WordPress 安全性 – 每個網站所有者的基本提示

您是否知道每分鐘對 WordPress 網站的攻擊超過 90,978 次？ 幸運的是，儘管這個數字聽起來很大，但如果您遵循基本的安全規則，您可以防止大多數潛在的攻擊，並使您的網站能夠抵禦攻擊。

或者至少讓入侵變得如此困難，以至於黑客寧願瞄準成千上萬個安全性差的黑客中的一個。 這並不難做到，特別是如果您考慮到許多攻擊是在自動漏洞掃描程序找到潛在方法之後執行的。那麼，如何使您的 WordPress 網站安全性飆升？ 以下是 6 個基本技巧。

1. 保持您的 WP 安裝、主題和插件更新

一個不費吹灰之力但經常被忽視的人。 據WordPress.org稱，所有WordPress網站中有1/3尚未更新到最新版本。 最重要的是，幾乎 2/3 的 Web 主機使用早於 7.0 的 PHP。 過時的 WordPress 安裝和服務器框架對您的網站構成了巨大威脅，並增加了成功入侵的風險，因為黑客會嘗試使用未修補的漏洞訪問您的網站。

事實上，如果您將所有主題、插件以及 WordPress 保持最新，您將比 75%的所有合法網站更安全——因為據估計，四分之三的網站包含未修補的漏洞。 幸運的是，獲取最新版本的 WP 插件、主題和 WP 本身非常簡單——只需點擊幾下按鈕即可。

同時，確保您的服務器運行最新的 PHP 版本可能會更加耗時。 這就是為什麼最好聯繫您的託管支持並要求他們為您提供有關如何自己升級它的指南，甚至要求他們為您升級它。

2. 安裝惡意軟件掃描程序和防火牆

如果您認為只有您的 PC 會受到惡意軟件、病毒和暴力攻擊的影響，那您就大錯特錯了。 不僅 WordPress 會受到影響，事實上，它是受感染最多的網站 CMS ，這很可能與其受歡迎程度有很大關係。

好消息是，有許多免費和付費的 WordPress 防火牆和惡意軟件掃描程序。 最受歡迎的之一是Wordfence Security ，它提供惡意軟件掃描和防火牆，並提供免費和付費版本​​。

3.獲取VPS並將其變成堡壘

與共享主機相比，VPS 允許您控制其配置的各個方面。 多虧了這一點，您不僅可以使您的網站更快，還可以確保其託管環境（服務器）得到適當保護。

在非託管 VPS 上，您可以選擇操作系統（例如，CentOS 被認為比 Ubuntu 更安全）、防火牆和您安裝的其他軟件，例如惡意軟件掃描程序（您應該在 WordPress 和服務器本身）。

此外，通過將 WordPress 安裝在具有 root 訪問權限的 VPS 上，可以輕鬆更改諸如 MySQL 密碼或重命名 WordPress 文件夾並重新配置其文件以減少潛在攻擊的機會。 雖然其中一些也可以使用安全插件來完成

自然地，為了獲得虛擬專用服務器的所有好處（速度、靈活性和可擴展性等等），您應該從一家提供不同定價套餐的公司租用一台服務器，如果您需要更多資源，這些套餐很容易升級。 你可以在這裡看到一個很好的例子。

4.隱藏/wp-admin和你的WordPress安裝

為什麼首先告訴全世界您在 WordPress 上運行？ 雖然它是一個很棒的內容管理系統，但您不必吹噓運行它。 特別是它為潛在的入侵者提供了有價值的信息。 例如，除非您隱藏 WordPress，否則諸如What WordPress Theme is That 之類的網站？ 不僅披露有關您使用的主題的信息，還披露有關某些插件的信息。 這就像告訴黑客嘿，你可以這樣進入：

那麼，您如何隱藏您的 WP 站點信息，以免被潛在入侵者窺探？ 幸運的是，您根本不需要任何技術技能。 在有需求的地方，有 WordPress 插件，您可以使用它來做到這一點——最受歡迎的是Hide My WP by the wave，它可以隱藏您的登錄頁面，並使您的 WordPress 網站的詳細信息不可見（不幸的是，有沒有免費版本）。

或者，您可以獲得免費版本的iThemes Security ，它沒有為您提供盡可能多的隱藏選項（儘管它允許您隱藏登錄頁面），但具有許多其他安全特權。

5. 更改您的 WP 用戶名並保持隱藏

就像您不應該使用密碼一詞作為您的實際密碼一樣，保留默認的 WordPress 用戶名admin可能會產生可怕的後果。 最後，這可能是任何潛在入侵者嘗試猜測的第一件事，因此通過使用它，您可以讓他們非常容易地找出您的管理員帳戶的詳細信息。

如何改變它？ 有兩種方法可以做到這一點。 您可以尋找可以為您完成的插件或手動方式。 就個人而言，我更喜歡後者——因為它既快速又簡單，任何人都可以做到。 但是，因為 WordPress 沒有為您提供開箱即用的選項來更改它，所以您需要使用一個小的解決方法。 首先，登錄您的站點並轉到用戶 > 添加新的。

在那裡，插入新管理員帳戶的用戶名，並確保將用戶角色設置為管理員。 完成後，單擊顯示密碼並更改或複制默認（安全）密碼。

創建用戶後，退出站點，然後使用新用戶登錄。 轉到用戶 > 所有用戶並刪除舊的 WordPress 管理員帳戶。 但是，這還不是全部。 您需要一個帳戶來發布您的帖子，對嗎？ 而不是使用管理員發布它們，由於永久鏈接，它的用戶名很容易猜到，（除非你玩弄它們），繼續創建一個單獨的帳戶。 這一次，不是將其角色設置為管理員，而是將其設置為沒有管理員權限的角色（例如作者或編輯者）。

完成後，繼續將所有現有帖子的作者設置為新用戶（您可以在每篇文章下的所有帖子>快速編輯中執行此操作）。

6. 保護現有的 WordPress 用戶帳戶

您是否與虛擬助手一起工作或擁有可以訪問您的 WordPress 網站的員工？ 在這種情況下，最好不要讓他們訪問所有插件和數據。 最後，他們可能不必配置您網站上的所有插件。 而且，除非他們是值得信賴的開發人員，否則他們絕對不應該有權訪問主題編輯器。 如何限制他們的訪問？ 其中一種方法是創建他們的帳戶並將他們的角色設置為貢獻者、作者或編輯的默認角色之一。

但是，如果您想阻止他們超過這些角色限制，同時允許他們訪問默認設置未提供給他們的網站部分，該怎麼辦？ 在這種情況下，您可以使用免費插件，例如用戶角色編輯器，它允許您創建新角色，並設置他們可以訪問網站的哪些元素。

7. 通過審計日誌監控活動

如果您不能僅僅限制您的用戶訪問您網站上的大多數易受攻擊的元素，而是想至少知道誰更改或編輯了什麼內容，以防出現任何問題，該怎麼辦？ 要以綜合審核日誌的形式獲得概覽，您可以安裝WP 安全審核日誌。 它的免費版本足以讓您方便地了解員工和 VA 的活動：

8. 使用 Google Authenticator 讓登錄更安全

說到用戶，您還可以做一件事來使您的網站更加安全。 想像一下，您的 WordPress 憑證（或您員工的憑證）被盜。 在這種情況下，根據您員工的用戶角色，入侵者可以訪問整個 WP 網站。 為防止這種情況發生，請考慮在登錄時添加雙重身份驗證。 最簡單的方法是Google Authenticator 插件。 完成後，即使有人獲得了您的用戶名和密碼，如果沒有 Google Authenticator 應用程序提供的代碼，他們也將無法登錄。

正如您所看到的，儘管 WordPress 被認為是所有流行的內容管理系統中最易受攻擊的內容管理系統，但要最小化甚至完全擺脫最常見的風險並保護您網站上最瀕危的元素並不難。

如果您遵循上述提示，請在向他人提供訪問您的網站時保持謹慎，並保持您網站的元素是最新的，您的網站以及它，您的企業將免受任何潛在入侵者的侵害。 更不用說您可以節省多少，只是防止了安全漏洞。