,我們將把我們的 WordPress 安全提示分為兩類:

七個必須遵循的 WordPress 安全最佳實踐

如果您從這篇文章中沒有得到任何其他信息,我建議您在您的網站上至少實施這七個 WordPress 安全最佳實踐。

如果你不做這七件事,你的網站就會面臨巨大的漏洞。

1. 盡快應用核心和插件更新

確保 WordPress 安全的絕對最佳方法之一是始終及時將更新應用到 WordPress 核心、插件和主題。

不管一個軟件有多麼出色,新的漏洞被發現是很自然的。 但是,有了高質量的開發團隊,這些漏洞將在被惡意攻擊者利用之前得到修復……只要您及時應用更新!

如果人們只是更新他們的網站,那麼許多最近流行的 WordPress 漏洞都是可以避免的。

要收到新更新的提醒,請注意 WP 管理員中的儀表板 → 更新區域。

應用 WordPress 更新對於 WordPress 安全至關重要

如果您擔心兼容性問題,可以先在臨時站點上測試更新,然後再將它們應用到您的實時站點。 您還需要在應用更新之前進行備份——稍後會詳細介紹。

注意– 此規則的一個例外是重大更新,這些更新僅專注於添加新功能,不包含任何安全修復程序。 您可以放心地等待幾週來應用這些主要更新。

  • 主要版本(功能) ——5.0、5.1、6.0 等——您可以等待應用這些更新。
  • 次要版本(安全/錯誤修復)——5.0.1、5.1.2、6.0.4 等——你總是需要盡快應用這些。

2. 只使用信譽良好的開發者的插件和主題(並且沒有無效的插件)

雖然核心 WordPress 軟件是安全的,但不能對每個插件和主題(主要是插件)說同樣的話。

通過添加新代碼和修改站點的功能,插件可以引入各種漏洞。

同時,使用插件並不是一個真正的選擇,因為插件是每個 WordPress 網站不可或缺的一部分。

因此,重要的是只專注於使用具有良好代碼質量和及時維護記錄的知名開發人員的插件和主題。

也就是說,請注意您在站點上安裝了哪些插件

以下是一些提示,可幫助您僅使用高質量的插件和主題:

  • 閱讀評論。 差評可能表明代碼質量差。
  • 檢查活動安裝計數。 雖然這不是硬性規定,但流行的插件通常更容易受到關注。
  • 檢查最近的更新。 擁有一個活躍的開發人員對於修補任何新發現的漏洞非常重要。
  • 不要安裝不必要的插件。 因為您安裝的每個插件都是潛在的攻擊媒介,所以您應該只安裝對您的站點很重要的插件。

我們還有關於選擇 WordPress 插件的完整指南。

最後,您還需要避免使用無效插件,因為您不知道插件中添加了哪些代碼。

3. 使用安全的 WordPress 主機

選擇優質的 WordPress 託管服務提供商可以大大確保您網站的安全。

首先,優質的 WordPress 託管服務提供商將確保您的環境針對 WordPress 安全性進行了優化,例如適當的文件權限和安全的 wp-config.php 文件。

許多 WordPress 主機還將構建更主動的保護,例如內置防火牆或惡意軟件掃描。

如果發生任何事情,一些託管的 WordPress 主機甚至會免費清理您的網站。

基本上,有了高質量的主機(尤其是託管的 WordPress 主機),他們會處理很多這些最佳實踐,這樣您就可以專注於發展您的網站。

要找到一些質量選項,請查看我們的帖子,其中包含管理最好的 WordPress 託管和一般最好的 WordPress 託管。

如果您負擔得起,請考慮諸如 Flywheel(我們用於 WPKube - 我們的 Flywheel 評論)或 Kinsta(我們的 Kinsta 評論)之類的選項。

優質主機可以實施WordPress網站安全提示

4. 鎖定您的登錄頁面和帳戶訪問權限

如果惡意行為者能夠訪問您的一個合法 WordPress 用戶帳戶(尤其是管理員帳戶),那麼世界上所有的 WordPress 安全提示都無濟於事。

在現實世界中考慮一下——你可以擁有世界上絕對最好的家庭安全系統,但如果強盜擁有你的房門鑰匙和安全密碼,它就無濟於事。

這意味著您必須找到保護 WordPress 網站的登錄過程和用戶帳戶的方法。

首先,您需要使用強帳戶憑據:

  • 用戶名——永遠不要使用“admin”作為用戶名。 相反,請選擇一個您不會在其他任何地方使用的唯一用戶名。
  • 密碼– 使用強而獨特的密碼。 為獲得最佳效果,請使用 LastPass 或 Bitwarden 等密碼管理器為每個站點生成唯一密碼。

除此之外,您還可以使用策略來保護 WordPress 登錄頁面:

  • 更改登錄 URL——這也減少了很多機器人流量。 如何? 使用免費的 WPS 隱藏登錄插件。
  • 限制登錄嘗試– 如果 IP 地址嘗試錯誤的登錄次數過多(就像銀行的做法一樣),則暫時阻止它。 如何? 使用免費的限制登錄嘗試重新加載插件。
  • 需要雙因素身份驗證 (2FA) – 讓人們除了憑據之外還輸入來自身份驗證器應用程序、SMS 或電子郵件的代碼。 如何? 使用免費插件,如 WP 2FA 或 Two-Factor。
在 WordPress 上限制登錄嘗試的示例

所有站點都應更改登錄 URL 並限制登錄嘗試,但實際上只有任務關鍵型站點才需要使用 WordPress 雙重身份驗證。

5. 安裝 SSL 證書並使用 HTTPS

SSL 證書允許您在站點上使用 HTTPS 而不是 HTTP。

使用 HTTPS,在您的瀏覽器和服務器之間傳遞的任何數據都會被加密。 除了通常有利於隱私之外,這對於保護重要數據(例如您的用戶名和密碼)至關重要。

如果沒有 HTTPS,您的 Internet 網絡上的惡意行為者可以看到在您的瀏覽器和您的站點之間傳遞的所有數據。 例如,如果您在本地咖啡店使用 HTTP 登錄您的站點,則該網絡上的某人將能夠以純文本形式查看您的用戶名和密碼。

但是,當您使用 HTTPS 時,您的用戶名和密碼(以及所有其他數據)會被安全加密,這意味著惡意行為者只會看到一堆隨機字符。

WordPress HTTPS 使用

如今,大多數優質的 WordPress 託管服務提供商都提供免費的 SSL 證書。

通過託管儀表板安裝 SSL 證書後,您可以將站點配置為使用 HTTPS。 如果您在將網站遷移到 HTTPS 時需要幫助,免費的真正簡單 SSL 插件提供一鍵式設置。

請按照我們的 WordPress HTTPS 指南了解更多詳細信息。

6. 使用支持的 PHP 版本

WordPress 是用 PHP 編程語言編寫的。 但是,您可以在您的主機帳戶上使用不同的 PHP 版本。

舊版本的 PHP 不再接受維護,這意味著它們可能存在未修補的安全問題。

截至 2022 年,接收安全更新的最舊 PHP 版本是 PHP 7.4。 但是,從 2023 年開始,您至少需要使用 PHP 8.0。

您可以在此頁面上查看當前的 PHP 版本支持。

WordPress PHP 支持

作為額外的獎勵,較新版本的 PHP 還提供了很大的性能改進,這意味著您的網站加載速度更快,而且更安全。

如果您不確定如何更新 PHP,您可以向您的主機尋求支持。 我們還有一個關於如何在流行的 WordPress 主機上更新 PHP 的指南。

7. 定期備份您的網站

備份您的網站不會阻止您的網站上發生安全問題。 但是,它將防止安全問題變成更大的問題。

如果沒有備份,您網站上的任何安全事件都可能是毀滅性的。 您可能會丟失數據、有很多停機時間等等。

但是,對於最近的備份,安全事件的最壞情況通常是您只需要恢復站點的干淨備份。 仍然很煩人——但災難性要小得多。

如果您的主機尚未提供安全的自動備份,Jetpack Backup 或 BlogVault 等付費工具提供了啟用安全異地備份的最簡單方法。

如果您沒有購買工具的預算,UpdraftPlus 也是一個不錯的免費選擇 - 只需確保將其連接到非現場存儲提供商,例如 Google Drive 或 Amazon S3。

這是我們關於最佳 WordPress 備份插件的完整帖子。

十二個額外的 WordPress 安全強化技巧

如果您忠實地實施上述必須遵循的 WordPress 網站安全最佳實踐,您將避免網站上 99% 的問題。

但是,如果您想進一步加強,您可以實施一些額外的強化技巧來進一步保護您的網站。

8. 設置防火牆

防火牆可以通過在惡意流量或操作影響您的站點或服務器之前阻止它們來主動保護您的站點免受威脅。

許多主機已經實現了自己的防火牆,這就是為什麼如果您使用高質量的 WordPress 主機(見上文),這可能不是網站的必備條件。

如果您的主機沒有(或者如果您想要更多保護),您可以使用 Wordfence 之類的插件在應用程序級別添加防火牆,或者使用 Cloudflare 或 Sucuri 等服務在 DNS 級別添加防火牆。

9. 使用 WordPress 安全插件

您可以在沒有專用安全插件的情況下創建安全的 WordPress 站點,因此絕對不需要安全插件來創建安全站點。

話雖如此,出於以下幾個原因,安全插件仍然可以派上用場:

  1. 安全插件可以提供實時防火牆來抵禦新出現的威脅。
  2. 一個高質量的安全插件可以很容易地實現這個列表中的許多其他強化技巧,這可以為你簡化事情並節省你的時間。

如有疑問,Wordfence 插件是一個很好的入門選擇。 您可以在我們最好的 WordPress 安全插件的完整集合中找到更多選項。

10.隱藏WordPress版本

隱藏 WordPress 版本號會增加微不足道的“安全性”,因為它會使惡意行為者更難檢測到您網站的版本號。

要隱藏它,您可以將以下代碼添加到您的子主題的 functions.php 文件或代碼片段之類的插件中。

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

如果您想更進一步,我們提供了有關如何隱藏您的網站使用 WordPress 的指南。

11.檢查文件權限

如果您使用的是優質主機,則您網站的文件權限應該已經正確。 但是,可能值得仔細檢查,因為擁有正確的文件權限很重要。

要了解更多信息,請查看我們的 WordPress 文件權限完整指南。

12. 僅對 FTP 使用安全連接

每當您通過 FTP 或其他技術連接到您的站點時,請確保使用安全協議,例如 SFTP。

正如 HTTPS 保護在您的瀏覽器和您的網站之間移動的數據一樣,SFTP 保護您的 FTP 客戶端和您的服務器之間的連接。

您還應該避免將 FTP 密碼存儲在 FTP 客戶端中,除非這些密碼已安全加密。

13. 設置活動記錄

活動日誌可讓您跟踪用戶在您的儀表板中所做的事情,這可以幫助您捕獲可疑活動(尤其是在您授予其他用戶儀表板訪問權限的情況下)。

用於網站安全的 WordPress 活動記錄

要進行設置,您可以使用 WP Activity Log 之類的插件。 我們有一個關於如何設置活動日誌的教程,以及一個獨家的 WP 活動日誌優惠券,可以為您節省一些錢。

14. 運行定期惡意軟件/安全掃描

雖然如果您實施了上述最佳做法,您的網站應該不會遇到任何問題,但定期在您的網站上運行惡意軟件/安全掃描仍然是一種很好的做法。

要檢查您網站前端的任何問題,您可以使用免費的 Sucuri SiteCheck 工具。

要對服務器文件進行全面掃描,您可以考慮使用 MalCare 或 Wordfence 等工具。

您的 WordPress 主機也可能會運行自己的日常惡意軟件掃描,這可能會使這些工具變得多餘。

15. 禁用 XML-RPC

XML-RPC 幫助外部工具連接到您的 WordPress 站點,例如桌面 WordPress 應用程序。

但是,如果您不使用這些工具,它只會為您的站點添加不必要的攻擊媒介。 要完全禁用它,您可以使用免費的 Disable XML-RPC 插件。

16. 阻止盜鏈

熱鏈接是指有人將您服務器上的內容嵌入到他們的站點(例如圖像)。 它會在未經您許可的情況下耗盡您的服務器資源,從而影響您網站的安全。

要阻止盜鏈,您可以在站點的 .htaccess 文件中添加一些代碼。

要生成阻止盜鏈所需的 .htaccess 代碼,您可以使用此免費工具。 它可以讓您將某些熱鏈接提供商(如 Google 圖片搜索)列入安全名單,同時阻止其他提供商。

17. 更改 WordPress 數據庫前綴

更改 WordPress 數據庫前綴會增加少量的“隱蔽性安全性”,儘管一些專家(包括 Wordfence)說安全性好處是微不足道的。

如果您有一個現有的 WordPress 網站,我不建議您這樣做,因為破壞您的網站的風險超過了任何潛在的安全收益。

但是,如果您正在建立一個新的 WordPress 站點,您不妨使用自定義數據庫前綴,即使它沒有太大的影響。

18. 在 wp-content/uploads 文件夾中禁用 PHP 文件執行

您可以通過在wp-content/uploads文件夾中禁用 PHP 文件執行來阻止一些邊緣案例攻擊。

就是這樣:

  1. 使用記事本創建一個新的 .htaccess 文件。
  2. 在下面添加代碼片段。
  3. 將該文件上傳到wp-content/uploads文件夾。
 <Files *.php> deny from all </Files>

19.禁用儀表板代碼編輯

默認情況下,WordPress 允許您從 WordPress 儀表板編輯主題和插件文件,如果攻擊者可以訪問管理員帳戶,這將使攻擊者添加惡意代碼。

為了防止這種情況,您可以通過將此代碼段添加到wp-config.php文件來禁用文件編輯:

define( 'DISALLOW_FILE_EDIT', true );

WordPress 網站安全常見問題解答

最後,這裡有一些關於 WordPress 安全性的常見問題。

WordPress有安全問題嗎?

WordPress 本身沒有安全問題,但在您的網站上安裝插件可能會引入安全漏洞,尤其是在插件編碼和/或維護不佳的情況下。

WordPress容易被黑嗎?

絕大多數 WordPress 網站被黑客入侵是因為用戶錯誤,而不是因為軟件本身。 遵循一些基本的安全最佳實踐將使您的網站很難被黑客入侵。

你能讓WordPress安全嗎?

是的,一點沒錯。 只要您遵循最佳實踐,WordPress 就可以非常安全。 有這麼多主要品牌信任 WordPress 是有原因的。

您需要 WordPress 安全插件嗎?

您可以在沒有全面安全插件的情況下創建安全的 WordPress 網站。 但是,這些插件可以簡化實施安全強化最佳實踐的過程,並讓您可以訪問有用的功能,例如防火牆和安全掃描。

立即實施這些 WordPress 安全最佳實踐

如果您從這篇文章中沒有得到任何其他信息,我希望您至少實現上面的七個必須遵循的 WordPress 安全提示。

如果您只做這七件事,您可以確信您將避免站點上 99.9% 的安全問題。

如果您想要更好的保護,您可以繼續並實施此列表中的所有 19 條提示。

您對 WordPress 安全性還有任何疑問嗎? 讓我們在評論中知道!