保护您的 WordPress 网站免受漏洞攻击的提示

您最终可能会在这篇文章中搜索如何保护 WordPress 网站免受攻击？ 或者

如何通过 WordPress 网站防止黑客和恶意软件？

或提示保护您的 WordPress 网站免受所有攻击。

当然，这是正确的文章，它讨论了各种技术、工具和插件，以帮助您保护您的 WordPress 网站。

根据 W3Techs，WordPress 为超过 58% 的使用 CMS 的网站提供支持，占全球所有网站的 24.9%。

因此，随着 WordPress 使用量的增加，以及设置的容易程度和使用的容易程度的日益普及，使用越来越多的 WordPress 主题和插件的人数也在增加。

但是由于它很容易，因此也有一个骑手。 如果在所有默认设置中使用它，黑客就很容易破解它。

因此，需要了解安全性并保护您的 WordPress 驱动的网站，因为没有人喜欢让他们的网站被黑客入侵。

很明显，当您在 Google 上搜索这个关键字时：“防止 WordPress 黑客攻击”它会产生 800 万或更多的结果，这表明人们非常喜欢开发人员以及新手用户想要了解其 WordPress 网站的黑客攻击预防技术和工具。

这是我们作为 WordPress 主题开发人员可以想到的技巧和工具以及技术的列表。

当然，这篇文章可以引发讨论，随着时间的推移，可以进行更多的输入和更多的补充。

我们将从最简单的技术开始，然后转向更复杂的技术：

更简单的安全提示：

1.托管：您的托管在保护您的 WordPress 网站方面起着至关重要的作用。 很多时候，它是让你被黑的坏主机。

如果你有一个很好的主机，很多事情可以很快得到解决，你的大部分挫败感也可以减少。 例如：备份很容易。

经常检查和避免蛮力攻击和垃圾邮件和 SQL 注入。 因此，我们将讨论最推荐的主机及其工具。

一个。 共享主机：大多数人只想启动他们的网站，因此他们不想在第一次使用时花费很多，因此选择共享主机作为他们的平台。

有数以千计的托管公司提供共享托管，我们不可能在此处添加所有托管公司，但我们仅包括 4 个我们亲自尝试过并可以推荐的共享托管。

但是，可能会有更好或类似的服务。 请告诉我们：

一世。 Bluehost ：WordPress.org 在其托管页面上不断引用 Bluehost：https://wordpress.org/hosting/ 如果您需要 WordPress 网站，它是共享托管的一个很好的起点，因为它同时具有 WordPress 高级托管未来和简单的共享主机，一键安装。

由于它是一个共享主机，每月花费你 3 到 4 美元，你不能抱怨缺乏功能或服务。

但是，它有一个称为备份向导的自动备份工具，它与您可以使用的 cpanel 一起提供。 因此，备份可以确保您的安全，如果您的网站被黑客入侵，您可以恢复备份。

ii. 小橙子：我们亲自托管在这个主机上，Bluehost 中的大部分功能都在这里。 但最重要的是我们最喜欢并且可以说比上述主机更好的是支持。

支持票会在 5-6 小时内得到答复，我们总是可以在几分钟内与实时聊天中的某人聊天。

支持是使该主机脱颖而出的原因，因为他们可以免费提供很多答案和帮助。 您需要做的就是向他们索取。 示例：NGINX 服务器缓存安装、备份以及如何使用它等。

iii. SiteGround ：另一个流行的 WordPress 共享主机，它们还为您提供了备份网站的好工具。 存在休息 cpanel 和标准功能。 聊天也很主动，支持票也经常得到答复。

iv. Godaddy ：Godaddy 是最大的域名注册商，因此许多人也更喜欢它作为托管服务。 Overtime Godaddy 也进行了一些更改，以使其成为 WordPress 的可靠托管。

它还开始提供标准的 Cpanel WordPress 托管，允许备份和其他易于使用的工具。

湾。 托管 WordPress 托管：对于那些预算有限并希望托管为他们管理安全的人。

在我们发现的众多托管公司中，这两家托管公司可靠，比其他托管公司便宜，并且经常帮助您保护您的网站，并让您知道哪些插件好，哪些插件不好。

他们还有每晚的备份，这意味着您可以放心使用它们。 因此，一旦发生黑客攻击，这是由于他们管理它而很少见的，他们可以快速恢复备份：

一世。 WP Engine ：WP Engine 让您知道他们最推荐的插件列表。 因此，易受攻击的插件被拒之门外。

ii. FlyWheel ：Flywheel 告诉您不要安装任何安全插件，因为它们自己处理安全性，这意味着一旦您安装了它们，您就不需要做任何事情，剩下的就交给他们了。

2.备份：备份可以通过使用 cpanel 文件管理器或通过 ftp（用于文件）和使用 phpMyAdmin 使用 cpanel 或主机数据库访问的数据库下载。

有 100 多个关于如何手动备份 WordPress 网站的教程。 但是，您应该考虑阅读 Codex 备份程序，因为它们是安全的并且写得很好：http://codex.wordpress.org/WordPress_Backups。

还有几个插件。 我们将简短地讨论它们，因为我们在这里提到的大多数都运行良好并且得到了其他人的好评：

一个。 备份WordPress
湾。 BackUpBuddy （此插件的付费版本也存在）
C。 保险柜出版社
d。 Dropbox 备份和恢复
e. Amazon S3 备份和恢复

3.更新 WordPress 版本：大多数情况下，由于使用旧版本的 WordPress，您的网站有被黑客入侵的风险。 WordPress 在其以前的版本中识别出许多安全漏洞和参数，并且根据其他贡献者的报告，这些漏洞和参数会不时更新。

因此，使用最新版本的 WordPress 应该可以降低被恶意软件入侵或附加的风险。

4.更新 WordPress 插件和主题：主题作者和插件作者通常以相同的方式发布更新和功能。 大多数时候，它们是功能更新。

但有时这些作者也会意识到安全漏洞，因此继续使用更新的插件和主题也是一种很好的做法。

5.更改默认用户名和密码：只要您在本地服务器或测试站点上，默认用户名和默认密码就像简单的数字序列或保持管理员一样使用。

但对于商业网站，更改默认用户名和密码很重要。

现在使用 WordPress 最新版本，可以选择安全用户名并生成安全密码，但对于使用旧版本 WordPress 的用户，您可以转到您的个人资料更改密码。

但是，如果您愿意从那里更改用户名，请使用 phpMyAdmin 更改用户名，或者使用以下任何插件：
一个。 管理员重命名扩展
湾。 用户名更改器

6.蛮力攻击的两步验证：如果您的站点收到大量蛮力攻击并且具有高流量或敏感信息，两步验证是必不可少的。

2 步身份验证保护您的 WordPress 网站登录区域，并使其对于暴力攻击非常复杂。 可用于两步验证的插件是：
一个。 谱号
湾。 双人组
C。 权威
d。 谷歌身份验证器
e. 鲁布隆

这些简单的步骤应该让用户在至少有及时的备份和至少以最低限度的安全性呈现他的网站方面感到放心。

我们将要讨论的下一步是进一步保护您的 WordPress 网站的更复杂的步骤。

复杂的步骤：

1. Codex 强化 WordPress 中列出的步骤：http://codex.wordpress.org/Hardening_WordPress
其中大部分步骤适用于开发人员或长期使用 WordPress 并了解 wp-config 工作原理的人。

使用过文件管理器或 ftp 并且可以在 htaccess、wp-config 等中实现更改。

这些步骤肯定是保护您的网站的起点。 然而，我们接下来要讨论的少数几个安全插件仍然会在您的 WordPress 网站上放置一个安全网，因此您还应该检查以下插件：

2.有助于恶意软件检测和文件更改检测的插件：

一个。 Sucuri 站点扫描：Sucuri 站点扫描有很多选项卡。 在第一个选项卡上是有关何时收到警报通知的常规设置，例如登录、暴力攻击、新用户注册、登录尝试失败警报、插件安装等。

因此，如果您的网站中有很多用户以及可能安装插件的许多管理员或编辑，那么这些功能是有用且必不可少的。

第二个是恶意软件扫描，它会告诉您任何插件或主题目录中存在的任何类型的恶意软件或恶意代码。

它还检查错误文件、修改过的文件（如果有）。 如果您的站点流量较低并且您托管在共享主机上，则应减少扫描，因为扫描也会占用大量托管内存。

第三部分是加强安全性，例如删除 WordPress 版本（因为较低版本更容易被黑客入侵，黑客会检查版本并且他们知道哪个版本存在什么样的安全漏洞）。

因此删除 WordPress 版本，需要保护和强化存储媒体的上传目录，限制 wp-content 访问，强化 readme.html，要删除和更改默认管理员帐户，要更改默认数据库前缀 Sucuri 防火墙保护.

我们尚未对此进行测试，但显示使用 Cloudproxy 防火墙，它声称可以帮助您保护您的网站免受 DDOS、蛮力和 SQL 注入的攻击。 如果您使用过此功能，请告知我们，因为我们没有证据证明此防火墙确实有帮助。

湾。 防病毒：我们发现另一个有用的插件是防病毒。 它检测 WordPress 主题文件和数据库文件的安全性和漏洞利用。

这个安全插件的唯一缺点是它将使用 wp-cron 并且如果您设置了每日扫描，以防您的共享主机不是那么强大并且您的网站规模更大。

在页面、帖子和数据库方面，这个插件在扫描文件和数据库表时可能会消耗大量资源。

C。 ELI 的反恶意软件和蛮力安全：顾名思义，反恶意软件和蛮力安全在这方面做得很好。

如果您在 gotmls.net 上注册插件，您将获得所有已知威胁的更新。 它还扫描 htaccess 中的任何脚本，检查 timethumb 漏洞并警告您，检查任何后门脚本并要求不要使用您，并检查您的登录是否存在任何漏洞。

所以这样这个插件就完成了反恶意软件的任务。 也检查所有原始 WordPress 文件。 您可以使用它并检查现有网站中的任何问题并进行纠正。

d。 主题真实性检查器：在大多数情况下，我们会尝试扫描插件和一般的 WordPress 仪表板安全性，如登录、WordPress 文件等。

但是 WordPress 主题及其安全性也很重要，因为可能存在不必要的脚本或混淆的恶意代码，这些代码很容易被黑客入侵。

因此，这个插件可以作为一个很好的工具来扫描和检查你的主题，一旦你知道哪些文件是不需要的或哪些代码有问题，可以将其提交给原始主题作者，以便删除或更改代码。

为了更安全的做法，或者如果存在太多漏洞，请使用更安全的主题。 对于主题检查的大多数情况，它比防病毒软件做得更好。

3.将保护您的 WordPress 网站的安全插件

一个。 多合一 WP 安全和防火墙：这个负责以下内容，总结了您可以在您的网站上采取的大部分安全措施：
一世。 用户登录安全
ii. 用户帐户安全
iii. 用户注册安全
iv. 系统文件安全
v. 防火墙设置
六。 黑名单功能
七。 数据库安全
八。 备份
九。 防火墙和蛮力

湾。 WordFence 安全

C。 更好的 WP 安全性（现在是 iThemes 安全性）

d。 防弹安全

4.其他不在此列表中但可能有用的：

一个。 Acunetix WP Security ：最近在 WordPress.org 上出现了很多关于这个插件的负面评论，因此我们无法向您推荐它。

湾。 6Scan Security : 许多客户抱怨安装此插件后网站空白，因此我们无法向您推荐。

C。 利用扫描仪

d。 Quttera 网络恶意软件扫描程序