提高 WordPress 安全性的 12 種重要方法

WordPress 是世界上最受歡迎的網站建設者之一。 它被數百萬人使用，包括世界上一些最大的品牌和組織。

然而，巨大的責任伴隨著巨大的力量，其中包括確保您的 WordPress 網站盡可能安全。 近年來，一些知名的 WordPress 網站遭到黑客攻擊，因此必須採取措施保護您的網站。

Sucuri 的一項研究發現，43% 的 WordPress 網站容易受到攻擊。

以下是一些提高 WordPress 安全性的方法。

讓 WordPress 保持最新狀態

為了提高 WordPress 安全性，您可以做的最重要的事情之一就是讓您的 WordPress 網站保持最新狀態。

這意味著更新 WordPress 本身以及您安裝的任何主題和插件。 WordPress 的新版本會定期發布，每個新版本都包含針對已發現漏洞的安全修復程序。

要更新 WordPress，請轉到儀表板 > 更新頁面，然後單擊“立即更新”按鈕。

更新主題和插件也很重要。 大多數主題和插件開發人員會定期發布更新以修復安全漏洞。

您可以從儀表板 > 更新頁面更新您的主題和插件，或安裝 WP Updates Notifier 插件，當更新可用時，它會通過電子郵件發送給您。

隱藏 WordPress 版本號

隨著 WordPress 變得越來越流行，黑客越來越多地瞄準它。

他們尋找的東西之一是 WordPress 版本號，它顯示在每個 WordPress 網站的源代碼中。 黑客可以通過了解您正在運行的 WordPress 版本來針對特定漏洞。 此外，一些 WordPress 安全插件僅適用於特定版本的 WordPress。

因此，隱藏您的 WordPress 版本號至關重要。 大多數 WordPress 主題都有執行此操作的選項，或者您可以安裝像 WP-Hardening Plugin 這樣的插件。

您也可以通過將此代碼粘貼到您的 functions.php 文件中來手動隱藏它：

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


使用強密碼

提高 WordPress 安全性的另一個重要方法是使用強密碼。

強密碼應至少有八個字符長，並且包含大小寫字母、數字和符號的混合。 為您訪問的每個網站使用不同的密碼也很重要。 這樣，如果一個網站被黑客入侵，您的其他帳戶將是安全的。 您可以使用 LastPass 或 KeePass 等密碼管理器來幫助您生成和記住強密碼。

Imperva 的一項研究發現，使用強密碼是防止暴力攻擊（一種常見的 WordPress 黑客）的最有效方法。

使用密碼生成器網站生成高強度密碼。 以下是一些最好的密碼生成器：

• 最後一次
• 諾頓
• 1密碼

使用雙重身份驗證

雙重身份驗證（也稱為兩步驗證）是額外的安全層，可以幫助保護您的 WordPress 網站。

使用雙重身份驗證時，您需要輸入密碼和第二個代碼，通常由智能手機上的應用程序生成。 這樣，即使有人設法猜到了您的密碼，他們也無法登錄，除非他們也有您的智能手機。

默認情況下，WordPress 不包含雙重身份驗證，但您可以安裝像 Google Authenticator 或 Duo Security 這樣的插件。

但請記住，如果您丟失了智能手機，雙因素身份驗證將不起作用，因此必須有備用方法，例如備用電子郵件地址或電話號碼。

限制登錄嘗試

提高 WordPress 安全性的另一種方法是限制登錄嘗試。

默認情況下，WordPress 允許無限次數的登錄嘗試，這讓黑客有充分的機會猜測您的密碼。 通過限制登錄嘗試，您可以幫助防止暴力攻擊。 一些插件允許您執行此操作，例如限制登錄嘗試和登錄鎖定。

Wordfence 的研究表明，限制登錄嘗試可以阻止 99.99% 的暴力攻擊。

此外，如果您忘記了密碼，請選擇一個不會鎖定合法用戶（例如您自己）的插件。

使用 SSL

SSL（安全套接層）是一種對網站和用戶瀏覽器之間傳輸的數據進行加密的協議。 這意味著如果有人試圖攔截數據，他們將無法讀取它。 過去，電子商務網站主要使用 SSL 來保護信用卡信息。

但如今，越來越多的 WordPress 網站正在使用 SSL 來保護敏感數據，例如登錄憑據和聯繫表單提交。 您可以通過幾種不同的方式將 SSL 添加到您的 WordPress 網站。 例如，一些網絡託管公司提供免費的 SSL 證書，或者您可以從 Symantec 或 Comodo 等公司購買證書。 獲得 SSL 證書後，您需要安裝並激活 WordPress SSL 插件。

限制對插件目錄的訪問

WordPress 插件目錄是您服務器上的一個文件夾，其中包含您在站點上安裝的所有插件。

默認情況下，任何人都可以訪問此文件夾並查看他們使用的插件。 如果黑客知道您正在使用哪些插件，他們就可以針對這些插件中的任何漏洞。 因此，必須限制對插件目錄的訪問。 您可以通過在 .htaccess 文件中添加一行簡單的代碼來完成此操作。

如果您不習慣在服務器上編輯文件，您可以安裝 iThemes Security 之類的插件，它會為您添加代碼。 如果您確實編輯了 .htaccess 文件，請確保在進行任何更改之前創建備份。

更改管理員用戶名

安裝 WordPress 時，默認管理員用戶名是“admin”。 這不是很安全，因為黑客很容易猜到。

因此，安裝 WordPress 後您應該做的第一件事就是更改管理員用戶名。 您可以創建一個具有管理員權限的新用戶，然後刪除舊的“admin”用戶。 或者，您可以安裝 WP Security Scan 之類的插件，該插件將掃描您的站點以查找任何不安全的設置，包括默認的管理員用戶名。

更改管理員用戶名後，退出您的 WordPress 帳戶並使用新用戶名重新登錄。 許多人忘記了這樣做，並想知道為什麼他們無法訪問他們的 WordPress 網站。

在您的登錄屏幕上使用 CAPTCHA 或 reCAPTCHA

CAPTCHA（完全自動化的公共圖靈測試以區分計算機和人類）是一種挑戰-響應測試，用於確保只有人類才能訪問網站或執行某些操作。 reCAPTCHA 是 Google 擁有的 CAPTCHA 版本。 它比傳統的 CAPTCHA 更安全，因為它使用先進的風險分析技術來防止自動化軟件參與您網站上的濫用活動。 要將 CAPTCHA 或 reCAPTCHA 添加到 WordPress 登錄屏幕，您可以安裝 WP-reCAPTCHA 之類的插件。

安裝並激活插件後，您需要使用 reCAPTCHA 註冊一個免費帳戶。 然後，您將獲得一個站點密鑰和一個秘密密鑰，您需要在插件設置中輸入它們。

自動註銷空閒用戶

當您登錄 WordPress 網站時，即使您關閉瀏覽器窗口或離開計算機，您也可以無限期地保持登錄狀態。 這不是很安全，因為這意味著任何可以訪問您的計算機的人也可以訪問您的 WordPress 網站。

您可以安裝一個像 Idle User Logout 這樣的插件來解決這個問題。 該插件會在一段時間內自動註銷非活動用戶。

例如，您可以將其設置為註銷 15 分鐘未活動的用戶。 這樣，即使有人確實可以訪問您的計算機，他們也無法保持登錄到您的 WordPress 網站。 如果您有共享計算機或使用公共 Wi-Fi，則插件是必不可少的。

使用 SFTP 連接到您的服務器

當您連接到您的 WordPress 站點時，您正在連接到您的服務器。

默認情況下，大多數人使用 FTP（文件傳輸協議）連接到他們的服務器。 但是 FTP 是一種不安全的協議，因為它不會加密您的數據。 這意味著任何監控連接的人都可以看到您的用戶名和密碼。

因此，使用 SFTP（安全文件傳輸協議）是必不可少的。 SFTP 是一種加密您的數據的安全協議，因此有人攔截您的連接並竊取您的憑據要困難得多。 要使用 SFTP，您需要生成一個 SSH 密鑰對並將公鑰添加到您的服務器。 大多數託管服務提供商都有如何執行此操作的說明。

監控惡意軟件

惡意軟件是可以感染您的 WordPress 網站並導致許多問題的惡意軟件。

例如，惡意軟件可以將您的訪問者重定向到其他網站，或者它可以在未經您許可的情況下在您的網站上展示廣告。 惡意軟件還可以竊取密碼和信用卡號等敏感信息。 因此，定期掃描您的 WordPress 網站以查找惡意軟件並刪除您發現的任何內容非常重要。 有幾種不同的方法可以做到這一點。 例如，您可以使用 Wordfence Security 之類的插件，它會掃描您的網站以查找惡意軟件並自動刪除它發現的任何內容。

或者，您可以使用像 Sucuri SiteCheck 這樣的服務，它會掃描您的網站，然後向您提供它發現的任何惡意軟件的報告。

結論

這些只是提高 WordPress 安全性的眾多方法中的一部分。 通過採取這些措施，您可以幫助保護您的 WordPress 網站免受黑客和其他惡意用戶的侵害。 其中許多技巧很容易實施，因此沒有理由不採取行動。 請記住，您的 WordPress 網站的安全性取決於您所做的一切。 因此，請不要等到為時已晚才開始考慮安全性。 立即採取行動，幫助保護您的 WordPress 網站安全。