保護 WordPress 網站免受駭客攻擊的 5 種方法

WordPress 是一種受歡迎的內容管理系統 (CMS)，會持續接收安全性更新。 然而，它仍然容易受到駭客攻擊。 無論您擁有電子商務網站還是博客，了解如何保護 WordPress 網站免受駭客攻擊都很重要。

好消息是您不需要聘請安全專家來完成這項任務。 透過採取一些預防措施並使用正確的工具，您可以阻止駭客訪問您的網站並竊取您的資料。 ️

常見的 WordPress 駭客攻擊

WordPress 為網路上 43% 的網站提供支持，使其成為駭客的熱門目標^[1] 。

一些最常見的攻擊包括：

• 跨站點腳本（XXS） 。 此時，駭客能夠將惡意程式碼插入網站，因為相關網站無法正確驗證或清理使用者輸入。 XXS 攻擊通常針對透過論壇、評論部分和表單接受使用者生成內容的網站。
• 暴力攻擊。 駭客可能會嘗試透過產生多個使用者名稱和密碼組合來入侵您的網站，直到他們猜出正確的登入憑證。 他們中的大多數使用專門的軟體或腳本來自動進行暴力攻擊。
• 結構化查詢語言 (SQL) 注入攻擊。 惡意行為者可以利用網站（或其使用的插件）中的漏洞插入有害的 SQL 命令。 他們這樣做是為了訪問網站的資料庫並竊取敏感信息，例如信用卡詳細信息。

有些 WordPress 網站比其他網站更容易受到攻擊。 例如，如果您的網站上有很多插件，它就會為駭客提供更多潛在的入口點。

此外，如果您有線上商店，您的網站可能比個人部落格更有吸引力。 這是因為許多駭客都在尋找信用卡號和登入憑證等敏感資料。

如何保護 WordPress 網站免受駭客攻擊（5 個策略）

駭客攻擊可能會對您的業務造成毀滅性影響。 因此，了解如何保護 WordPress 網站免受駭客攻擊非常重要。

幸運的是，保護您的網站並不困難。 讓我們來看看一些有效的預防措施。

1. 啟用雙重認證
2. 更改 WordPress 登入 URL
3. 限制登入嘗試
4. 確保核心、外掛和主題始終是最新的
5. 選擇安全的網路主機

1.啟用雙重認證‍

雙重認證 (2FA) 是一種安全程序，在許多具有使用者帳戶的網站上使用。 輸入使用者名稱和密碼後，網站可能會要求您輸入發送到您的手機或電子郵件地址的代碼：

這增加了額外的安全層，使駭客更難以成功實施暴力攻擊。 這是因為猜測使用者名稱和密碼不足以存取網站。

作為網站擁有者，您可以將 2FA 新增至 WordPress 登入頁面。 如果您使用像 WP 2FA 這樣的插件，您甚至可以對網站上的其他用戶強制執行它，例如編輯和作者：

使用者可以選擇將一次性代碼發送到他們的個人電子郵件地址，或使用他們選擇的應用程式（例如 Google Authenticator 或 Authy）產生代碼。

此外，該插件還與 WooCommerce 以及其他電子商務和會員工具集成，因此您還可以為您的客戶和會員設定 2FA。

2.更改WordPress登入網址️

防止暴力攻擊的另一種方法是更改​​網站的 WordPress 登入 URL。 預設情況下，使用者可以透過將 /login/、/admin/ 或 /wp-login.php 新增到網站的 URL 來存取 WordPress 儀表板。 然而，這使得駭客很容易找到您的登入頁面。

您可以使用 WPS 隱藏登入之類的外掛程式來變更 WordPress 登入 URL：

該工具使您能夠創建自訂登入 URL，使用隨機字母和字元使其難以猜測。 只需記住為登入頁面添加書籤或記下新 URL！

3. 限制登入嘗試

如前所述，駭客會嘗試多種密碼和使用者名稱組合來闖入您的網站。 您可以透過限制使用者可以嘗試登入的次數來阻止暴力攻擊。

例如，您可能只允許兩次失敗的登入嘗試。 之後，用戶將被鎖定在管理區域之外（不用擔心 - 真正的用戶將能夠重設其密碼）。

限制登入嘗試重新載入可讓您限制預設 WordPress 登入畫面以及 WooCommerce 和您網站上的任何自訂登入頁面上的登入嘗試：

在達到指定的重試次數後，該插件將阻止 IP 位址和使用者名稱進行進一步的登入嘗試。 為了安全起見，您可能希望將每個使用者的登入嘗試次數限制為 3 次。

4. 確保核心、外掛和主題始終是最新的️

駭客可能透過外掛程式或主題中的漏洞進入您的網站。 因此，開發人員會定期為其外掛程式和主題發布安全性修補程式。

這意味著一旦有新版本可用，立即更新外掛和主題非常重要。 WordPress 軟體也是如此，這是保護 WordPress 網站免受駭客攻擊的另一個重要組成部分。

您可以透過導覽至儀表板>更新來檢查您的網站是否有更新。 在這裡，您將看到任何需要更新的軟體：

您需要定期檢查此頁面以確保您的網站安全。 或者，您可以設定自動更新。 為此，只需導航到插件頁面並點擊插件旁邊的啟用自動更新選項：

您可以對主題執行相同的操作。

請注意，在大多數安裝中，較小的 WordPress 更新通常會預設為自動完成。 次要更新著重於安全性和維護更新，並以兩個點表示 - 例如，WordPress 5.6.1 或 5.5.3。

但是，主要更新可能需要手動啟動。 這不是問題，因為您可以等待應用程式主要核心更新。 這是因為主要更新只專注於添加新功能而不是進行安全修復。 主要更新只有一個點 – 例如 WordPress 5.6 或 WordPress 5.5。

5.選擇一個安全的虛擬主機️️

如果您正在尋找更多方法來保護 WordPress 網站免受駭客攻擊，您可以遷移到更可靠的託管提供者。 一個好的網站主機應該採取多種安全措施來保護他們的客戶。

例如，他們應該監控伺服器是否有可疑活動，並定期更新軟體和硬體。 如果您選擇託管 WordPress 託管計劃，您的主機可能會執行每日備份並掃描您的網站是否有惡意軟體。

如果您採用共享託管計劃，則您的網站將與許多其他網站共用伺服器資源。 這意味著，如果您的主機沒有正確隔離不同的帳戶，其他網站上的安全漏洞也可能會影響您的網站。

因此，您可能需要考慮切換到更安全的服務，例如專用託管或虛擬專用伺服器 (VPS)。 這樣，您的網站就託管在隔離的環境中，並且不太可能受到第三方網站安全問題的影響。

立即保護您的 WordPress 網站 ️

他們還可以透過進行暴力攻擊來存取這些數據。

回顧一下，以下是保護 WordPress 網站免受駭客攻擊的方法：

對於一些更一般的提示，您可以查看我們完整的 WordPress 安全性提示集合。

您對如何保護 WordPress 網站免受駭客攻擊有任何疑問嗎？ 請在下面的評論部分告訴我們！