安全清单 – 启动 WordPress 网站之前要考虑的 4 件事

无论您是使用我们专业的最佳 WordPress 主题创建自己的网站，还是让其他人为您创建网站，您网站的安全性都应始终保持在您的优先级列表的首位。

但是，正如许多网站所有者痛苦地意识到的那样，保持网站正常运行并不仅仅是添加内容、处理订单和执行营销计划。

安全漏洞的范围从烦人的（例如通过联系表格发送的垃圾邮件）到代价高昂的（例如您的网站离线且无法赚取收入的情况）。

在最极端的情况下，安全漏洞甚至可能导致危险的结果，暴露信息并进一步损害访问者的在线安全。

幸运的是，保持网站安全并不需要昂贵或耗时。 数以万计的其他网站所有者将他们的网站安全作为重中之重，在自由市场中，这意味着有大量的插件和服务可供选择。

它们结合起来使您的网站保持在线并保持访问者的信心，无论不良行为者可能向您发送什么。 本文专门介绍了启动网站之前的安全检查表。

在将您的网站上线之前，需要考虑以下四个重要事项。 即使您已经在线，它们也适用，因为它们很容易部署到现有站点上——而且在站点安全方面，迟到总比没有好！

安全检查表——创建 WordPress 网站之前要考虑的 4 件事

1. 从一体化安全插件开始

正如介绍中所提到的，在所有东西都有一个 WordPress 插件的时候，网站安全永远不会错过。

据安全周刊报道，任何时候都有 1850 万个网站感染了恶意软件。 同一消息来源接着说，平均网站每天受到 44 次攻击。

那是在 2018 年，平均每天有 50 万个新网站上线，这些数字不容忽视。

新网站所有者可能会错误地假设他们的网站对潜在的攻击者没有兴趣。 但是，值得考虑的是，没有人愿意运行一个没有人访问的站点。

无论您将 URL 添加到印刷材料、优化搜索引擎的内容还是在社交媒体上宣传发布，目标通常是吸引目标受众的注意力。 不幸的是，这样做，您的网站也不可避免地会受到机器人的攻击。

在大多数情况下，网站安全漏洞很少是手动的。 那些愿意在通常不应该识别特定目标时投入时间和精力进入网站后端的人。

相反，大部分违规行为，尤其是在较小、较新的网站上，都源于机器人和脚本。 他们使用与用户相同的搜索引擎，并且经常执行他们过去成功使用的相同、相对基本的攻击模式。

模式的好处在于，当有人知道他们在寻找什么时，它们很容易识别。 流行安全插件背后的开发人员是这项工作的完美人选，他们分析这些尝试以确保强大的保护。

Wordfence、iThemes Security 和 Sucuri 都是非常受欢迎的选择，它们都拥有免费和付费选项。

当然，付费升级通常是值得的，但如果您有预算或想在进一步投资之前先看看网站的表现，免费版本总比没有好。

2. 确保您已在站点上安装 SSL 加密

安全清单中最重要的事情之一是 SSL 加密。 一些网站所有者可能会觉得安装 SSL 加密是一项技术挑战。 但是，网络主机现在可以尽可能轻松地在 WordPress 网站上配置此功能。

一些主机只需单击一下即可实现，并确保您的证书永久有效。 在最坏的情况下，只需要遵循一些说明并复制和粘贴几个安全密钥。 最重要的是，它值得去做。

正如Kaspersky更详细地介绍的那样，SSL 证书可确保网站和访问者之间的连接受到保护。

SSL 曾经只被认为对于在其网站上处理金融交易的人来说是必不可少的，但现在它本身实际上已成为一种标准，并在所有通信中提供 HTTPS 保护。

事实上，如果一个网站在其代码中声称拥有证书，但其合法性似乎存在错误，则谷歌 Chrome 等浏览器将显示整页警告，建议潜在访问者返回。

当然，许多用户也会使用 VPN 来保护他们与站点的通信，但这并不是放弃 HTTPS 保护的借口。

虽然 HTTPS 和 VPN 之间有明显的区别，但前者取决于网站所有者来实施，而后者是访问者的附加保护层。

在线立法正在迅速发展，在线隐私多年来一直是热门话题。 在拥有一个网站时，个人有责任尽其所能保护用户信息的安全。

这不一定是昂贵的或技术密集的，但负责任的网站所有者至少应该确保他们已采取合理的预防措施来保护数据。

SSL 集成是这样做的关键步骤。 这种预防措施也被 Google 视为排名因素，添加一个可能会略微提升搜索性能。

3.保护登录页面

除非网站的设计存在更严重的错误，或者正在进行更集中的攻击，例如 DDOS（分布式拒绝服务），否则大多数潜在的攻击者都需要访问 WordPress 的后端管理区域安装造成严重损坏。

WordPress 的一个小烦恼是每个站点的默认登录页面通常都是相同的，主域后附加了“/wp-admin/”。

我们之前提到的那些机器人和脚本都习惯于尝试以标准方式访问此页面。 降低其效力的快速解决方法就是移动它。

您可以根据自己的喜好将其添加为书签、记下或更改它的好处。 如果更改为随机位置，自动攻击查找页面的难度与计算密码的难度一样大。

前面提到的许多安全插件使用户只需单击几下即可更改其默认登录页面。 也可以使用 CSS 和独立插件（如 LoginPress）对更改进行手动编码。

在采取此步骤时，仔细检查您的凭据也很有意义。 在网站上线之前，让登录过程尽可能无缝和简单是很有诱惑力的。

然而，当一个网站向世界开放时，让潜在攻击者的生活变得更加困难同样具有吸引力。

确保为每个具有登录权限的帐户使用强密码——并可能使用 LastPass 或RoboForm等密码管理器保存它们。 尽量避免使用明显的登录名——“admin”、“editor”和网站名称都应该避免。

请记住，附加到帖子的名称不必与用于登录的名称相同，因此无需担心使其公开可见。

4. 安排定期备份

如果保护 WordPress 网站是一项快速、简单且可靠的工作，那么没有人会费心执行每天发生的数千万次自动攻击。

但是，不幸的是，有时存在安全漏洞，而这些脚本在其他脚本中则特别幸运。 因此，定期备份您的站点是有意义的，最重要的是，将它们保存在服务器以外的地方。

备份还与保护网站安全的最常被忽视的元素之一——用户错误作斗争。 即使是最有经验的网站所有者也会出错，一个简单的错误点击很容易危及其他强大的防御措施。

养成定期备份的习惯还可以最大限度地减少超出安全范围的情况下的损害。 网站出现故障并变得无法恢复的情况很少见，而且很少受到关注，但是当特定的代码更改可能导致大型网站瘫痪时，恢复更改通常比花时间识别问题更容易。

这可能意味着失去几天的数据收集和发布，但这通常是为了换取不妥协的网站而付出的小代价。

毫不奇怪，插件通常再次成为最佳解决方案。 Updraft Plus 备份无疑是最受欢迎的。

虽然要充分利用它肯定有一个学习曲线，但该插件在提供免费和付费版本方面与它的安全同行相得益彰，前者在新网站上做得很好。

此外，它可以配置为备份整个站点，然后通过电子邮件发送它们或将它们存储在多个云存储帐户之一中。

总体而言，一个出色的 WordPress 网站不仅引人注目并包含令人惊叹的内容，而且将自身及其访问者的安全置于优先级列表的首位。

这篇文章是关于启动新网站之前的安全检查表。 有这么多与我们自己的一样易于使用和配置的插件，即使是虚拟 WordPress 新手也可以创建一个安全且随时可以启动的站点。