安全清單 – 啟動 WordPress 網站之前要考慮的 4 件事

無論您是使用我們專業的最佳 WordPress 主題創建自己的網站，還是讓其他人為您創建網站，您網站的安全性都應始終保持在您的優先級列表的首位。

但是，正如許多網站所有者痛苦地意識到的那樣，保持網站正常運行並不僅僅是添加內容、處理訂單和執行營銷計劃。

安全漏洞的範圍從煩人的（例如通過聯繫表格發送的垃圾郵件）到代價高昂的（例如您的網站離線且無法賺取收入的情況）。

在最極端的情況下，安全漏洞甚至可能導致危險的結果，暴露信息並進一步損害訪問者的在線安全。

幸運的是，保持網站安全並不需要昂貴或耗時。 數以萬計的其他網站所有者將他們的網站安全作為重中之重，在自由市場中，這意味著有大量的插件和服務可供選擇。

它們結合起來使您的網站保持在線並保持訪問者的信心，無論不良行為者可能向您發送什麼。 本文專門介紹了啟動網站之前的安全檢查表。

在將您的網站上線之前，需要考慮以下四個重要事項。 即使您已經在線，它們也適用，因為它們很容易部署到現有站點上——而且在站點安全方面，遲到總比沒有好！

安全檢查表——創建 WordPress 網站之前要考慮的 4 件事

1. 從一體化安全插件開始

正如介紹中所提到的，在所有東西都有一個 WordPress 插件的時候，網站安全永遠不會錯過。

據安全周刊報導，任何時候都有 1850 萬個網站感染了惡意軟件。 同一消息來源接著說，平均網站每天受到 44 次攻擊。

那是在 2018 年，平均每天有 50 萬個新網站上線，這些數字不容忽視。

新網站所有者可能會錯誤地假設他們的網站對潛在的攻擊者沒有興趣。 但是，值得考慮的是，沒有人願意運行一個沒有人訪問的站點。

無論您將 URL 添加到印刷材料、優化搜索引擎的內容還是在社交媒體上宣傳發布，目標通常是吸引目標受眾的注意力。 不幸的是，這樣做，您的網站也不可避免地會受到機器人的攻擊。

在大多數情況下，網站安全漏洞很少是手動的。 那些願意在通常不應該識別特定目標時投入時間和精力進入網站後端的人。

相反，大部分違規行為，尤其是在較小、較新的網站上，都源於機器人和腳本。 他們使用與用戶相同的搜索引擎，並且經常執行他們過去成功使用的相同、相對基本的攻擊模式。

模式的好處在於，當有人知道他們在尋找什麼時，它們很容易識別。 流行安全插件背後的開發人員是這項工作的完美人選，他們分析這些嘗試以確保強大的保護。

Wordfence、iThemes Security 和 Sucuri 都是非常受歡迎的選擇，它們都擁有免費和付費選項。

當然，付費升級通常是值得的，但如果您有預算或想在進一步投資之前先看看網站的表現，免費版本總比沒有好。

2. 確保您已在站點上安裝 SSL 加密

安全清單中最重要的事情之一是 SSL 加密。 一些網站所有者可能會覺得安裝 SSL 加密是一項技術挑戰。 但是，網絡主機現在可以盡可能輕鬆地在 WordPress 網站上配置此功能。

一些主機只需單擊一下即可實現，並確保您的證書永久有效。 在最壞的情況下，只需要遵循一些說明並複制和粘貼幾個安全密鑰。 最重要的是，它值得去做。

正如Kaspersky更詳細地介紹的那樣，SSL 證書可確保網站和訪問者之間的連接受到保護。

SSL 曾經只被認為對於在其網站上處理金融交易的人來說是必不可少的，但現在它本身實際上已成為一種標準，並在所有通信中提供 HTTPS 保護。

事實上，如果一個網站在其代碼中聲稱擁有證書，但其合法性似乎存在錯誤，則谷歌 Chrome 等瀏覽器將顯示整頁警告，建議潛在訪問者返回。

當然，許多用戶也會使用 VPN 來保護他們與站點的通信，但這並不是放棄 HTTPS 保護的藉口。

雖然 HTTPS 和 VPN 之間有明顯的區別，但前者取決於網站所有者來實施，而後者是訪問者的附加保護層。

在線立法正在迅速發展，在線隱私多年來一直是熱門話題。 在擁有一個網站時，個人有責任盡其所能保護用戶信息的安全。

這不一定是昂貴的或技術密集的，但負責任的網站所有者至少應該確保他們已採取合理的預防措施來保護數據。

SSL 集成是這樣做的關鍵步驟。 這種預防措施也被 Google 視為排名因素，添加一個可能會略微提升搜索性能。

3.保護登錄頁面

除非網站的設計存在更嚴重的錯誤，或者正在進行更集中的攻擊，例如 DDOS（分佈式拒絕服務），否則大多數潛在的攻擊者都需要訪問 WordPress 的後端管理區域安裝造成嚴重損壞。

WordPress 的一個小煩惱是每個站點的默認登錄頁面通常都是相同的，主域後附加了“/wp-admin/”。

我們之前提到的那些機器人和腳本都習慣於嘗試以標準方式訪問此頁面。 降低其效力的快速解決方法就是移動它。

您可以根據自己的喜好將其添加為書籤、記下或更改它的好處。 如果更改為隨機位置，自動攻擊查找頁面的難度與計算密碼的難度一樣大。

前面提到的許多安全插件使用戶只需單擊幾下即可更改其默認登錄頁面。 也可以使用 CSS 和獨立插件（如 LoginPress）對更改進行手動編碼。

在採取此步驟時，仔細檢查您的憑據也很有意義。 在網站上線之前，讓登錄過程盡可能無縫和簡單是很有誘惑力的。

然而，當一個網站向世界開放時，讓潛在攻擊者的生活變得更加困難同樣具有吸引力。

確保為每個具有登錄權限的帳戶使用強密碼——並可能使用 LastPass 或RoboForm等密碼管理器保存它們。 盡量避免使用明顯的登錄名——“admin”、“editor”和網站名稱都應該避免。

請記住，附加到帖子的名稱不必與用於登錄的名稱相同，因此無需擔心使其公開可見。

4. 安排定期備份

如果保護 WordPress 網站是一項快速、簡單且可靠的工作，那麼沒有人會費心執行每天發生的數千萬次自動攻擊。

但是，不幸的是，有時存在安全漏洞，而這些腳本在其他腳本中則特別幸運。 因此，定期備份您的站點是有意義的，最重要的是，將它們保存在服務器以外的地方。

備份還與保護網站安全的最常被忽視的元素之一——用戶錯誤作鬥爭。 即使是最有經驗的網站所有者也會出錯，一個簡單的錯誤點擊很容易危及其他強大的防禦措施。

養成定期備份的習慣還可以最大限度地減少超出安全範圍的情況下的損害。 網站出現故障並變得無法恢復的情況很少見，而且很少受到關注，但是當特定的代碼更改可能導致大型網站癱瘓時，恢復更改通常比花時間識別問題更容易。

這可能意味著失去幾天的數據收集和發布，但這通常是為了換取不妥協的網站而付出的小代價。

毫不奇怪，插件通常再次成為最佳解決方案。 Updraft Plus 備份無疑是最受歡迎的。

雖然要充分利用它肯定有一個學習曲線，但該插件在提供免費和付費版本​​方面與它的安全同行相得益彰，前者在新網站上做得很好。

此外，它可以配置為備份整個站點，然後通過電子郵件發送它們或將它們存儲在多個雲存儲帳戶之一中。

總體而言，一個出色的 WordPress 網站不僅引人注目並包含令人驚嘆的內容，而且將自身及其訪問者的安全置於優先級列表的首位。

這篇文章是關於啟動新網站之前的安全檢查表。 有這麼多與我們自己的一樣易於使用和配置的插件，即使是虛擬 WordPress 新手也可以創建一個安全且隨時可以啟動的站點。