你應(yīng)該害怕！但是不要擔(dān)心太多–如果你在你的網(wǎng)站上實施了一些WordPress網(wǎng)站安全最佳實踐，你可以確信你的網(wǎng)站不會遇到問題。

博客 存在安全。但是用戶采取的行動(以及用戶安裝的插件)會引入各種各樣的WordPress漏洞。

為了避免犯這些錯誤，你需要做的就是遵循這篇文章中的提示。

為了使這篇文章盡可能可行，我們將把我們的WordPress安全提示分為兩類:

• 7必須遵循WordPress安全最佳實踐–每個WordPress用戶都需要做這些事情無論什么.
• 12個額外的WordPress安全加固技巧–這些提示不是絕對必要的，但它們可以為您的網(wǎng)站增加額外的硬度，讓您安心。

?Seven必須遵循WordPress安全最佳實踐

如果你沒有從這篇文章中得到什么，我建議你在你的網(wǎng)站上至少實現(xiàn)這七個WordPress安全最佳實踐。

如果你不做這七件事，你的網(wǎng)站就會暴露出巨大的漏洞。

1.盡快應(yīng)用核心和插件更新

為了保證WordPress的安全，你能做的最好的事情之一就是及時更新WordPress的核心、插件和主題。

不管一個軟件有多棒，發(fā)現(xiàn)新的漏洞是很自然的。然而，有了高質(zhì)量的開發(fā)團隊，這些漏洞將在被惡意行為者利用之前得到修復(fù)…只要您及時應(yīng)用更新！

許多最近廣泛傳播的WordPress漏洞本可以避免如果人們更新了他們的網(wǎng)站.

要獲得新更新的提醒，請注意儀表板→更新在你的WP管理區(qū)域。

如果您擔(dān)心兼容性問題，可以在上測試更新集結(jié)地然后將它們應(yīng)用到您的現(xiàn)場。您還需要在應(yīng)用更新之前進行備份——稍后將詳細介紹。

注意–此規(guī)則的一個例外是主要更新，它們只專注于添加新功能，不包括任何安全修復(fù)。您可以放心地等待幾個星期來應(yīng)用這些主要更新。

• 主要版本(功能)–5.0、5.1、6.0等。–您可以等待應(yīng)用這些更新。
• 次要版本(安全/錯誤修復(fù))–5 . 0 . 1、5.1.2、6.0.4等。你總是需要盡快應(yīng)用這些。

2.只使用知名開發(fā)商的插件和主題(不要使用無效插件)

雖然WordPress的核心軟件是安全的，但不能說每個插件和主題都是安全的(主要是插件).

通過添加新代碼和修改網(wǎng)站的功能，插件會引入各種各樣的漏洞。

與此同時，不使用插件并不是一個真正的選擇，因為插件是每個WordPress網(wǎng)站不可或缺的一部分。

因此，重要的是只使用來自有良好代碼質(zhì)量和及時維護記錄的著名開發(fā)者的插件和主題。

也就是說，小心你在網(wǎng)站上安裝的插件.

這里有一些提示可以幫助你只使用高質(zhì)量的插件和主題:

• 閱讀評論.糟糕的評論可能表明糟糕的代碼質(zhì)量。
• 檢查活動安裝計數(shù).雖然這不是一個硬性規(guī)定，但流行的插件通常更容易受到關(guān)注。
• 檢查最近的更新.擁有一個活躍的開發(fā)人員對于修補任何新發(fā)現(xiàn)的漏洞非常重要。
• 不要安裝不必要的插件.因為你安裝的每個插件都是潛在的攻擊媒介，所以你應(yīng)該只安裝對你的站點重要的插件。

我們也有選擇WordPress插件的完整指南.

最后，您還需要避免空插件，因為您不知道插件中添加了什么代碼。

3.使用安全的WordPress主機

選擇一個高質(zhì)量的WordPress虛擬主機服務(wù)提供商對確保你網(wǎng)站的安全大有幫助。

首先，一個高質(zhì)量的WordPress主機提供商將確保你的環(huán)境是為WordPress安全優(yōu)化的，比如適當?shù)奈募S可和安全的wp-config.php文件.

許多WordPress主機也將內(nèi)置更主動的保護，比如內(nèi)置防火墻或惡意軟件掃描。

一些托管的WordPress主機甚至?xí)赓M清理你的站點，如果它發(fā)生了任何事情的話。

基本上，有了一個高質(zhì)量的主機(尤其是一個托管的WordPress主機)，他們會照顧到這些最佳實踐，這樣你就可以專注于發(fā)展你的網(wǎng)站。

要找到一些質(zhì)量選項，請查看我們的帖子最佳托管WordPress主機和一般來說，最好的WordPress主機.

如果你負擔(dān)得起，可以考慮以下選擇飛輪(我們用于WPKube的——我們的飛輪評論)或者金斯塔(我們的金斯塔評論).

4.鎖定您的登錄頁面和帳戶訪問

如果一個惡意的行為者能夠進入你的一個合法的WordPress用戶帳戶(尤其是管理員帳戶).

在現(xiàn)實世界中想一想——你可以擁有世界上最好的家庭安全系統(tǒng)，但是如果一個強盜拿到了你家的鑰匙和安全密碼，它也不會做任何事情。

這意味著它是必要的你找到保護你的WordPress站點的登錄過程和用戶賬戶的方法。

首先，您需要使用強帳戶憑據(jù):

• 用戶名–切勿使用“admin”作為用戶名。相反，選擇一個你在其他地方都不使用的唯一用戶名。
• 密碼–使用強而唯一的密碼。為了獲得最佳效果，請使用LastPass或Bitwarden等密碼管理器為每個站點生成唯一的密碼。

除此之外，你也可以使用策略來保護WordPress登錄頁面:

• 更改登錄URL–這也減少了大量的bot流量。怎么會？使用免費的WPS隱藏登錄插件.
• 限制登錄嘗試–如果某個IP地址進行了太多次不正確的登錄嘗試(就像銀行所做的那樣)，則臨時阻止該IP地址。怎么會？使用免費限制登錄嘗試重新加載插件.
• 需要雙因素身份認證(2FA)–讓人們除了他們的憑證之外，還從認證器應(yīng)用、SMS或電子郵件輸入代碼。怎么會？使用免費插件，如WP 2FA或者雙因素.

所有網(wǎng)站都應(yīng)該更改登錄URL并限制登錄嘗試，但是使用WordPress雙因素認證實際上只有任務(wù)關(guān)鍵型站點才需要。

5.安裝SSL證書并使用HTTPS

SSL證書允許您在網(wǎng)站上使用HTTPS，而不是HTTP。

有了HTTPS，任何在瀏覽器和服務(wù)器之間傳遞的數(shù)據(jù)都會被加密。除了通常有利于保護隱私之外，這對于保護重要數(shù)據(jù)(如用戶名和密碼)至關(guān)重要。

如果沒有HTTPS，互聯(lián)網(wǎng)上的惡意行為者可以看到在您的瀏覽器和您的站點之間傳遞的所有數(shù)據(jù)。例如，如果您在當?shù)氐目Х鹊晔褂肏TTP登錄到您的站點，該網(wǎng)絡(luò)上的某個人將能夠以純文本的形式看到您的用戶名和密碼。

不過，當你使用HTTPS時，你的用戶名和密碼(以及所有其他數(shù)據(jù))都被安全加密，這意味著惡意用戶只會看到一堆隨機字符。

現(xiàn)在，大多數(shù)高質(zhì)量的WordPress主機提供商都提供免費的SSL證書。

一旦您通過托管儀表板安裝了SSL證書，您就可以將您的站點配置為使用HTTPS。如果你需要一些幫助把你的網(wǎng)站搬到HTTPS，免費的非常簡單的SSL插件提供一鍵式設(shè)置。

跟隨我們的WordPress HTTPS指南了解更多細節(jié).

6.使用支持的PHP版本

WordPress是用PHP編程語言.然而，有不同的PHP版本，你可以在你的托管賬戶上使用。

舊版本的PHP不再接受維護，這意味著它們可能有未打補丁的安全問題。

截至2022年，最早收到安全更新的PHP版本是PHP 7.4。然而，從2023年開始，你至少要使用PHP 8.0。

你可以在本頁檢查當前PHP版本支持.

作為額外的獎勵，新版本的PHP也提供了很大的性能改進，這意味著你的網(wǎng)站會加載得更快除了更安全之外。

如果你不確定如何更新PHP，你可以向你的主機尋求支持。我們還有一個如何在流行的WordPress主機上更新PHP的指南.

7.定期備份您的網(wǎng)站

備份您的站點不會預(yù)防安全問題發(fā)生在你的網(wǎng)站上。但是，這將防止安全問題演變成更大的問題。

沒有備份，任何安全事故在您的網(wǎng)站上可以是絕對毀滅性的。您可能會丟失數(shù)據(jù)，有很多停機時間，等等。

但是，對于最近的備份，安全事故的最壞情況通常是您只需要恢復(fù)站點的干凈備份。仍然很煩人——但災(zāi)難性少了很多。

如果您的主機還沒有提供安全的自動備份，付費工具如噴氣背包備份或者倉庫英語字母表中第十二個字母ogVault提供最簡單的方法來實現(xiàn)安全的異地備份。

如果你沒有購買工具的預(yù)算，UpdraftPlus也是一個很好的免費選項——只要確保將它連接到一個外部存儲提供商，如Google Drive或亞馬遜S3。

這是我們關(guān)于最好的WordPress備份插件的完整帖子.

十二個額外的WordPress安全加固技巧

如果你忠實地執(zhí)行以上必須遵循的WordPress網(wǎng)站安全最佳實踐，你將會避免網(wǎng)站上99%的問題。

然而，如果你想進一步加強，你可以實現(xiàn)一些額外的強化技巧來進一步保護你的站點。

8.設(shè)置防火墻

防火墻可以通過在惡意流量或行為影響您的站點或服務(wù)器之前阻止它們來主動保護您的站點免受威脅。

許多主機已經(jīng)實現(xiàn)了他們自己的防火墻，這就是為什么如果你使用高質(zhì)量的WordPress主機(見前).

如果您的主機沒有(或者如果您想要更多的保護)，您可以在應(yīng)用程序級別添加一個防火墻，使用類似文字圍欄或者在DNS級別使用類似美國云火炬或者蘇庫里.

9.使用WordPress安全插件

你可以創(chuàng)建安全的WordPress站點沒有一個專用的安全插件，所以創(chuàng)建一個安全的網(wǎng)站肯定不需要安全插件。

話雖如此，安全插件仍然很方便，原因如下:

1. 安全插件可以提供實時防火墻來抵御新出現(xiàn)的威脅。
2. 一個高質(zhì)量的安全插件將使實現(xiàn)這個列表中的許多其他強化技巧變得容易，這可以為你簡化事情并節(jié)省你的時間。

當有疑問時文字圍欄插件是一個很好的入門選擇。您可以在中找到更多選項我們最好的WordPress安全插件的完整集合.

10.隱藏WordPress版本

隱藏WordPress版本號增加了一個微不足道的“模糊安全性”輕微地惡意行為者更難檢測到你網(wǎng)站的版本號。

要隱藏它，你可以將下面的代碼添加到你的孩子主題的functions.php文件中，或者像代碼片段一樣的插件中。

函數(shù)WP _ version _ remove _ version _ number(){ return“”；}add_filter('the_generator '，' WP _ version _ remove _ version _ number ')；

如果你想走得更遠，我們有向?qū)шP(guān)于如何隱藏你的網(wǎng)站使用WordPress.

11.檢查文件權(quán)限

如果你使用的是高質(zhì)量的主機，你的網(wǎng)站的文件權(quán)限應(yīng)該是正確的。但是，這可能值得仔細檢查，因為擁有正確的文件權(quán)限非常重要。

要了解更多信息，請查看我們的WordPress文件權(quán)限完整指南.

12.僅對FTP使用安全連接

每當你通過FTP連接到您的站點或其他技術(shù)，請確保您使用安全協(xié)議，如SFTP。

正如HTTPS保護你的瀏覽器和網(wǎng)站之間的數(shù)據(jù)，SFTP保護你的FTP客戶端和服務(wù)器之間的連接。

您還應(yīng)該避免將您的FTP密碼存儲在您的FTP客戶端中，除非這些密碼被安全地加密。

13.設(shè)置活動日志記錄

活動日志記錄允許您跟蹤用戶在您的儀表板中做了什么，這有助于您捕捉可疑的活動(尤其是如果您授予其他用戶儀表板訪問權(quán)限).

要設(shè)置這個，您可以使用一個插件，比如WP活動日志.我們有關(guān)于如何設(shè)置活動日志的教程，以及獨家WP活動日志優(yōu)惠券為了給你省點錢。

14.運行常規(guī)惡意軟件/安全掃描

雖然如果您已經(jīng)實現(xiàn)了上面的最佳實踐，您的站點應(yīng)該不會遇到任何問題，但是定期在您的站點上運行惡意軟件/安全掃描.

要檢查站點前端的任何問題，您可以使用免費的Sucuri站點檢查工具.

要對服務(wù)器文件進行全面掃描，您可以考慮使用以下工具護理不當或者文字圍欄.

你的WordPress主機也可能運行它自己的每日惡意軟件掃描，這可能使這些工具變得多余。

15.禁用XML-RPC

XML-RPC幫助外部工具連接到你的WordPress站點，比如桌面WordPress應(yīng)用程序。

然而，如果你不使用這些工具，它只會給你的網(wǎng)站增加一個不必要的攻擊媒介。要完全禁用它，您可以使用免費的禁用XML-RPC插件.

16.塊熱鏈接

熱鏈接是指有人在他們的網(wǎng)站上嵌入來自你的服務(wù)器的內(nèi)容(例如圖片)。它會在未經(jīng)您允許的情況下耗盡您服務(wù)器的資源，從而影響您站點的安全性。

要阻止熱鏈接，你可以在你的站點的。htaccess文件。

來生成。htaccess代碼需要阻止熱鏈接，你可以使用這個免費工具.它可以讓你將某些熱鏈接提供商(如谷歌圖片搜索)列入安全名單，同時阻止其他人。

17.更改WordPress數(shù)據(jù)庫前綴

改變WordPress數(shù)據(jù)庫前綴增加了少量的“晦澀的安全性”，盡管一些專家說安全性的好處是微不足道的。

如果你有一個現(xiàn)有的WordPress站點，我不建議這樣做，因為破壞你的站點的風(fēng)險超過了任何潛在的安全利益。

然而，如果你正在建立一個新的WordPress站點，你也可以使用一個自定義的數(shù)據(jù)庫前綴，即使它不會有很大的影響。

18.禁用wp-content/uploads文件夾中的PHP文件執(zhí)行

您可以通過在您的WP-內(nèi)容/上傳文件夾。

方法如下:

1. 使用記事本創(chuàng)建新的。htaccess文件。
2. 添加下面的代碼片段。
3. 將該文件上傳到WP-內(nèi)容/上傳文件夾。

% 3c文件*。php %來自所有% 3C/文件%3E

19.禁用儀表板內(nèi)代碼編輯

默認情況下，WordPress允許你從WordPress儀表板編輯主題和插件文件，這將允許攻擊者添加惡意代碼，如果他們曾經(jīng)訪問過管理員帳戶的話。

為了防止這種情況，您可以通過將此代碼段添加到您的wp-config.php文件:

define( 'DISALLOW_FILE_EDIT '，true)；

WordPress網(wǎng)站安全常見問題

最后，這里有一些關(guān)于WordPress安全性的常見問題。

WordPress有安全問題嗎？

WordPress本身沒有安全問題，但是在你的網(wǎng)站上安裝插件會引入安全漏洞，尤其是在插件編碼和/或維護很差的情況下。

WordPress容易被黑嗎？

絕大多數(shù)WordPress網(wǎng)站被黑是因為用戶錯誤，而不是軟件本身。遵循一些基本的安全最佳實踐將使你的網(wǎng)站很難被黑。

你能保證WordPress的安全嗎？

是的，絕對的。只要你遵循最佳實踐，WordPress是非常安全的。有一個原因所以很多大品牌都信任WordPress.

你需要一個WordPress安全插件嗎？

你可以創(chuàng)建一個安全的WordPress站點，而不需要一個全面的安全插件。然而，這些插件可以簡化實施安全強化最佳實踐的過程，并為您提供有用的功能，如防火墻和安全掃描。

今天就實施這些WordPress安全最佳實踐

如果你沒有從這篇文章中得到任何東西，我希望你至少實現(xiàn)上面的七個必須遵循的WordPress安全提示。

如果你做到了這七點，你可以確信你可以避免網(wǎng)站上99.9%的安全問題。

如果你想得到更好的保護，你可以繼續(xù)執(zhí)行這份清單上的19條建議。

關(guān)于WordPress的安全性，你還有什么問題嗎？請在評論中告訴我們！