15 个 WordPress 安全技巧来保护您的 WordPress 网站

最近有很多关于 WordPress 网站被黑的消息。 而且，由于最近的攻击，许多人开始质疑 WordPress 的安全性。

因此，如果您拥有一个 WordPress 网站，您必须按照我将在本指南中教给您的这 15 种 WordPress 安全技术采取行动。

在我们直接进入之前，让我提前警告你。

当您在这里忙于阅读本文时，一些脚本小子可能正在尝试入侵您的网站（无论是否为 WordPress）。

严重地？

是的。

“为什么有些人会把时间浪费在我身上？ 这不像我是一家大企业。”

好吧，我不想让你担心，但黑客喜欢小型网站，因为它们很容易成为目标。

为什么网站安全如此大惊小怪？

好的，有人试图闯入我的网站，但我为什么要关心？ 特别是，因为我有所有的备份。 我可以删除 WordPress 并重新安装它。

你的问题是有效的。 但是，如果黑客获得了访问您的备份和网络主机的权限怎么办？

此外，如果计算机盗版者控制了您的网站，还有其他风险，其中一些是……

1. 黑客可能会窃取您和您访问者的信息，并将其用于非法目的。
2. 如果您刚刚开始吸引访客，从长远来看，停机时间会影响您。
3. 人们将开始质疑您网站的质量。
4. 攻击者可能会在您的网站上发布令人反感或非法的内容，您可能必须为此承担后果（法律或其他方式）。

但是，为什么有人会为了给像我这样的小网站带来麻烦而付出所有努力呢？

1. 一个小网站很容易被黑。
2. 黑客们在小型网站上测试他们的工具以进行更大的项目。
3. 他们可以使用您的网络主机发送垃圾邮件。
4. 入侵者利用小网站的资源攻击“大佬”。 您的 Web 服务器可能是用于 DDoS 攻击的僵尸网络的一部分。
5. 黑客可以使用您的网站传播恶意软件。 成千上万的小型网站是传播恶意软件的好方法，因为小型网站所有者无法负担安全专家的安全检查。
6. 黑客可能会通过发布反向链接来使用您的网站来增加他们自己网站的流量和 Google 排名。

因此，即使您刚刚开始建立网站，也必须非常注意安全性。 这不仅仅是关于你。 您的粗心也可能影响他人（DDoS 攻击）。

WordPress被黑了，你应该寻求其他平台吗？

首先，没有任何系统（网站或个人计算机）是安全的。 人们甚至找到了侵入气隙系统（隔离计算机）的方法。

无论您选择哪个平台，黑客都会找到进入其中的方法。

这么多 WordPress 网站被黑的原因是因为 WordPress 非常受欢迎。 大约 27% 的网站使用 WordPress，而且还在增长。 因此，WordPress 已成为黑客和垃圾邮件发送者的金矿。

赛博朋克不断攻击 WordPress，因为如果他们设法找到漏洞，他们可以控制 27% 的互联网。

WordPress 网站被黑的另一个原因是它是一个开放的环境。 用户可以自己编码和修改网站。 他们可以添加第三方插件。

那么，您应该为您的网站找到另一个 CMS 吗？

不。

问题不在于 WordPress 的核心代码，而在于您安装的插件和主题。 但是，正如我之前所说，没有一个系统是完全安全的。

如果 WordPress 本身不安全，为什么 27% 的网络会使用它？

许多志愿者特别注意维护核心系统和 WordPress 存储库。 WordPress 存储库中可用的主题和插件都经过了彻底的安全性和可靠性测试。

此外，WordPress 团队非常巧妙地解决了所有安全问题。 他们不断发布带有安全补丁的更新。 因此，您可以为您的网站信任 WordPress。

但是，作为网站所有者，您也应该格外小心。 您应该始终定期监控您的网站。

以下是您应该遵循的 15 项 WordPress 安全措施，以最大程度地降低您的网站被黑客入侵的风险！

专业提示：在更改文件和安装安全插件之前，请务必备份您的 WordPress 文件，包括数据库。

注意：本指南中的一些链接是附属链接。 如果您通过链接购买服务/产品，我们将获得一定的佣金，您无需支付任何额外费用。 话虽如此，我们不推荐不值得的产品。

1.使用唯一的用户名和密码

当您安装 WordPress 时，WordPress 会自动创建一个名为“admin”的用户名。 我认为这是一个很棒的功能，因为它使我免于输入自己的用户名的繁琐任务。 我可以专注于其他非常重要的事情。 谢谢，WordPress！

我知道我知道。 这是一个愚蠢的借口。 但是，您在安装 WordPress 时是否更改了默认的“admin”用户名？ 欢迎来到俱乐部！

当黑客尝试登录您的管理面板时，他们首先尝试使用“admin”作为用户名。

当您拥有强密码时，用户名有什么大不了的？

好吧，我知道拥有一个强密码是一件好事。 但是，如果您仍然使用“admin”作为您的用户名，您就可以将黑客的工作量减少一半。 排列减少了。

黑客可以尝试不同密码的组合，因为他们已经知道您的用户名。

但是，令人遗憾的是，您无法在 WordPress 中更改用户名！

虽然您可以安装一些插件来更改用户名，但我不建议将插件用于简单任务。

因此，只需创建一个具有管理权限的新用户，然后删除旧的管理员用户。 不用担心，WordPress 会询问您想对用户创建的帖子做什么。

创建新用户时，使用不太明显的用户名，例如“myname”或“mysitename”。

至于密码，简单的规则是你的密码应该是复杂的、长的和唯一的。

复杂：您的密码应至少包含 1 个数字、1 个大写字母和 1 个特殊字符。

长：您的密码应至少有10 个字符长。

唯一性：您的密码不应包含常用词或短语。 而且，您应该为每个网站使用不同的密码。

应用上述密码规则后，您的密码应如下所示：LTwYgrsewDhw@ertzK9#M!K%

这是一个强密码。 但问题是，我们是人类，这很难记住。

因此，请使用 LastPass 和 KeePass 等工具。 它们是免费的，您可以在多个设备上使用它们。

如果您仍然认为因为您有创意就可以摆脱简单的密码，我希望这会改变您的想法。

2.使用双重身份验证

您现在已经为 WordPress 管理面板使用了唯一的用户名和强密码。

伟大的！

这是朝着更好的 WordPress 安全性迈出的一步。

但是，无论密码有多强，都可以破解！ 黑客使用蛮力攻击（我们稍后会谈到）来渗透您的网站。 强大的暴力攻击可以破解任何密码。

这就是为什么您应该开始在您的网站上使用双重身份验证的原因。 它将增强安全性。

双重身份验证要求您输入除用户名和密码之外的安全代码以登录。一旦您激活双重身份验证，您将在智能手机上收到一些代码（一次性使用）。 只有输入代码后，您才能登录。

我知道，这很麻烦，但是请记住，安全总比后悔好。 除非安全专家找到一些 DNA 登录选项，否则有两个因素是最好的安全方法。

不幸的是，WordPress 没有用于添加双重身份验证的内置设置。 您将不得不使用一个名为 Google Authenticator 的插件。

如果您不熟悉 Google 的 2 步验证，Evanto tuts+ 提供了有关在 WordPress 中使用 Google 2 因素验证器的精彩教程。

3. 将用户验证为人类

黑客使用僵尸网络以蛮力攻击系统。 而且，真正给黑客带来麻烦的一种方法是使用 reCAPTCHA 表单。

通常，僵尸网络无法验证 reCAPTCHA，因此黑客必须手动尝试输入用户名和密码。 我的朋友，那是一种痛苦……你知道在哪里。

但是，使用扭曲文本的旧 reCAPTCHA 效率不高。 当您不得不对某些字母进行疯狂猜测时，我们都在那里。

为了使 reCAPTCHA 体验更加人性化和防机器人，Google 推出了新的“No CAPTCHA reCAPTCHA”。 新的隐形 reCAPTCHA 甚至可以自动检测到人。

您可以手动或使用 No CAPTCHA reCAPTCHA 插件在您的 WordPress 登录、评论和/或注册表单上添加 reCAPTCHA。

但是，首先，您需要从 Google 获取您的 reCAPTCHA 密钥。 获得密钥后，如果您手动操作，请在您的代码中输入，如果您使用插件，请在插件设置中输入。

4.更新WordPress

您应该始终更新 WordPress。 WordPress 更新不仅仅是为了添加功能。 最重要的是，更新的发布是为了修复错误和安全漏洞。

但是，如果我在更新 WordPress 后遇到我的主题和插件的兼容性问题怎么办？ 好吧，通常，一旦核心 WordPress 更新，好的主题和插件就会发布更新。

如果您使用的插件或主题尚未更新，那么是时候寻找它们的替代品了。

大多数被黑客入侵的网站都使用过时的 WordPress 或插件或主题。 过时版本的插件可能会使您的网站面临风险。

因此，尽快更新您的主题和插件！ 如果没有可用的更新，请更改它们。 您可以在 WordPress 存储库中找到大量最新的主题和插件。

您还可以试用我们的 WordPress 主题。 我们会定期更新它们，这样您就不必担心主题的安全问题。

如何更新 WordPress

更新 WordPress 很容易。 如果核心系统、主题或插件有任何更新，WordPress 会自动在仪表板上显示通知。

转到仪表板> 更新并单击更新按钮。

您还可以启用自动更新，以便您的核心 WordPress、插件和主题自动更新自己以进行次要版本。 当您的网站自动更新时，您将收到电子邮件通知。

5.禁用文件编辑

您可以使用 WordPress 中的内置代码编辑器轻松自定义您的网站。

但是，想象一下，黑客以某种方式设法登录到您的网站。 现在，他们还可以使用编辑器轻松编辑您的网站。 因此，禁用通过编辑器编辑 WordPress 是一种安全的做法。

要禁用编辑器，请先备份您的 WordPress。 然后，在您的网站后端找到wp-config.php文件。 您可以在网站的根文件夹中找到wp-config.php以及wp-admin和wp-content等其他文件夹。

您可以使用 FTP 客户端连接到网站的后端。 或者，如果您有 cPanel 访问权限，则可以使用 cPanel 中提供的文件管理器。

现在，在wp-config.php文件中添加以下代码行并保存文件

文件更新后，您将无法使用 WordPress 仪表板编辑主题模板。 您仍然可以使用 FTP 或 cPanel 的文件管理器修改主题。

6.限制登录尝试

当您安装 WordPress 时，WordPress 会询问您是否安装限制登录尝试插件。

限制登录尝试是保护您的网站免受暴力攻击的好方法。

黑客会尝试使用不同的登录组合登录您的网站。 但是，如果您启用限制登录尝试，您将允许用户仅尝试登录一定次数，之后用户将被阻止。

如果您在 WordPress 安装过程中忘记选中此选项，请不要担心。 您可以在 WordPress 存储库中找到该插件。

从您的 WordPress 仪表板菜单转到插件> 添加新的。 搜索“Loginizer”，然后安装并激活插件。

激活插件后，从 WordPress 管理菜单转到Loginizer Security> Brute Force以设置登录保护。

7.蛮力攻击保护

黑客使用蛮力攻击来访问您网站的管理面板或 FTP 帐户。 基本上，蛮力攻击是一种试错法。 这就像尝试不同的组合键来打开锁一样。 入侵者可以使用僵尸网络来自动化攻击。

为防止您的网站成为暴力攻击的目标，请遵循说明 1、2、3 和 6。

您还可以更改默认登录 URL (www.mywebsite.com/wp-admin/)，以便黑客首先很难找到登录表单。

您可以使用名为 All In One WordPress Security & Firewall 的插件创建自定义登录 URL。 安装插件后，转到蛮力部分以启用自定义登录 URL。 这个插件有很多功能，如果你安装了这个插件，你甚至不需要任何其他的 WordPress 安全插件。

8. DDoS攻击防护

由于支持 Internet 的设备如此之多，DDoS 攻击的频率一直在增加。

DDoS 是一种使用虚假流量淹没网站/服务的方法，目的是降低服务。 黑客使用受感染的系统（具有恶意软件）来执行 DDoS 攻击。 2016 年，黑客破坏了 DYN，使 Twitter、亚马逊、Reddit 和 Netflix 等许多著名网站下线。

因此，您应该时刻准备好应对 DDoS 攻击。

通过遵循上述安全措施（1、2、3、4、6 和 7），您已经为 DDoS 攻击做好了准备。

除此之外，我还建议使用 CloudFlare 或 MaxCDN 等云服务。 它们可以帮助您缓解 DDoS 攻击。

同样，缓存您的网站也可以帮助您保护您的网站免受流量过载的影响。 您可以使用 WP Super Cache 等插件缓存您的网站。

9. 扫描恶意软件并删除它们

既然你如此仔细地阅读我的安全提示（我真的希望你是），让我告诉你一些更可怕的事情，如果你还没有惊慌的话！

黑客很狡猾！ 他们可能已经在您的网络文件中放置了一些恶意软件。

因此，您需要尽快扫描您的网络服务器以查找恶意文件！ 并且，删除它们。

怎么做？

插件一个安全插件。 Sucuri Security 是用于检测和删除 WordPress 上的恶意软件的最佳免费插件。

如果您不喜欢添加插件或想做完整的服务器端扫描，请订阅 Sucuri。 这项服务需要您付费。

如果你买不起 Sucuri（我知道它很贵），那就有高速公路。 因为我一直在向你宣讲所有这些技术性的东西，所以我认为你应该得到款待。

以下是如何从您的网站免费扫描和删除恶意软件！

首先，使用您选择的 FTP 客户端从您的服务器下载public_html文件夹。 然后，使用计算机上的防病毒软件（诺顿、卡巴斯基或其他软件）扫描下载的文件夹。 确保防病毒程序是最新的。

之后，使用 FTP 将旧的public_html文件替换为新清理的文件。 就这么简单！

10. 好的虚拟主机

网络主机在网站的安全中起着重要的、非常重要的作用。

一个好的网络主机为您提供支持和工具来应对 DDoS 攻击、蛮力攻击和恶意软件。 因此，我推荐 SiteGround 托管，因为它们将安全性放在首位。

通常，共享托管计划更容易受到攻击，因为服务器与其他网站共享。 黑客可以使用同一服务器上的其他网站在共享主机上攻击您的网站。 这个概念称为跨站点污染。

通常认为获得专用托管或 VPS 托管是最好的，但它们很昂贵。 作为初学者，您可能没有预算。

这是否意味着你冒着风险？ 不会。即使是共享主机也可以受到保护。

像 SiteGround 这样的优秀网络托管公司会安装像 ModSecurity 这样的防火墙，即使在共享托管计划中也是如此。 此外，它们限制服务器上的网站数量，并定期扫描服务器以查找恶意软件。

同样，如果您的虚拟主机可以为您提供 Sucuri 安全性，那将是一个加分项。

11. 明智地选择插件和主题

好吧，明智地选择插件和主题。 这就是你需要知道的关于这个话题的全部内容。

安装第三方插件和主题的选项使 WordPress 容易受到黑客攻击。

WordPress 存储库中可用的插件和 WordPress 主题是安全的。 但是，如果您需要手动添加一些插件或主题，请务必在将它们上传到 WordPress 之前使用防病毒软件检查恶意软件。

此外，在安装插件或主题之前，请检查评论和最后更新日期。

12.删除不必要/过时的主题和插件

始终保持 WordPress 清洁。

如果您当前没有使用任何插件或主题，并且它们已过时，请将它们删除。 他们可能会邀请黑客。

同样，转到 WordPress 的后端，通过将其与默认的 WordPress 文件进行比较来检查是否有任何不必要的文件。

或者，您可以重新安装 WordPress。

首先，备份您的数据库和 WordPress。 然后，删除 WordPress。 并且，安装一个新的更新的 WordPress。

确保在维护期间通过显示维护页面通知访问者。

13. 保护 .htaccess 和 wp-content.php

只有全能者知道如果黑客访问您的 .htaccess 或 wp-content.php 文件会做什么。

因此，您应该始终隐藏 .htaccess 和 wp-content.php 文件。 即使您不知道如何编码，您也可以通过在 .htaccess 文件中插入一些代码来轻松保护 .htaccess 和 wp-content.php。

请在更改之前保留 .htaccess 文件的备份。

从您网站的根目录中找到.htaccess文件，并将以下代码行添加到其中。

隐藏 wp-config.php 的代码

隐藏 .htaccess 文件的代码

14.隐藏敏感信息

确保在安装 WordPress 后删除（或至少重命名） readme.html文件。 自述文件将告诉黑客您使用的是哪个版本的 WordPress。

此外，如果您创建了 phpinfo.php 或 i.php 文件，我建议您删除或重命名它。 此文件包含有关您的服务器的所有信息。

此外，禁用目录索引。 攻击者可以通过目录浏览查看您的文件夹和文件的结构。 你不需要精通技术来做到这一点。 只需转到 .htaccess 文件，并在文件末尾添加以下代码。

15.保持领先和更新

黑客总是比所有安全专家领先一步。 实际上，在有人闯入系统之前，安全专家甚至不会知道安全漏洞。

因此，请始终让自己了解和更新有关安全新闻和问题的信息。 在 Twitter 或 Facebook 上关注安全公司，甚至订阅他们的新闻通讯。

Kerbsonsecurity 是一个很棒的博客，可以让您及时了解安全问题。

结论

让黑客难以猜谜游戏！

您无法阻止黑客进行黑客攻击。 你所能做的就是为攻击做好准备。

好人正在努力保护 WordPress 免受黑客攻击，但错误时有发生。

始终备份您的网站，以防黑客接管您的网站。 将备份保存在安全的地方（如果可能的话，放在多个地方）。

最后，遵循上述所有 15 条提示来保护 WordPress 网站。 并保持您自己、主题、插件和 WordPress 的更新！

愿原力与你同在。