7 WordPress 安全最佳實踐

隨著黑客和安全漏洞成為運行 WordPress 網站的任何人都更加關注的問題，重要的是要知道您可以通過使用一些 WordPress 安全最佳實踐來大幅提高您的安全性。

如果您還沒有製定 WordPress 安全策略，這篇文章將幫助您了解保護您的 WordPress 網站的七種方法。

WordPress 安全最佳實踐

• 1. 在密碼管理器的幫助下使用強密碼。
• 2. 兩方面因素。
• 3. 定期更換您的 WordPress 鹽。
• 4. 使用安全的文件權限。
• 5. 盡可能使用 sFTP。
• 6. 在您的所有 WordPress 網站上使用 SSL。
• 7. 保持您的 WordPress 網站及其上的所有內容都是最新的。

了解威脅：什麼是黑客？

不幸的是，有些人和系統正在積極地攻擊網站。 “黑客”這個詞可能會讓人想到一些想法，包括：

• 在黑暗的地下室工作的永遠難以捉摸的蒙面少年
• 滲透犯罪分子或外國政府的政府特工
• 爭取自由、平等或揭露腐敗的地下網絡

雖然所有這些“黑客”場景確實存在，但它們不太可能針對您的個人 WordPress 網站。 您可能想將攻擊擬人化，但事實是，“黑客”更像是一個沒有頭腦的機器人。

對於機器人，我們指的是“機器人”，或連接到互聯網的自動化代碼。 就像製造工廠的機械臂被編程為執行特定任務一樣，這些機器人每天每一秒都在工作，盡可能多地在盡可能多的地點執行他們的編程任務。

黑客機器人的邏輯通常可以概括為“找到一個站點並發起這種特定的攻擊”。 攻擊的目標通常是將受攻擊的站點變成另一個可以執行任務的機器人。 這些任務的範圍可以從攻擊其他站點到發送垃圾郵件或網絡釣魚電子郵件。 換句話說，這些機器人不知道您的網站是關於什麼的，他們也不關心。 對於機器人的創建者來說，每個受感染的站點都使他們能夠訪問更多資源，從而以一種或另一種方式創造收入流。

為什麼有人要入侵我的網站？

目前，網絡上有數千萬個網站。 WordPress 為其中約 26% 提供支持。 不幸的是，WordPress 網站的絕對數量使其成為目標。

最近，Sucuri 發布了一份被黑的 WordPress 報告，他們在 2019 年第三季度工作的網站中約有 94% 是 WordPress 網站。

像這樣的圖表會讓用戶擔心 WordPress 不安全——它是。 在上面的圖表中，Sucuri 發現在大多數情況下，妥協與 WordPress 核心幾乎沒有關係。 相反， WordPress 的妥協與網站管理員和主機的不當部署、配置和整體維護有關。

即使存在這些已知的 WordPress 安全問題，如果您保持更新並使用這些 WordPress 安全最佳實踐，WordPress 也是安全的。

如何確保我的 WordPress 網站安全？

談到 WordPress 安全性，問題不是您是否受到攻擊，而是如何防止 WordPress 黑客成功。 所以，我們能做些什麼？ 通過查看一些 WordPress 安全 101 提示並實施這些 WordPress 安全最佳實踐，您可以大幅提高 WordPress 安全性。

1. 在密碼管理器的幫助下使用強密碼

這是一個快速測驗。 您知道至少一個密碼嗎？ 您是否使用該密碼在其他地方再次登錄？ 如果您對這兩個問題的回答都是肯定的，則您的密碼策略可能需要進行認真的審核。

什麼是好的密碼？

• 長
• 隨機的
• 獨特的

如果您知道密碼，則它們可能太弱了。 這就是為什麼使用密碼管理器來管理密碼是確保所有帳戶登錄安全的最佳方式。

在密碼管理器的幫助下，您可以生成長的、隨機的、唯一的密碼，並在瀏覽器擴展程序的幫助下安全地存儲它們。 因此，您必須記住的唯一密碼是登錄密碼管理器的主密碼。

密碼管理器：

• 最後通行證
• 1密碼
• 達什蘭

在密碼管理器的幫助下，您可以開始使用良好的密碼安全性進行登錄。 查看更多 WordPress 密碼安全提示。

2. 所有事情的兩個因素。

雙因素身份驗證不僅僅是麻煩，它是真正的安全性。 您是否使用過雙因素身份驗證，您知道它是如何工作的嗎？

雙因素身份驗證是通過需要兩種驗證方法來驗證一個人身份的過程：您知道的東西、您擁有的東西或您的身份。

雖然很容易認為雙因素身份驗證很煩人，但現在是時候擺脫不便，並向我們認識的每個人宣傳使用此方法來保護您的登錄的價值。 如果有人能夠竊取您的憑據，如果您啟用了雙因素身份驗證，則對他們沒有任何好處。 黑客不僅需要您的用戶名和密碼，還需要您的移動設備才能成功登錄。

為您的 WordPress 登錄添加雙因素身份驗證，然後在任何地方（包括您的電子郵件、財務帳戶，甚至您的社交網絡（如果可用））進行雙因素驗證。

使用 iThemes Security Pro，您可以輕鬆地將 WordPress 兩因素身份驗證添加到您的 WordPress 登錄中。

3. 定期更改您的 WordPress 鹽和鍵。

WordPress 使用 cookie（或存儲在瀏覽器中的信息）來驗證登錄用戶和評論者的身份。 為了更好地保護和確保 WordPress cookie 中存儲的登錄信息的加密，WordPress 在您的 wp-config.php 文件中包含秘密身份驗證密鑰和鹽。 從本質上講，WordPress 鹽和密鑰是您網站的附加密碼，它們很長、隨機且複雜，因此幾乎不可能破解。

有幾個插件，包括 iThemes Security Pro，可以為您更改 WordPress 鹽和密鑰。

• iThemes 安全專業版
• WP 配置文件編輯器

4. 使用安全文件權限。

如果任何人都可以查看或寫入您的服務器文件，您的站點有多安全？ 它不是。 安全的 WordPress 文件權限是必須的。

例如，這些文件和目錄權限是禁忌。

• 目錄 – 777
• 檔案 – 666

您實際能夠設置的內容可能因服務器而異，但您通常可以通過主機控制面板和 FTP 客戶端調整文件和目錄權限。 你的文件應該在 400 到 444 之間。你的目錄在 700 到 744 之間。

如果您不確定，iThemes Security 插件包括一種快速檢查文件權限狀態的方法。

5. 盡可能使用 sFTP。

如果您在網站上編輯文件，最好開始使用 sFTP 而不是 FTP。 如果您不直接編輯代碼，請確保您的 Web 開發人員使用最高安全協議來訪問服務器文件。

雖然 SFTP 和 FTP 協議都傳輸數據，但它們的相似之處也就到此為止。 作為入門，FTP 代表文件傳輸協議。 FTP 在兩個遠程連接之間以純文本形式傳輸數據。 每當用戶打開常規 FTP 會話時，主機和用戶之間的整個傳輸都以純文本形式發送。 任何有能力窺探網絡的人都可以讀取數據，包括您的密碼信息。

sFTP 是 FTP 命令的安全形式。 sFTP 確保使用 SSH2 協議安全地私密傳輸數據。 當使用 sFTP 而不是 FTP 時，整個登錄會話，包括密碼的傳輸，都會被加密。 因此，對於在網絡上四處窺探的人來說，觀察和收集密碼要困難得多。

6. 在您的所有 WordPress 網站上使用 SSL。

什麼是 SSL？ 為什麼要使用它？ 我們都在瀏覽器中所訪問的 URL 旁邊看到了綠色掛鎖，但為什麼它如此重要？

以下是 SSL/HTTPS 術語的快速入門：

• HTTP 代表超文本協議。 使用HTTP傳輸信息時，有知識的人比較容易攔截、查看。
• HTTPS 代表超文本協議安全。 使用 HTTPS 時，如果有人能夠攔截它，他們仍然無法破譯它，因為它是加密的。
• SSL – 安全套接字層是使用 HTTPS 傳輸過程中的安全性。

在 Web 的早期，管理員需要一種方法來共享他們放在網上的信息。 他們為此開發了 HTTP 協議，但很快就發現它很容易攔截和查看信息。 然後他們商定了一個程序來保護他們共享的信息，這就是 HTTPS 協議。

這就是 SSL 證書和 SSL 發揮作用的地方。 參與傳輸的每台計算機上的 SSL 證書都有唯一的密鑰或鎖。 數據通過安全套接字層傳輸。 您可以想像數據正在通過一條兩端都帶有掛鎖的安全隧道傳輸，這樣其他人就不會獲得您的信息的特權。

SSL 證書的價格不等，但對於確保您網站上的信息安全絕對必要。 也有幾個地方可以購買 SSL 證書，但最簡單的途徑是從您的主機購買，然後讓他們安裝。 您還可以查看我們的 WordPress HTTPS 培訓。

7. 使您的 WordPress 網站及其上的所有內容保持最新。

跟上 WordPress 維護是擁有可靠 WordPress 安全策略的最後一部分。 就像您的草坪需要修剪或您的汽車需要換油一樣，您必須對 WordPress 網站進行定期維護，這意味著要積極跟上 WordPress 核心、主題和插件的更新。

• 保持 WordPress 核心是最新的。
• 保持插件和主題是最新的。
• 定期更新您的密碼。
• 定期審核您的站點以查找未使用的插件、主題和用戶，並將其刪除。
• 總是有一個最近的 WordPress 備份。 備份您的網站不僅可以在出現問題時為您節省時間，還可以為您節省昂貴的體驗。 使用像 BackupBuddy 這樣的 WordPress 備份插件來創建自動 WordPress 備份並將備份文件異地存儲在安全的目的地。

如果您管理多個 WordPress 站點，則有一些工具可以幫助簡化 WordPress 維護，例如 iThemes Sync。 您無需登錄每個單獨的網站來運行更新，而是擁有一個中央儀表板來同時運行多個網站。 iThemes Sync 還可以在 WordPress 網站的新更新可用時發送通知電子郵件，這樣您就不會錯過重要的安全更新。

無論您如何操作，請確保您的 WordPress 網站及其上的所有內容都是最新的。

邁克爾·摩爾

每週，Michael 都會匯總 WordPress 漏洞報告，以幫助確保您的網站安全。 作為 iThemes 的產品經理，他幫助我們繼續改進 iThemes 產品陣容。 他是一個巨大的書呆子，喜歡學習所有新舊技術。 你可以找到邁克爾和他的妻子和女兒一起出去玩，在不工作的時候閱讀或聽音樂。