如何进行 WordPress 安全审计

保护您的 WordPress 网站并非一劳永逸。 无论您多么信任您的安全插件，或者您在网站加固方面做得多么彻底，今天的安全网站并不能成为明天的安全网站。 为了阻止黑客，您必须定期进行 WordPress 安全审核并填补您发现的安全漏洞。

网站黑客策略一直在进步，随之而来的是确保网站安全的预防措施。 把它想象成一个循环。 网站越安全，黑客就必须越有创意才能进入，这意味着您的网站必须变得更加安全，等等。

目标是至少每三个月进行一次 WordPress 安全审计。 每个月都更好，每周（甚至每天，取决于您的网站的敏感程度）最好。 当然，如果您觉得您的网站有问题，请立即进行安全审核。 以下任何一项都应该引发危险信号：

• 您的网站突然变得缓慢而缓慢。
• 网站流量无缘无故大幅下降。
• 有新帐户、登录尝试或“忘记密码”请求。
• 您未添加的新链接位于您的网站上。

以下步骤是使您的网站在安全方面保持最佳状态的必备步骤。 手头有一份清单，您将简化审核而不是压倒一切。

WordPress 安全审计概述

在某一时刻，几乎每个 WordPress 网站都会遇到某种类型的安全问题。 一个常见的问题是插件或主题受到漏洞的困扰，允许黑客直接进入您的网站。 一旦您的网站被黑客入侵，可能会发生许多事情：

• 客户个人资料被盗
• 显示的非法广告和内容
• 交通转移到别处
• WordPress 数据加密、删除或出售

这不仅仅是几个小时的头痛或倒塌的网站。 黑客可以持有您的数据以勒索赎金。 您网站上的信息可以在暗网上出售。 Google 可以将您的网站列入黑名单，以便在网页上显示垃圾邮件。 如果他们的信用卡信息被盗，客户可以起诉您。 一旦黑客访问了您的网站，其他网站就可能被感染。

WordPress 安全审计会识别这些漏洞，因此您可以立即修补它们——在黑客发现之前需要更多的保护。

评估您正在使用的安全插件

您的 WordPress 安全插件是保护您的网站的最重要工具之一。 确保您的安全插件仍以下列方式运行：

• 活动日志：这会跟踪您站点的用户，包括登录者和登录时间、登录尝试失败和站点更改。
• 防火墙：这将阻止试图进入您网站的机器人、黑客和 IP 地址。
• 登录尝试：质量安全插件将强制使用强密码，需要双重身份验证并限制登录尝试。
• 登录保护：这可以阻止暴力攻击，即黑客尝试不同的用户名和密码组合登录。
• 恶意软件扫描和清理：这应该每天运行，深度扫描您网站的数据库、文件和文件夹中的恶意软件，并清除发现的任何内容。
• 实时警报：如果您的网站出现任何可疑情况，该插件应立即通知您。

还没有安全插件？ 考虑让一个作为您在 WordPress 安全审核中的第一步。 我们收集了 6 个最佳 WordPress 安全插件可供选择。

测试您的网站备份解决方案

如果您的网站出现无法修复或过于复杂而无法修复的问题，拥有 WordPress 备份意味着您可以将网站从问题发生之前恢复到之前的状态。 但是，如果您的备份失败，那么您将无法恢复任何内容，这意味着您可能会被受感染或出现故障的站点卡住。 理想情况下，您将使用允许您测试备份的备份解决方案（无论是由您的主机提供的还是您使用的插件），例如 BlogVault。 您可能还想阅读我们的文章，其中包含 6 个最佳 WordPress 备份插件。

检查您的 WordPress 管理员和 FTP 设置

使用 WordPress，您可以让多个人登录以处理各种项目，但这并不意味着每个登录的人都应该拥有对您网站的完全访问权限。 当涉及到您的 FTP 客户端时，允许多人访问意味着他们可以更改您网站的……嗯，一切。

当您在 WordPress 中添加新用户时，您会为他们分配一个角色（您也可以编辑他们的个人资料以更改他们的角色）：

不同的角色有不同的能力。 例如，管理员可以访问网站的所有管理工具（例如更改主题或安装插件），但贡献者只能编写和管理自己的帖子。 以下是对不同角色及其能力的全面细分。

对于您的 WordPress 安全审核，请执行以下操作：

• 查看哪些 WordPress 用户具有管理员级别的访问权限。
• 确定是否所有这些用户都需要该级别的访问权限（以及其他访问权限受限的用户是否应该是管理员）。
• 通过更新这些个人的用户角色来降低权限并限制访问。
• 如果您无法识别仪表板中的用户，请将其删除——他们可能是黑客创建的帐户。
• 任何用户名都只是“管理员”吗？ 这是一个非常常见的用户名，黑客经常尝试使用它来访问您的网站。 为该人创建一个新用户帐户并删除旧帐户。
• 删除不需要高级别访问权限的用户的 FTP 帐户。

最后，如果您的网站允许成员，您要确保他们在注册时必须实际创建一个帐户，并且他们的默认角色不允许管理员访问。 转到设置>常规。 取消选中任何人都可以注册旁边的框。 然后，在New User Default Role下选择适当的选项。

确保 WordPress 是最新的

您可能会自动运行此程序，但仍然需要仔细检查 WordPress 是否已更新到其最新版本。 更新不只是修补安全漏洞——它们还可以提高性能并添加功能。 转到仪表板>更新以查看是否已准备好。

清理你的插件和主题

插件可以扩展您网站的功能，但它们也容易受到攻击，特别是如果它们没有更新太久。 可靠的开发人员将始终关注其插件的漏洞并发布带有补丁的更新。 在您的 WordPress 安全更新期间，前往您的插件列表并执行以下操作：

• 停用并卸载您不再使用或不认识的任何插件。
• 更新任何已准备好更新的剩余插件。
• 如果您使用的插件尚未从开发人员那里收到更新，请考虑使用另一个具有相同功能的插件——过时的插件太容易受到安全问题的影响。

即使您每个月左右进行一次 WordPress 安全审核，最好定期检查您的插件以根据需要更新它们。 此外，删除您当前未使用或预计不需要的任何主题。 就像插件一样，主题会带来安全漏洞的风险，因此最好让您的网站尽可能地整洁。

在外面保持安全！

您不会停止在业务的其他部分上工作——推出新产品或服务、营销它们、销售等等。您的网站安全应该不会有任何不同。 如果您不及时发现一个小问题，可能会很快导致危及业务的黑客攻击，但如果不知道问题区域在哪里，您将不知道要实施哪些修复。

确保您的网站安全是一个持续的过程，拥有一个首选的 WordPress 安全审核清单可以让您省去试图记住每个月要做什么的麻烦。 另外，您可以使用安全插件自动化的越多越好。 如果您要做的大部分工作是仔细检查插件是否仍然正常运行，那么您的 WordPress 安全审核清单可能会小得多。 我们对两个领先的安全插件 Sucuri 和 Wordfence 的评论进行了深入的概述。