如何保護您的 WordPress 網站的綜合指南。

大多數人在開始設計和開發他們的網站時，主要關心的是讓事情按照他們想要的方式工作，並使網站看起來很棒。 WordPress 安全性不是他們的主要關注點之一。

這很有趣，因為幾乎每個人都聽說過或讀過黑客攻擊，但是當涉及到我們的網站時，我們不知何故希望它不會發生在我們身上。 因為為什麼黑客會對我們本地業務的一小部分感興趣，對吧？ 錯誤的。 WordPress 安全性非常重要，因此，您的 WordPress 網站需要得到充分保護和固定。 一起來看看原因吧！

黑客為何以及如何入侵您的網站？

在我們討論防止它發生的方法之前，了解網站黑客背後的原因很重要。 黑客對您的網站感興趣的原因可能有多種，即使它是小型企業網站甚至是個人博客。

除此之外的其他負面影響是：

既然我們已經簡要地確定了您的網站可能被黑客入侵的原因，那麼讓我們看看黑客如何從數以百萬計的在線可用網站中找到並定位您的特定網站。

黑客攻擊您的網站的可能性極小，對吧？ 畢竟，這只是網站海洋中的一滴水。 好吧，很抱歉打破你的泡沫，但那是錯誤的！

黑客不是手動完成的。 黑客使用機器人/程序，其唯一功能是尋找易受攻擊的網站。 這些程序通常在雲服務器上運行，根據需要設置和銷毀它們，幾乎沒有留下任何痕跡。 它們旨在每小時發現數千個網站。 在找到一個站點時，它會搜索漏洞，這些漏洞在 WordPress 及其插件中不斷被發現。 它們也可能是由於人為錯誤引起的，例如使用容易猜到的密碼或不可靠或不可靠的主機。

因此，保護您的 WordPress 網站不是一種選擇，而是一種必要，我們在這裡幫助您完成整個過程！

保護 WordPress 的指南

在接下來的一長串安全措施結束時，您將有能力讓您的 WordPress 網站得到充分保證。 在保護網站安全方面，每個人都需要採取具體的主要措施。

這些都是不可忽視的，而且大多是簡單的東西，它們將大有幫助，並保持您的 WordPress 相當安全。 對於那些對您的網站的安全性非常偏執並且不介意加倍努力以保持其極其安全的人來說，還有另一套措施。

讓我們首先討論前一組措施，即所有網站所有者應執行的必要安全任務：

更改默認用戶名

保護 WordPress 的最簡單和最快的方法之一是將默認的“管理員”用戶名更改為不容易猜到的名稱。 理想情況下，您應該在安裝 WordPress 期間更改您的管理員用戶名，但如果您還沒有這樣做，您可以使用 phpMyAdmin 或通過在數據庫上運行標準化查詢語言腳本來重命名它。

無論哪種方式，這個簡單的 WordPress 安全黑客都將幫助您的網站避開大量隨機黑客攻擊。

使用強密碼，不要在不同平台上重複使用

黑客們都知道，我們作為人類試圖保持安全​​和相同的密碼，因為我們往往會忘記它們。 盜版者知道如何利用這一點，他們通常會列出最常用的密碼，他們會反复嘗試直到找到。 這種技術稱為暴力破解密碼。 因此，保持安全且複雜的密碼是保護 WordPress 的直接步驟。

要記住的另一件事是永遠不要重複使用密碼。 重用密碼的作用是，即使其中一個帳戶遭到入侵，黑客也可以訪問您的所有其他帳戶。 是的，記住這麼多不同的、複雜的密碼可能會給您帶來不便和麻煩，但為了幫助您解決這個問題，市場上的許多密碼管理器會幫助您存儲和保護您的密碼安全。 我們建議使用這些。

始終運行最新版本的 WordPress

更新您的 WordPress 至關重要，因為每次核心更新時，WordPress 都會修復其最近發現的安全問題。 很多時候，人們禁用 WordPress 核心更新是因為最新版本可能與某些插件不兼容。 但是要記住的關鍵是，被黑的網站比暫時損壞的插件更成問題。

不要更改 WordPress 核心

編輯 WordPress 核心源文件是一個糟糕的主意，因為它消除了將 WordPress 自動更新到最新版本的便利性，我們在前一點討論了這一點的重要性。 如果您更改了 WordPress 核心，更新到最新版本將使您失去這些更改。

那麼，如果您想更改 WordPress 的功能，您應該怎麼做？

寫一個插件就是答案。 它使您可以自由地做任何您想做的事情，而不必在 WordPress 核心上妥協。

這同樣適用於主題和插件。 任何對核心調整的嘗試都將導致無法更新到最新版本。 總而言之，總是有其他方法可以獲取您想要的功能，而更改核心不是可行的方法。

確保您的所有插件和主題都已更新

需要更新插件和想法的原因與保持 WordPress 更新的原因相同。 您有責任將它們更新到最新版本，無論您是手動還是自動更新，以保護您的網站免受黑客攻擊。

如果您使用從 WordPress.org 下載的插件，您可以啟用自動後台更新，對於任何其他商業插件更新，您將不得不通過他們的插件機制來處理它。 此外，請確保始終保持您的插件會員資格處於活動狀態以獲取最新更新。

現在，在更新主題時，您可能會擔心在執行更新時對主題所做的所有更改會發生什麼變化。 在更改主題時應該做的是通過“子主題”而不是直接對實際主題進行更改。

執行此操作時，您可以輕鬆地將主題更新到最新版本，而不會丟失迄今為止所做的任何更改。 要檢查哪些主題需要更新，請轉到 WordPress 中的“外觀”，然後轉到“主題”。 您還可以像使用插件一樣啟用自動後台更新。

始終僅從其官方來源下載插件、主題和腳本

從非官方來源以更優惠的價格或免費獲取主題和插件可能很誘人，但這樣做並不是一個聰明的主意。 這是因為許多盜版主題和插件被黑客錯誤地調整為他們執行邪惡計劃的後門。

您應該始終依靠安全的網站來找到高質量的插件和主題，以確保您的 WordPress 是安全的。 其中最常見的是 WordPress.org。 其他可靠的網站是 WordPress.com、ThemeForest.net、CodeCanyon.net 等。

您的網站應始終運行最新版本的 PHP

PHP 是 WordPress 的底層引擎，它提供了相當多的版本更新。

但根據全球 WordPress 統計頁面，幾乎 80% 的 WordPress 安裝運行在不再受支持的 PHP 版本上！ 這是一個令人擔憂的原因，因為首先，您的網站無法從最新版本的性能功能中受益，這也導致無法修復之前版本中發現的任何安全故障。

這就是為什麼必須確保您的站點運行最新版本的 PHP 的原因。

在更新 WordPress 核心時，插件和主題是一項非常明確的任務。 PHP 版本更新主要取決於您的託管服務器。 這是選擇安全託管服務器必不可少的原因之一。 它將通過您的 WordPress 安裝為您提供最新版本的 PHP。 安全的 WordPress 託管服務還將擁有一個積極主動的團隊，他們的工作是檢查您的網站面臨的最新漏洞並採取措施緩解這些漏洞。

僅通過受信任的網絡更新您的網站

誰不喜歡在機場甚至當地咖啡館等地方使用免費網絡 Wifi，對吧？ 但請記住，這些開放式 Wifi 連接很容易被窺探。 您應該避免通過這樣的網絡訪問您的 WordPress 管理站點。 尤其是在更新您的網站時，請始終使用受信任的系統，例如您家中或辦公室的系統。

使用防病毒軟件

如果您的桌面上碰巧有病毒，它可以通過將自身複製到您的網站上來迅速傳播。 這是病毒通常用來感染您的站點的一種方案。 然後它可以監視並訪問您的密碼，甚至您的銀行和個人詳細信息。 這就是為什麼您應該確保您的工作站使用的是可靠且更新的防病毒軟件。

使用 WordPress 安全插件保護您的網站

安全插件可讓您了解您的網站面臨哪些漏洞，並為您提供如何修復這些漏洞的指導。 使用插件是保護您的 WordPress 網站的一種簡單而安全的方法，它幾乎不需要您付出任何努力。 他們會進行掃描，並為您詳細審查您網站中跟踪的任何問題。

一些受信任的安全插件是 Total Security、Vulnerable Plugin Checker、iThemes Security Pro 和 Plugin Inspector。

備份您的網站

如果上述所有措施都失敗了，並且您的網站的安全性仍然受到威脅，那麼這一步將拯救您。

為您的站點創建和安排備份至關重要。 這些計劃的備份是站點安全策略中不可或缺的一部分，因為它可以確保如果您的站點受到威脅，它會輕鬆恢復到損壞之前的版本。

不僅在黑客攻擊的情況下，而且在發生事故或技術錯誤的情況下，備份可確保您可以立即恢復站點並再次運行。

我們的主要、基本安全措施列表到此結束！

我們現在已經到了第二部分，我們將為我們的安全狂熱者討論 WordPress 安全提示。 這適用於那些希望為其網站提供各種保護的管理員。  

確保您已設置 WordPress 秘密身份驗證密鑰

您將在 wp-config.php 中找到 8 個 WordPress 安全和身份驗證密鑰。這些只是任意變量，通過在數據庫中存儲的方式添加隨機元素，使推斷您的 WordPress 密碼變得更加困難。

讓我們看看如何使用它。

您不應該共享或公開這些密鑰。

限制登錄嘗試

我們已經討論過暴力破解以及黑客如何使用它來破解您的密碼。 由於這個原因，建立一種機制來限制登錄嘗試是必不可少的。

幸運的是，有一個插件可以為您做到這一點。 “限制登錄 WordPress”插件檢測到許多錯誤的密碼嘗試，並在特定時間內禁用進一步的嘗試，這會導致暴力破解失敗，從而提高您網站的安全性。

啟用兩因素身份驗證

因此，啟用 2FA 是一種加強登錄和逃避對登錄詳細信息的暴力攻擊的全面證明方法。

禁用 PHP 執行

當黑客獲得對您網站的任何訪問權限時，他們做的第一件事就是從目錄中執行 PHP。 明智的做法是完全禁用它。 然後，即使您的 WordPress 網站中存在一些漏洞，這種保護也會主動破壞黑客為阻礙您的網站所做的其他努力。

這是朝著 WordPress 安全邁出的重要一步，可能會導致某些可能需要它的主題和插件的損壞，但仍然建議在風險最高的目錄 wp-includes 和 uploads 中實現它。

您可以通過向 .htaccess 文件添加以下代碼來實現此保護：

禁用文件編輯

當我們仍處於創建網站的初始階段時，我們通常會使用插件和主題文件，因為默認情況下，WordPress 管理員可以編輯 PHP 文件。 但是，一旦我們的網站開發完成，我們將很少使用此編輯選項。

因此，一旦網站啟動並上線，建議禁用 WordPress 管理員的文件編輯。 這是因為即使黑客設法登錄到您的站點，他們也將沒有編輯權限，也無法更改文件來執行他們的邪惡計劃。 要禁用文件編輯，請在 wp-config.php 文件中插入以下命令：define('DISALLOW_FILE_EDIT', true);

隔離您的 WordPress 數據庫

如果您在同一個數據庫中創建所有站點，甚至其中一個站點遭到入侵，那麼託管在同一數據庫上的所有其他 WordPress 站點也面臨被黑客入侵的巨大威脅。 在安裝 WordPress 時，您應該始終創建一個新數據庫並為其提供單獨的數據庫名稱、數據庫和密碼。 確保這些與您使用的任何其他網站或登錄名不同。

這樣做的目的是，如果您的某個網站被黑客入侵，即使在同一個共享主機帳戶上，感染也將停止傳播到您的其他地方。

如果不使用，禁用 XML-RPC

應用程序可以通過稱為 API（應用程序編程接口）的東西訪問您的 WordPress。 為了簡單地向您解釋，XML-RPC 的一個示例是使用您的手機應用程序來更新您的站點。 還有一些使用 XML-RPC 功能的特定插件。

但是，如果您沒有使用任何第三方應用程序並且確定您的 WordPress 插件都沒有通過 XML-RPC 使用您的網站，那麼禁用它是明智的，因為 XML-RPC 可以用作破解您的地點。

保護您的 wp-config.php 文件

wp-config.php 文件是最關鍵的數據之一，它存儲了許多必要的配置設置，例如您的數據庫登錄詳細信息、哈希密碼鹽等。您不希望任何人侵入這裡，因此，安全措施必須採取保護這個關鍵的 WordPress 配置文件。

如果您尚未禁用 PHP 執行（在第 15 點中討論），請將此命令添加到您的 .htaccess 文件中：

安裝防火牆

為了簡單起見，Software Fireballs 可以阻止事物進入或阻止它們退出。 在這種情況下，它們有助於防止黑客接近您的網站（或您的網站方）。 您需要使用 Web 應用程序防火牆 (WAF)，而 WordPress 託管服務通常免費提供的最可靠和開源的防火牆之一是“ModSecurity”防火牆。
您可以了解您的託管服務是否提供此功能，如果提供，您可以使用並啟用它。

理想情況下，您還應該使用內容交付網絡防火牆 (CDN)通過快速提供豐富的資源來提高站點的性能。 CDN 還可以保護您的網站免受眾多 WordPress 安全問題的影響。

停止 PHP 錯誤報告

錯誤報告在開發網站時很有用，因為它可以讓您意識到錯誤並且您可以及時修復它們。 但是，當在一個正常運行的網站上啟用錯誤報告時，它為黑客提供了非常重要的線索，並使他們的工作比應有的舒適得多。 錯誤報告可以向任何尋找它的人提供重要的信息。

因此，一旦網站上線就禁用 PHP 錯誤報告可確保至少將因洩露有關您網站的敏感信息而導致的 WordPress 安全風險降至最低。 要禁用 PHP 錯誤報告，請按如下所述更改 php.ini 文件：

使用安全日誌來監控您的 WordPress 安全

查看您的日誌可以幫助您了解您的網站上發生了哪些攻擊，並讓您能夠阻止它們。 這是提高 WordPress 安全性的好方法。 舉個簡單的例子，如果您發現大多數黑客攻擊來自特定區域，可能是您的網站不支持的區域，您可以使用防火牆阻止該區域。 建議使用安全審計插件來保存定期審計日誌。

就這樣！

至此，我們結束了全面保護您的 WordPress 網站的冗長而全面的指南。 毫無疑問，如果您之前沒有考慮過確保您的網站安全，那麼這份清單可能會讓您有點不知所措。 但好消息是，這些步驟中的大多數都不需要您付出很多努力來執行它們，並且隨著時間的推移，它將成為您的 WordPress 維護程序的常規部分。 公平地說，你們中的大多數人不會完成上述所有步驟，這沒關係。 但是，您採取的這些安全措施越多，您的網站就越安全。 你現在的一點額外努力將有很長的路要走！