WordPress網站安全，你需要知道的

已發表: 2022-07-06

WordPress 網站安全有點像健康保險——在您絕對、肯定需要它之前，您永遠不會真正擔心它，而獲得它為時已晚。

你可能會想，“不，這永遠不會發生在我身上。”

好吧，最好再想想！

每天，託管服務器被炸毀，黑客入侵帳戶，網站神秘消失，整個企業徹底消失。

據 Sophos Labs 稱，每天大約有 30,000 個網站被黑客入侵。

還害怕嗎？你應該。

也就是說，除非您已經獲得了適當的網站保護和安全性。如果您不這樣做，那麼本文可能會對您的在線未來產生巨大影響。

沒有像現在這樣讓您的網站完全安全並免受不必要的攻擊、黑客和其他意外災難的時候了。

現在我希望我可以說，如果您實施我在本文中分享的所有內容，您將完全安全地遠離您的網站，但那將是謊言。
但是實施我分享的內容，肯定會降低發生某些事情的機率。

在本文中，我將專門討論使用 WordPress 平台設置的網站和博客。

有許多可用於 WordPress 的出色工具，可以比以往更輕鬆地自動化您的網站備份和保護。

繼續閱讀有關備份您的網站、使用插件防止垃圾郵件、搜索您的網站文件以尋找黑客入侵跡像以及在您的網站被黑客入侵時採取的措施的提示。

並且不要拖延！

我想非常強烈地敦促您不僅要立即閱讀它，而且要立即採取行動並在今天保護您的網站。

如果你不這樣做，你可能會後悔，而且可能遲早會後悔。

所以讓我們開始吧！

為什麼您必須保護您的 WordPress 網站

您是否知道您的網站託管在計算機上？

是的，“服務器”這個詞只是對坐在辦公樓或倉庫某處的 PC 的一個花哨術語。

大多數人沒有意識到互聯網並不像看起來那樣“虛擬”。

感覺就像是在網絡空間中，但您的網站實際上是計算機上的一堆文件，位於完全物理的建築物的某個地方。

您已經知道計算機可能會遇到技術問題，因為您自己的計算機可能已經經歷過多次故障。

因此，您的託管服務器（也是一台計算機）也可能會遇到麻煩。它可能會超載並崩潰，也可能會被黑客入侵。

有時它會模糊，需要重新啟動。這些事情中的任何一個都可以將其關閉很短甚至很長一段時間。

許多人認為他們的託管公司有責任保證他們的網站安全。

不幸的是，通常情況並非如此，我敢肯定，如果您現在就去仔細檢查您簽署的託管協議，您會發現保護您的網站和業務的責任完全在於您。

我將很快介紹它的原理，但讓我們從討論原因開始。

為什麼要保護您的網站免受黑客和其他意外問題的侵害？

顯而易見的答案是，您不想失去為建立網站和業務所做的所有努力。

相信我，這是真實發生的。

幾年前，在我所屬的一個策劃者中，我親眼目睹了對問題毫無準備以及在安全設置中存在漏洞可能會產生毀滅性的後果。

我網絡中的一些女性在託管服務器意外停機 24 小時後失去了數週的工作和整個網站！

存在主機無法立即解決的技術問題。

起初，有些人很生氣，他們的主人讓這種事情發生，但後來，他們慢慢意識到，他們真的應該有自己的安全措施。

以下是您的 WordPress 網站可能遭到入侵的幾種方式：

網站託管問題
黑客添加代碼或關閉您的網站
惡意員工或承包商擾亂您的網站
升級會產生錯誤並關閉您的網站
網站莫名其妙地消失了（真實的故事——這發生在我的一個客戶身上！）

我想說，這些可能性中的任何一種都是採取行動的充分理由。

不要將價格作為選擇虛擬主機的唯一因素。您的關鍵業務資產值得擁有最好的。如果您想了解我的推薦，請與我們聯繫。

WordPress 是否脆弱且容易受到攻擊？

有些人認為 WordPress 不是最好的安全平台，因為它是開源的（免費），這意味著黑客可以輕鬆訪問該軟件以發現其安全漏洞。

我完全不同意這種推理。

是的，WordPress 是免費的，黑客可以輕鬆訪問它，但我們在開玩笑嗎？
黑客喜歡挑戰，他們可以輕鬆下載他們想要的任何網站設計軟件的盜版副本。 WordPress 是一個免費、開放的平台這一事實實際上使其更加安全。

原因可以總結如下：

成千上萬的人參與了更新軟件、創建插件和製作易於使用的模板等工作。 這是一個巨大的社區努力。

這意味著一旦出現問題，幾乎立刻就會有人發現它。 當他們這樣做時，WordPress 的創建者會努力快速地解決問題，並且每次他們還會發布一個全新的安全更新。
只需將這種奉獻精神與其他更新頻率低得多、社區小得多的公司進行比較，您就會看到 WordPress 的優勢和價值。

可能導致您的 WordPress 網站崩潰的常見問題

是時候深入了解您的網站可能發生的事情的血腥細節了。以下是最常見的問題，它們可能會使您的網站完全癱瘓或導致您希望避免的問題。

你被黑了！

讓您的網站被黑絕對是所有潛在網站問題中最令人恐懼的。您不希望您的網站內有人亂搞和破壞東西。這很像有人闖入你的房子，拿走東西，破壞東西或完全摧毀這個地方。

黑客可以對您的網站做很多事情，包括：

添加您看不到的不需要的鏈接。
添加您可以看到的不需要的鏈接。
添加攻擊訪問者計算機的病毒。
完全刪除您的網站（甚至用帶有骷髏和交叉骨圖像的漂亮“您已被 XXX 入侵”消息替換它）。
刪除網站文件。
控制您的網站並將您拒之門外。

您的託管公司的問題

如您所知，每個網站都託管在計算機上。

我們都知道，作為一項人造技術，計算機有時會變壞。

請不要錯誤地完全依靠您的託管公司來保護您的網站，並期望他們永遠不會遇到任何技術問題。

您的託管公司的易受攻擊的部分是他們託管您網站的服務器。 它可能會崩潰、被黑客入侵甚至被要求關閉。

我的舊託管公司最近不得不處理後者。市政府要求他們關閉服務器大約八小時。可以想像，這給許多網站所有者帶來了巨大的不便和潛在的收入損失。

但至少，託管公司知道它即將到來，一旦他們能夠重新打開服務器，事情就會恢復正常。

但是，如果一家公司出現意外的服務器問題，則損害可能會變得更加不可預測 - 並且持續時間更長。

如果您沒有最近的備份，您最終可能會丟失有價值的數據甚至整個網站。

服務器著火的情況並不少見。

這可能由於各種原因而發生，但就您而言，這又是一個意想不到的問題，如果您沒有做好準備，可能會導致徹底的災難。

但是，如果您準備好了，這可能只是一種不便。從現在開始，您將負責。

其他潛在的託管問題包括糟糕的客戶服務。

您的需求可能超出他們的能力，或者他們可能無法提供您期望的那種質量。

準備好備份並方便使用是個好主意，以便在需要時可以快速切換主機。

某人或某事弄亂了您的 WordPress 網站

可能是您，也可能是您的網站管理員，但在您添加插件、升級主題或更新到最新版本的 WordPress 時，您的網站也很可能會無意中搞砸。

如果您沒有做好準備，您可能會失去整個網站。

重要提示：在進行任何類型的更新之前，您應該始終備份您的站點，如果您準備好不必擔心備份，那麼註冊我的 Geek in Your Pocket 服務是一個理想的解決方案。

心懷不滿或笨拙的團隊成員

這可能不是一個明顯的問題，但它可能是一個真正的威脅。

無論您是與虛擬助手一起工作，還是辦公室中有一名員工在您的網站上工作，您都希望知道限制他們在 WordPress 中的能力以匹配他們的職責（以及您對他們的信任程度）是很重要的。

例如，您的一位常規投稿作者沒有理由應該擁有管理員權限並且能夠更改您網站的主題或安裝新插件。

在您的網站上使用的頂級 WordPress 安全插件

WordPress 的一個明顯優勢是它擁有一個由非常忠誠的開發人員組成的整個社區，他們一直在創建新的插件（附加組件）。

更好的是，WordPress 的創建者、開發人員和用戶在安全性方面都非常勤奮。是的，黑客既快速又聰明，但整個社區都盡最大努力保持領先地位。

您可以使用許多安全插件來阻止黑客和其他對您網站的威脅。我沒有足夠的空間來涵蓋所有內容，但我列出的內容將對確保您的網站安全大有幫助——只要您安裝和使用它們！

維護您的網站的我的 WordPress 插件建議

用於備份的 WordPress 插件

上升氣流加

這個具有升級選項的強大免費插件將對您的站點進行完整備份。您可以安排它每天、每週或每月進行備份，並將這些備份通過電子郵件發送給您或保存到外部驅動器。這是目前我最喜歡的插件。

WordPress插件來對抗垃圾郵件

Akismet – Akismet 是已經隨 WordPress 一起安裝的程序。 您所要做的就是激活它。但是，您需要獲取 API 密鑰才能執行此操作，該密鑰可以從 WordPress.org（免費）獲得。一旦正確激活，Akismet 將過濾掉您的垃圾評論並將它們直接發送到垃圾箱。它工作得很好。 Akismet 對大多數使用是免費的（每月收入低於 500 美元的博客被認為是“個人”使用），但對高流量有利可圖的博客（“商業”使用）收費。抓住插件

用於登錄保護的 WordPress 插件

對您網站的暴力攻擊試圖通過一遍又一遍地嘗試登錄來猜測您的登錄信息。這是由自動化機器人完成的，因此可以非常持久。當然，您的第一道防線是擁有不易被猜到的登錄信息（管理員未命名為“admin”和強密碼）。之後，您將需要使用其中一個插件來暫時鎖定討厭的機器人的計算機。

登錄鎖定
限制登錄嘗試

其他安全問題的 WordPress 插件

Shield Security – 目前我最喜歡的安全插件，為保護您的網站的所有事情提供了一個很好的演練，為您提供報告等等。更好的是，您每年只需 12 美元即可升級！（在撰寫本文時）
iThemes Security – iThemes Security 用於鎖定 WordPress、修復常見漏洞、阻止自動攻擊並加強用戶憑據。
WordFence – Wordfence 類似於 iThemes，有助於鎖定您的網站，使其難以受到攻擊和黑客的攻擊。當您遇到 DDOS 攻擊或試圖進入您網站的人的過度登錄嘗試時，它也會提醒您。這是一個非常受歡迎的插件，他們網站上的內容是頭等大事。我唯一的警告是我發現它似乎與其他插件有相當多的衝突，它會降低你的性能。

WordPress 插件提示

當您考慮向您的網站添加新插件時，這些提示可以幫助保護您的網站。

堅持使用 WordPress.org

在搜索和下載插件時，如果您堅持使用 WordPress.org，您是最安全的。如果您從任何其他來源或網站獲取插件，請確保您是從受信任的來源獲取的。插件可以在您的 WordPress 安裝中創建漏洞，並在不知不覺中允許問題出現。

讓他們保持更新

優秀的插件創建者會讓他們的插件保持最新。您將在您的 WordPress 安裝中收到需要更新各個插件的通知。立即執行此操作！

保護您的 WordPress 網站是一個持續的過程。

你能做的最糟糕的事情就是看著這份清單，感到不知所措，什麼也不做。只需選擇一件事即可開始，一切就緒，然後繼續下一步。

或者，如果您只是沒有時間自己做這件事，請將其外包。正是出於這個原因，我們為客戶提供網站維護計劃。

WordPress 安全性很重要。

黑客或服務器崩潰不會等到您騰出時間來完成這項工作。 花點時間讓自己立即使用其中一些很棒的插件。

如何備份您的 WordPress 網站

好的！我想我已經說服您備份您的 WordPress 網站非常重要，對嗎？

不僅如此，我還希望我已經說服你，這是絕對的，絕對是不可談判的。

在我向您展示一些備份網站的方法之前，我認為討論使您的 WordPress 網站運行的不同部分很重要。備份您的網站時，您需要確保將所有這些部分都準備好，否則您將無法獲得完整的備份。

您的 WordPress 網站由以下部分組成：

WordPress 文件：包括使您的 WordPress 安裝工作的所有 PHP 和 CSS 文件。它還包括您添加的任何內容，例如您的主題、插件、圖像以及您可能已上傳的任何其他文件。
數據庫：數據庫是您的頁面和帖子的存儲位置。
其他文件：如果您在 WordPress 之外上傳了任何內容（通過 ftp、cPanel、Dreamweaver 等），那麼這些文件將與您的實際 WordPress 站點分開。

因此，讓我們深入了解它，並確切地討論您如何備份您的 WordPress 網站。

選項 1：cPanel 備份

此步驟要求您的主機帳戶中有 cPanel。大多數安裝了 WordPress 的人都會使用 cPanel 來執行此操作。 cPanel 允許使用簡單腳本或 Fantastico 程序進行簡單的腳本安裝過程。如果您沒有 cPanel，請諮詢您的託管公司，看看他們是否有可以在他們的系統中執行的手動備份選項。

要進行 cPanel 備份，請執行以下步驟：

通過您的主機登錄到 cPanel。
滾動到“文件”>“備份嚮導”。
點擊“備份”。

然後系統將開始備份您的整個網站和所有文件。這可能需要一些時間，具體取決於您擁有的文件數量。

當您的備份準備就緒時，cPanel 通常會向您發送電子郵件。然後您需要做的就是重新登錄您的 cPanel 並下載您的備份。

我建議您保存最近的三個備份。如果您的網站損壞了一段時間並且您唯一的備份包含這些相同的壞文件怎麼辦。將備份存儲在便攜式硬盤驅動器上是一個聰明的主意（這樣您就可以輕鬆地將其移動到另一台 PC 上，或者在您從下一場颶風中撤離時隨身攜帶）。

進行手動備份的問題之一是您可能會忘記。因此，雖然我絕對建議您按照可以製定的任何計劃進行手動備份，但我不建議您將其作為唯一的備份方法。

選項 2：WordPress 插件備份

有一些插件可以讓您備份整個網站。 UpDraft Plus 就是這樣一個插件。

您可以對整個 WordPress 安裝和所有網站文件進行完整備份。

這是如何做到的：

下載並安裝 UpDraft Plus
點擊左側菜單中的“Updraft Plus”。
完成初始設置 - 來自 WPcrafter 的這段視頻有一個很好的演練。
進行完整備份並將其下載到您的計算機（用於遠程存儲主機服務器）。
通過單擊設置部分中的“計劃”來設置計劃備份。
選擇要發送備份的位置，然後保存。

現在您有兩種簡單的方法來備份您的整個網站。我建議您同時使用兩者並至少保存最後三個備份，以便獲得完整的保護。

WordPress 安全更新是不可協商的！

運行 WordPress 網站不是“一勞永逸”的交易。

如果您想保護您的網站免受黑客和其他潛在問題的侵害，您需要確保跟上軟件更新，其中包括安全更新。

如前所述，WordPress 正在不斷發展。這是一件非常好的事情，因為您可以獲得最前沿的特性、功能和安全性。但也有一個缺點：您必須跟上更新以確保您的網站或博客的安全。

幸運的是，跟上更新並不是那麼困難。

當您登錄到您的 WordPress 儀表板時，如果您需要更新 WordPress 或其中一個插件，這應該是非常明顯的。

在上圖中，您會看到更新鏈接旁邊的數字是可用的插件、主題或 WordPress 核心更新的總數。並且，頂部的黃色條顯示新版本的 WordPress 已經發布。

這最終的網站清單任何網站所有者

維護 WordPress 網站所需了解的一切

立即獲取您的副本

WordPress 更新

如果有一個主要的 WordPress 更新可用，它會顯著顯示在儀表板的頂部，並且幾乎要求您進行更新。

雖然 WordPress 更新非常可靠，幾乎沒有錯誤，但在單擊“請立即更新”鏈接之前，您應該始終進行完整的站點備份。

在不太可能（但不可避免）出現問題的情況下，您和您的託管服務將感謝您的幸運星，因為您有完整且及時的備份可用。

完成完整站點備份（包括下載到您的計算機）後，單擊“更新”或“請立即更新”鏈接。

除非您的託管服務指示您這樣做，否則請使用“自動更新”按鈕更新您的網站。它快速、簡單且堅如磐石。

關於更新 WordPress 插件的重要說明

就像在安裝新插件之前一樣，請務必在安裝更新之前閱讀插件的更改。很多時候，您可能不一定想要插件的行為發生變化。

關於更新 WordPress 主題的重要說明

如果您對主題進行了**任何** 更改（調整 style.css 中的內容或更改模板文件），則更新主題時將覆蓋更改。準備好在更新後重新進行更改。避免這種情況的唯一方法是專門為您的更改創建一個子主題，但這是本報告範圍之外的高級主題。（有關更多信息，請參閱 WordPress 法典）

使用內置的 WordPress 自動更新功能更新您網站的插件。除非它是一個高級插件，否則你真的不應該做任何復雜的事情（比如下載更新然後使用 FTP 在你的網站上獲取它）。對於高級插件，您需要始終遵循其特定說明。

其他 WordPress 安全措施

我們已經詳細討論了備份和更新您的網站。但是您可以採取其他安全措施來保護您的網站免受問題的影響。

始終使用“admin”以外的管理員名稱。

最初安裝 WordPress 時，您可以選擇主管理員帳戶的用戶名。不要使用默認的“admin”；選擇原始的東西。試圖猜測您的密碼的蠻力腳本（黑客腳本）會假設用戶名“admin”已經存在……讓他們做出錯誤的假設，並將他們排除在您的網站之外！

使用安全密碼

我敢打賭你以前聽過這個。您不應為所有網站和登錄名使用相同的密碼。你也不應該有一個簡單的密碼，比如你的孩子或寵物的名字。使您的密碼長，超過 8 個字符，並使用大寫、小寫、數字和符號的組合以獲得最佳保護。

偶爾更改管理員密碼

更改所有管理員級密碼。我偶爾會說，因為時間表真的取決於你的商業慣例。例如，如果您將 WordPress 維護或管理外包給使用您的主管理員帳戶的不同人，那麼如果您是唯一的管理員，您應該更頻繁地更改密碼。

刪除未使用的帳戶。

如果您的 WordPress 安裝中有任何不再使用的用戶帳戶，請務必將其刪除。

在其他地方註冊您的域。

如果您因為主機問題而需要移動網站，您會很高興在其他地方註冊您的域名。這將允許您通過簡單地將域名註冊商的名稱服務器指向您的新託管服務來快速移動域。

監控您的站點文件。

有時黑客會進入您的網站，進行更改並離開而不會大驚小怪。如果您不小心，這可能會完全被您忽視！定期檢查您網站的文件是否有入侵跡象，以確保一切正常。一種簡單的方法是查看文件的修改日期。

採取額外措施來保護您的 WordPress 安裝可能需要一些額外的時間，但如果它能讓您免受攻擊，那將是非常值得的。當然，沒有辦法絕對保證您永遠不會被黑客入侵或遇到其他問題。

但是，您會發現，您受過的教育和準備越充分，您以後必須處理後果的可能性就越小。

其他用戶

許多網站和博客所有者都有其他人登錄他們的網站。讓客座博主或專欄作家擁有自己的用戶名和密碼是很常見的，這樣他們就可以登錄並添加自己的帖子，從而節省博客所有者的時間和工作。將您的網站或博客更新外包給必須能夠登錄並在您的網站上發布的虛擬助理或其他自由職業者也很常見。

以下是在這些情況下保持 WordPress 網站安全的一些規則：

不要授予管理員訪問權限- 您應該始終保護您的管理員訪問權限。 原因不一定是您的客人或員工可能會對管理員訪問權限進行任何惡意操作，儘管已知會發生這種情況。相反，您打開了一個安全風險，因為他們的密碼可能被破壞或被黑客入侵，這可能允許其他人通過他們的帳戶進入。訪問您帳戶的方法越多，黑客就越有可能找到一個。
授予所需的最低訪問級別- 始終授予某人完成工作所需的最低訪問級別。
更改密碼- 當有人離開公司時，請確保您更改密碼或完全刪除他們的用戶帳戶。

在安全失敗時做好準備

儘管您盡了最大的努力和準備，但如果您的網站安全失敗怎麼辦？

我可以告訴你的第一件事是為這種可能性做好準備。

不要認為僅僅因為你採取了所有適當的預防措施，你就得到了完全的保護。

考慮網站攻擊或重大問題，就像考慮房屋火災一樣。您可以採取預防措施來防止家中發生火災，但有時您就是無法預防。因此，除了預防措施外，我們還為最壞的情況做準備。我們創建消防通道，配備滅火器，備有火警警報器，並為親人提供聚會場所。

為什麼不為您的網站做同樣的事情？

制定一個計劃，如果安全失敗，你會怎麼做。以下是為網站黑客或安全故障做好準備的一些方法：

備份，備份，備份！ – 是的，我們已經不止一次討論過這個問題，但值得再次提醒。根據需要經常備份。保留多個備份副本 - 並將它們保存在不同的位置。

擁有您的所有登錄信息——如果您聘請某人來安裝或設計您的網站，那麼很可能存在您甚至無法訪問的登錄信息。 我給你的建議是你現在就改變它。在本報告的最後，您會找到一些清單，其中包括一份重要的網站信息。獲取該列表並完成信息，將其打印出來，然後以數字方式將其存儲在兩個地方，以便在需要時隨時使用！這一步非常重要。

致電您的主機- 詢問您的託管公司如果服務器崩潰或您的網站被黑客入侵會發生什麼。 有些人非常驚訝地發現他們的託管公司在這些情況下不提供任何損失保護。現在發現，而不是以後。

擁有一個備份主機——您不僅要備份您的文件，還需要四處尋找一家備份託管公司，如果需要，您可以快速轉移到該公司。 已經擁有第二個主機的帳戶可能是個好主意，這樣您就知道它們是如何工作的，這樣您就可以在需要時快速移動。在託管公司以外的地方註冊您的域名也是一個好主意。

聘請專家——如果這一切對你來說太過分了，而你根本不想處理它，那就找一個可以的人。 在您遇到問題之前僱用某人並與他們建立這種關係，以便當問題確實發生時，他們已經準備好並能夠快速幫助您。

所以你有它。

本文包含的信息可以很好地為您節省數千美元和/或數小時。這不是開玩笑。

我希望您能接受建議，做好備份，並保護您的網站。這樣一來，您就不會在某一天早上發現眨眼之間就失去了多年的工作。

讓我們把這個寶貝包起來！

我記得當我第一次聽說要備份我的網站時。老實說，我覺得這太混亂了，太複雜了，太麻煩了。所以我沒有採取行動，只是希望最好的。

同時，我聽到有人警告我不備份我的網站和採取適當的安全措施的風險，但我認為我沒有時間，無論如何也不會發生任何不好的事情。

然後，在我發展了一個規模龐大的企業和網站後的一天，我問自己：“如果我今天失去了整個網站怎麼辦？那會是什麼感覺？”

答案是：“我會被摧毀的”。

老實說，如果過去幾年的辛勤工作就這樣化為烏有，我不知道該怎麼辦。將很難恢復。

我很幸運，我知道這一點。我從來沒有在我的網站上遭受過攻擊（敲木頭），但我認識很多與我親近的人並不那麼幸運。相信我，我不再把我的安全留給機會。

請認真對待本文和此警告，並學習如何備份您的網站或聘請專家為您完成所有工作。如果您的網站出現問題，您會非常高興！即使你不這樣做。畢竟，內心的平靜是無價的

下一步：

註冊以獲取我的5 個基本要素，以確保您的網站安全
報名參加我的一項護理計劃。當您取得聯繫時，讓我知道您已閱讀此博文並收到特別優惠

這樣，如果託管公司沒有響應，您可以訪問您的域進行轉移。