WordPress安全对于每个网站所有者来说都是一个非常重要的话题。
如果你是认真对待你的网站,那么你需要注意WordPress安全最佳实践。否则,你可能会成为每天10000多个恶意软件和钓鱼网站的谷歌黑名单之一。
在本指南中,我们将分享WordPress的主要安全提示,帮助您保护网站免受黑客和恶意软件的攻击。
虽然WordPress核心软件非常安全,并由数百名开发人员定期审核,但仍有许多工作要做,以确保您的网站安全。
在WPBeginner,我们认为安全不仅仅是消除风险。这也是关于降低风险的。作为一个网站所有者,你可以做很多事情来提高WordPress的安全性,即使你不是技术高手。
在本文中,我们列出了一系列可操作的步骤,您可以采取这些步骤来保护您的网站免受安全漏洞的攻击。
为了简单起见,我们创建了一个目录,帮助您轻松浏览我们最终的WordPress安全指南。
目录
WordPress安全基础
WordPress安全简单步骤(无编码)
面向DIY用户的WordPress安全
准备好了吗?让我们开始吧。
为什么网站安全很重要
被黑客攻击的WordPress网站可能会对您的业务收入和声誉造成严重损害。黑客可以窃取用户信息和密码,安装恶意软件,甚至向用户分发恶意软件。
最糟糕的是,你可能会发现自己只是为了重新访问你的网站而向黑客支付勒索软件。
谷歌每天都会警告1200万至1400万用户,他们试图访问的网站可能包含恶意软件或窃取信息。
此外,谷歌每天会将大约10000多个恶意软件或钓鱼网站列入黑名单。
正如拥有实际位置的企业主有责任保护他们的财产一样,在线企业主也需要特别注意他们的WordPress安全。
[返回顶部↑]
保持WordPress更新
WordPress是开源软件,定期维护和更新。默认情况下,WordPress会自动安装次要更新。
对于主要版本,您需要手动启动更新.
WordPress还提供了数千个插件和主题,您可以在网站上安装它们。这些插件和主题由第三方开发人员维护,他们也会定期发布更新。
这些WordPress更新对WordPres站点的安全性和稳定性至关重要。你需要确保你的WordPress核心、插件和主题都是最新的.
[返回顶部↑]
使用强密码和用户权限
最常见的WordPress黑客尝试使用被盗密码。你可以通过使用网站独有的更强密码来实现这一点。
我们不仅仅讨论WordPress管理区域。请记住为您的FTP帐户、数据库、WordPress托管帐户和使用您网站的自定义电子邮件地址创建强密码域名.
许多初学者不喜欢使用强密码,因为它们很难记住。好的方面是,您不再需要记住密码,因为您只需使用密码管理器即可。
请参阅我们的指南如何管理WordPress密码了解更多信息。
降低风险的另一种方法是不允许任何人访问您的WordPress管理员帐户,除非您绝对必须.
如果你有一个大型团队或客座作者,那么确保你理解用户角色和能力在WordPress中添加新的用户帐户和作者之前。
[返回顶部↑]
了解WordPress托管的作用
您的WordPress托管服务在WordPress网站的安全性中扮演着最重要的角色。A很好共享主机类似于提供商霍廷格,东家,或场地地面采取额外措施保护服务器免受常见威胁。
以下是优秀的网络托管公司在后台保护您的网站和数据的几种方法:
- 他们不断监控网络中的可疑活动。
- 所有优秀的托管公司都有防止大规模托管的工具分布式拒绝服务攻击.
- 他们使服务器软件、PHP版本和硬件保持最新,以防止黑客利用旧版本中的已知安全漏洞。
- 他们有现成的灾难恢复和事故计划,以便在发生重大事故时保护您的数据。
在共享托管计划中,您可以与许多其他客户共享服务器资源。存在跨站点污染的风险,黑客可以使用相邻站点攻击您的网站。
相比之下,使用托管WordPress托管该服务为您的网站提供了一个更安全的平台。托管WordPress托管公司提供自动备份、自动WordPres更新和更高级的安全配置来保护您的网站
我们建议WP发动机作为我们首选的托管WordPress托管提供商。他们也是业内最受欢迎的供应商。
使用我们的特别优惠,确保您获得最优惠的价格WP发动机优惠券.
[返回顶部↑]
WordPress安全性的几个简单步骤(无需编码)
我们知道,提高WordPress的安全性对于初学者来说可能是一个可怕的想法,尤其是如果你不懂技术的话。猜猜看,你并不孤单。
我们已经帮助数千名WordPress用户加强了他们的WordPres安全性。
我们将向您展示如何通过几次单击(无需编码)来提高WordPress的安全性。
如果你能点击,你就能做到!
1.安装WordPress备份解决方案
备份是抵御WordPress攻击的第一道防线。记住,没有什么是100%安全的。如果政府网站可以被黑客攻击,那么你的网站也可以被黑客入侵。
备份允许您快速恢复WordPress站点,以防发生不好的情况。
有很多免费和付费的WordPress备份插件你可以使用的。在进行备份时,您需要知道的最重要的一点是,您必须定期将完整站点备份保存到远程位置(而不是您的托管帐户)。
我们建议将其存储在亚马逊、Dropbox等云服务或Stash等私有云上。
根据您更新网站的频率,理想的设置可能是每天一次或实时备份。
谢天谢地,这可以通过使用类似这样的插件轻松实现复印机,UpdraftPlus(升级),或博客Vault它们既可靠又最重要的是易于使用(无需编码)。
有关更多详细信息,请参阅我们的指南如何备份WordPress网站.
[返回顶部↑]
安装声誉良好的WordPress安全插件
备份后,我们需要做的下一件事是建立一个审计和监控系统,跟踪您网站上发生的一切。
这包括文件完整性监控、登录尝试失败、恶意软件扫描等。
谢天谢地,您可以通过安装一个最佳WordPress安全插件例如Sucuri。
您需要安装并激活免费Sucuri安全插件。有关更多详细信息,请参阅我们的分步指南如何安装WordPress插件.
现在,您可以前往Sucuri Security»仪表板看看插件是否发现你的WordPress代码有任何直接问题。
接下来您需要做的是导航到Sucuri安全»设置页面,然后单击“硬化”选项卡。
默认设置适用于大多数网站,因此您可以通过单击每个选项的“应用强化”按钮继续激活它们。
这有助于您锁定黑客在攻击中经常使用的关键区域。
提示:我们将在本文后面介绍加强网站的更多方法,例如更改数据库前缀和管理员用户名。然而,这些都是技术性的,可能需要编码知识。
在强化部分之后,插件的其他默认设置对于大多数网站来说都足够好,不需要任何更改。
我们唯一建议定制的是电子邮件警报,可以在设置页面的“警报”选项卡中找到。
默认情况下,你会收到很多电子邮件提醒,这些提醒可能会扰乱你的收件箱。
我们建议只对您希望得到通知的关键操作启用警报,例如插件更改和新用户注册。
这个WordPress安全插件非常强大,所以浏览所有选项卡和设置,查看它所做的一切,如恶意软件扫描、审计日志、失败登录尝试跟踪等等。
有关更多信息,您可以查看我们的详细信息Sucuri审查.
启用Web应用程序防火墙(WAF)
保护您的站点并对WordPress安全充满信心的最简单方法是使用web应用程序防火墙(WAF)。
网站防火墙在恶意流量到达您的网站之前就阻止了所有恶意流量。
- A类DNS级网站防火墙通过云代理服务器路由网站流量。这允许它只向您的web服务器发送真正的流量。
- 安应用程序级防火墙在流量到达服务器后,但在加载大多数WordPress脚本之前检查流量。这种方法在减少服务器负载方面不如DNS级防火墙有效。
要了解更多信息,请参阅我们的列表最佳WordPress防火墙插件.
我们使用苏库里在WPBeginner上运行多年,仍然推荐它作为WordPress的最佳web应用程序防火墙之一。我们最近从Sucuri切换到Cloudflare因为我们需要一个更大的CDN网络,其功能更侧重于企业客户。
你可以阅读有关如何Sucuri帮助我们在一个月内阻止了450000次WordPress攻击.
Sucuri防火墙最棒的地方在于它还提供了恶意软件清理和黑名单删除保证。这意味着,如果你在他们的监视下被黑客攻击,他们会保证修复你的网站,无论你有多少页面。
这是一个非常强大的保证,因为修复被黑客攻击的网站是昂贵的。安全专家通常每小时收费超过250美元,而你一年只需199美元就可以获得整个Sucuri安全堆栈。
尽管如此,Sucuri并不是唯一的DNS级防火墙提供商。另一个受欢迎的竞争对手是Cloudflare。查看我们的比较Sucuri vs.Cloudflare(优点和缺点).
[返回顶部↑]
将您的WordPress网站移动到SSL/HTTPS
SSL协议(安全套接字层)是一种对网站和用户浏览器之间的数据传输进行加密的协议。这种加密使得有人很难四处嗅探和窃取信息。
启用SSL后,您的网站地址将使用HTTPS而不是HTTP。您还会在浏览器中的网站地址旁边看到一个挂锁或类似的图标标志。
SSL证书通常由证书颁发机构颁发,其价格从每年80美元到数百美元不等。由于成本增加,过去大多数网站所有者选择继续使用不安全的协议。
为了解决这个问题,一个名为Let’s Encrypt的非盈利组织决定向网站所有者提供免费的SSL证书。他们的项目得到了谷歌浏览器、脸书、Mozilla和更多公司的支持。
在所有WordPress网站上开始使用SSL比以往任何时候都容易。许多托管公司现在提供WordPress网站的免费SSL证书.
如果您的托管公司不提供SSL证书,那么您可以从域名.com。他们拥有市场上最好、最可靠的SSL交易。该证书附带10000美元的安全保证和TrustLogo安全印章。
面向DIY用户的WordPress安全
如果你做了我们到目前为止提到的所有事情,那么你的状态很好。
但一如既往,你可以做更多的事情来加强WordPress的安全性。
请记住,其中一些步骤可能需要编码知识。
更改默认管理员用户名
在过去,默认的WordPress管理员用户名是“admin”。由于用户名占登录凭据的一半,这使得黑客更容易进行暴力攻击。
值得庆幸的是,WordPress已经改变了这一点,现在要求您在安装WordPress.
然而,一些一键式WordPress安装程序仍将默认管理员用户名设置为“admin”。如果你注意到了这种情况,那么最好切换您的网络托管.
由于默认情况下WordPress不允许您更改用户名,因此您可以使用三种方法更改用户名。
- 创建新的管理员用户名并删除旧用户名。
- 使用用户名更改器插件
- 从phpMyAdmin更新用户名
我们在详细的指南中涵盖了这三个方面如何正确更改你的WordPress用户名.
注:为了清楚起见,我们正在讨论更改名为“admin”的用户名,而不是管理员用户角色,有时也称为“admin”。
[返回顶部↑]
禁用文件编辑
WordPress附带了一个内置的代码编辑器,允许您直接从WordPres管理区编辑主题和插件文件。
如果使用不当,此功能可能会带来安全风险,因此我们建议将其关闭。
通过将以下代码添加到您的wp-config.php文件或使用代码段插件WP代码(推荐):
//不允许编辑文件define('DISALLOW_FILE_EDIT',true);
在我们的指南中,我们将逐步向您展示如何做到这一点如何禁用主题和插件编辑器从WordPress管理面板。
或者,您可以使用上面提到的免费Sucuri插件中的Hardening特性单击一次来完成此操作。
[返回顶部↑]
在某些WordPress目录中禁用PHP文件执行
加强WordPress安全性的另一种方法是在不需要的目录中禁用PHP文件执行,例如/wp-content/uploads(wp-content/上传)/.
您可以通过打开文本编辑器(如记事本)并粘贴以下代码来完成此操作:
接下来,您需要将此文件另存为.ht访问并将其上传到/wp-content/uploads(wp-content/上传)/使用FTP客户端.
有关更详细的解释,请参阅我们的指南如何在某些WordPress目录中禁用PHP执行.
或者,您可以使用我们上面提到的免费Sucuri插件中的Hardening特性单击一次来完成此操作。
[返回顶部↑]
限制登录尝试
默认情况下,WordPress允许用户尝试登录任意次数。这使你的WordPress网站容易受到暴力袭击。这是黑客试图通过使用不同组合登录来破解密码的地方。
通过限制用户可以进行的失败登录尝试,可以轻松修复此问题。如果您使用的是前面提到的web应用程序防火墙,则会自动进行处理。
然而,如果您没有设置防火墙,那么可以使用以下步骤继续。
首先,您需要安装并激活免费的限制重新加载的登录尝试插件。有关更多详细信息,请参阅我们的分步指南如何安装WordPress插件.
激活后,插件将开始限制用户的登录尝试次数。
默认设置适用于大多数网站,但您可以通过访问设置»限制登录尝试页面并单击顶部的“设置”选项卡。例如,to遵守GDPR法律,您可以单击“GDPR合规性”复选框。
有关详细说明,请参阅我们的指南如何以及为什么要限制WordPress中的登录尝试.
[返回顶部↑]
添加双因素身份验证(2FA)
这个双因素身份验证方法需要用户进行两个不同的登录步骤:
- 第一步是用户名和密码。
- 第二步要求你使用黑客无法访问的设备或应用程序中的代码,例如你的智能手机。
大多数顶级在线网站,如谷歌、脸书和推特,都允许您为自己的帐户启用它。你也可以在你的WordPress网站上添加相同的功能。
首先,您需要安装并激活WP 2FA–双因素认证插件。有关更多详细信息,请参阅我们的分步指南如何安装WordPress插件.
一个用户友好的向导会帮助你设置插件,然后你会得到一个二维码。
您需要使用手机上的验证器应用程序(如谷歌验证器、Authy和LastPass验证器)扫描二维码。
我们建议使用上次通过身份验证器或Authy公司因为它们允许您将帐户备份到云中。这在您的手机丢失、重置或购买新手机时非常有用。您的所有帐户登录都将很容易恢复。
大多数应用程序的工作方式都类似,如果您使用的是Authy,那么只需单击authenticator应用程序中的“+”或“添加帐户”按钮。
这将允许您使用手机摄像头扫描计算机上的二维码。您可能首先需要授予应用程序访问摄像头的权限。
为帐户命名后,您可以保存它。
下次登录网站时,您将在输入密码后被要求输入双因素身份验证码。
只需打开手机上的验证器应用程序,就会看到一次性代码。
然后,您可以在网站上输入代码以完成登录。
[返回顶部↑]
更改WordPress数据库前缀
默认情况下,WordPress使用水处理_作为中所有表的前缀WordPress数据库.
如果你的WordPress站点使用默认的数据库前缀,那么黑客很容易猜测你的表名。这就是我们建议更改它的原因。
您可以按照我们的分步教程更改数据库前缀如何更改WordPress数据库前缀以提高安全性.
注:如果操作不当,更改数据库前缀可能会破坏站点。只有当您对自己的编码技能感到满意时,才能这样做。
[返回顶部↑]
密码保护WordPress管理员和登录页面
通常,黑客可以无限制地请求您的wp-admin文件夹和登录页面。这允许他们尝试黑客技巧或运行DDoS攻击。
您可以在服务器端级别添加额外的密码保护,这将有效地阻止这些请求。
只需按照我们关于如何通过密码保护WordPress管理员(wp-admin)目录.
[返回顶部↑]
禁用目录索引和浏览
当您在网络浏览器中键入某个网站文件夹的地址时,您将看到名为索引html如果存在。如果它不存在,则会显示该文件夹中的文件列表。这称为目录浏览。
黑客可以使用目录浏览来查明您是否有任何具有已知漏洞的文件,以便他们可以利用这些文件进行访问。
目录浏览也可以被其他人用来查看您的文件、复制图像、查找目录结构和其他信息。这就是为什么强烈建议您关闭目录索引和浏览。
您需要使用FTP或托管提供商的文件管理器连接到您的网站。接下来,找到.ht访问文件位于网站的根目录中。如果您在那里看不到,请参阅我们的指南为什么在WordPress中看不到.htaccess文件.
之后,需要在.htaccess文件的末尾添加以下行:
选项-索引
不要忘记保存.htaccess文件并将其上传回您的站点。
有关此主题的更多信息,请参阅我们的文章如何在WordPress中禁用目录浏览.
[返回顶部↑]
在WordPress中禁用XML-RPC
XML-RPC是一个核心WordPress API,可帮助您将WordPres站点与web和移动应用。从WordPress 3.5开始默认启用。
然而,由于其强大的特性,XML-RPC可以显著放大暴力攻击。
例如,如果黑客传统上想在您的网站上尝试500个不同的密码,那么他们必须进行500次单独的登录尝试。这可以被限制登录尝试重新加载插件捕获和阻止。
但使用XML-RPC,黑客可以使用系统多呼叫该功能可以尝试数千个密码,例如20或50个请求。
这就是为什么如果您不使用XML-RPC,那么我们建议您禁用它。
有三种方法可以在WordPress中禁用XML-RPC,我们在关于如何在WordPress中禁用XML-RPC.
提示:.htaccess方法是最好的方法,因为它的资源密集度最低。其他方法对初学者来说更容易。
或者,如果您使用的是我们前面提到的web应用程序防火墙(WAF),则会自动处理此问题。
[返回顶部↑]
自动注销WordPress中的空闲用户
登录用户有时会离开屏幕,这会带来安全风险。有人可以劫持会话、更改密码或更改帐户。
这就是为什么许多银行和金融网站会自动注销非活动用户的原因。你也可以在WordPress网站上设置类似的功能。
您需要安装并激活非活动注销插件。激活后,请访问设置»非活动注销页面自定义注销设置。
只需设置持续时间并添加注销消息。然后,不要忘记单击页面底部的“保存更改”按钮来存储您的设置。
有关分步说明,请参阅我们的指南如何在WordPress中自动注销空闲用户.
[返回顶部↑]
在WordPress登录屏幕中添加安全问题
在WordPress登录屏幕上添加一个安全问题会使他人更难获得未经授权的访问。
您可以通过安装双因素身份验证插件。激活后,您需要访问多因素身份验证»双因素页面配置插件的设置。
这将允许您向站点添加各种类型的双因素身份验证,包括安全问题。
有关更多详细说明,请参阅我们的教程如何将安全问题添加到WordPress登录屏幕.
[返回顶部↑]
扫描WordPress的恶意软件和漏洞
如果您有WordPress安全插件安装后,它将定期检查恶意软件和安全漏洞的迹象。
然而,如果你看到网站流量突然下降或搜索排名,则可能需要手动扫描恶意软件。你可以使用你的WordPress安全插件或最好的插件之一来做到这一点恶意软件和安全扫描程序.
运行这些在线扫描非常简单。你只需输入你的网站URL,他们的爬虫就会通过你的网站来查找已知的恶意软件和恶意代码。
现在,请记住,大多数WordPress安全扫描仪只能在您的网站包含恶意软件时发出警告。他们无法删除恶意软件或清理被黑客攻击的WordPress网站。
这让我们进入下一节,清理恶意软件和被黑客攻击的WordPress网站。
[返回顶部↑]
修复被攻击的WordPress站点
许多WordPress用户直到他们的网站被黑客攻击后才意识到备份和网站安全的重要性。
黑客安装后门在受影响的网站上,如果这些后门没有得到正确修复,那么您的网站可能会再次遭到黑客攻击。
对于喜欢冒险和DIY的用户,我们编写了一份关于修复被黑客攻击的WordPress网站.
然而,清理WordPress站点可能非常困难且耗时。我们的建议是让专业人员来处理。
如果您付费使用苏库里我们上面提到过的安全插件,然后被黑客攻击的站点修复就包含在价格中。
您还可以使用WPBeginner Pro服务黑客网站修复服务。这需要一次性支付249美元,包括高级文件确定、恶意代码删除、软件和安全更新以及清理后的站点备份。
我们保证修复您的网站或退还您的钱。我们还将在修复后30天内保护您的网站,因此如果您在此期间再次被黑客入侵,我们将在那里进行修复。
我们已经清理和保护WordPress网站10多年了,所以当您使用我们的黑客网站修复服务.
[返回顶部↑]
额外提示:雇佣WordPress维护服务
作为一个忙碌的小企业主,您可能没有时间监控您的网站安全并保护其免受漏洞的影响。因此,为了放松你的思维并减轻你的工作量,你可以雇佣WordPress维护服务来进行全天候的安全监控。
WPBeginner Pro服务提供全面的WordPress网站维护价格合理。它包括安全监控、例行云备份、WordPress更新、正常运行时间监控等。
只需选择一个适合您需要的月度维护服务包,您就可以获得一个更安全的WordPress网站,并有额外的空闲时间来处理业务的其他方面。
如果您想要其他建议,您可以看到我们选择的WordPress的最佳网站维护服务.
[返回顶部↑]
我们希望这篇文章能帮助您学习WordPress安全的最佳实践,并为您的网站发现顶级WordPres安全插件。您可能还想看看我们的WordPress SEO终极指南提高您的SEO排名,以及我们的专家提示如何加快WordPress的速度.
如果你喜欢这篇文章,那么请订阅我们的YouTube频道用于WordPress视频教程。您也可以在上找到我们推特和脸谱网.
