保護您的 WordPress 網站免受漏洞攻擊的提示

您最終可能會在這篇文章中搜索如何保護 WordPress 網站免受攻擊？ 或者

如何通過 WordPress 網站防止黑客和惡意軟件？

或提示保護您的 WordPress 網站免受所有攻擊。

當然，這是正確的文章，它討論了各種技術、工具和插件，以幫助您保護您的 WordPress 網站。

根據 W3Techs，WordPress 為超過 58% 的使用 CMS 的網站提供支持，佔全球所有網站的 24.9%。

因此，隨著 WordPress 使用量的增加以及設置和使用的簡單程度的日益普及，使用越來越多的 WordPress 主題和插件的情況也在增加。

但是由於它很容易，因此也有一個騎手。 如果在所有默認設置中使用它，黑客就很容易破解它。

因此，需要了解安全性並保護您的 WordPress 驅動的網站，因為沒有人喜歡讓他們的網站被黑客入侵。

很明顯，當您在 Google 上搜索這個關鍵字時：“防止 WordPress 黑客攻擊”它會產生 800 萬或更多的結果，這表明人們非常喜歡開發人員以及新手用戶想要了解其 WordPress 網站的黑客攻擊預防技術和工具。

這是我們作為 WordPress 主題開發人員可以想到的技巧和工具以及技術的列表。

當然，這篇文章可以引發討論，隨著時間的推移，可以進行更多的輸入和更多的補充。

我們將從最簡單的技術開始，然後轉向更複雜的技術：

更簡單的安全提示：

1.託管：您的託管在保護您的 WordPress 網站方面起著至關重要的作用。 很多時候，它是讓你被黑的壞主機。

如果你有一個很好的主機，很多事情可以很快得到解決，你的大部分挫敗感也可以減少。 例如：備份很容易。

經常檢查和避免蠻力攻擊和垃圾郵件和 SQL 注入。 因此，我們將討論最推薦的主機及其工具。

一個。 共享主機：大多數人只想啟動他們的網站，因此他們不想在第一次使用時花費很多，因此選擇共享主機作為他們的平台。

有數以千計的託管公司提供共享託管，我們不可能在此處添加所有託管公司，但我們僅包括 4 個我們親自嘗試過並可以推薦的共享託管。

但是，可能會有更好或類似的服務。 請告訴我們：

一世。 Bluehost ：WordPress.org 在其託管頁面上不斷引用 Bluehost：https://wordpress.org/hosting/ 如果您需要 WordPress 網站，它是共享託管的一個很好的起點，因為它同時具有 WordPress 高級託管未來和簡單的共享主機，一鍵安裝。

由於它是一個共享主機，每月花費你 3 到 4 美元，你不能抱怨缺乏功能或服務。

但是，它有一個稱為備份嚮導的自動備份工具，它與您可以使用的 cpanel 一起提供。 因此，備份可以確保您的安全，如果您的網站被黑客入侵，您可以恢復備份。

ii. 小橙子：我們親自託管在這個主機上，Bluehost 中的大部分功能都在這裡。 但最重要的是我們最喜歡並且可以說比上述主機更好的是支持。

支持票會在 5-6 小時內得到答复，我們總是可以在幾分鐘內與實時聊天中的某人聊天。

支持是使該主機脫穎而出的原因，因為他們可以免費提供很多答案和幫助。 您需要做的就是向他們索取。 示例：NGINX 服務器緩存安裝、備份以及如何使用它等。

iii. SiteGround ：另一個流行的 WordPress 共享主機，它們還為您提供了備份網站的好工具。 存在休息 cpanel 和標準功能。 聊天也很主動，支持票也經常得到答复。

iv. Godaddy ：Godaddy 是最大的域名註冊商，因此許多人也更喜歡它作為託管服務。 Overtime Godaddy 也進行了一些更改，以使其成為 WordPress 的可靠託管。

它還開始提供標準的 Cpanel WordPress 託管，允許備份和其他易於使用的工具。

灣。 託管 WordPress 託管：對於那些預算有限並希望託管為他們管理安全的人。

在我們發現的眾多託管公司中，這兩家託管公司可靠，比其他託管公司便宜，並且經常幫助您保護您的網站，並讓您知道哪些插件好，哪些插件不好。

他們還有每晚的備份，這意味著您可以放心使用它們。 因此，一旦發生黑客攻擊，這是由於他們管理它而很少見的，他們可以快速恢復備份：

一世。 WP Engine ：WP Engine 讓您知道他們最推薦的插件列表。 因此，易受攻擊的插件被拒之門外。

ii. FlyWheel ：Flywheel 告訴您不要安裝任何安全插件，因為它們自己處理安全性，這意味著一旦您安裝了它們，您就不需要做任何事情，剩下的就交給他們了。

2.備份：備份可以通過使用 cpanel 文件管理器或通過 ftp（用於文件）和使用 phpMyAdmin 使用 cpanel 或主機數據庫訪問的數據庫下載。

有 100 多個關於如何手動備​​份 WordPress 網站的教程。 但是，您應該考慮閱讀 Codex 備份程序，因為它們是安全的並且寫得很好：http://codex.wordpress.org/WordPress_Backups。

還有幾個插件。 我們將簡短地討論它們，因為我們在這裡提到的大多數都運行良好並且得到了其他人的好評：

一個。 備份WordPress
灣。 BackUpBuddy （此插件的付費版本也存在）
C。 保險櫃出版社
d。 Dropbox 備份和恢復
e. Amazon S3 備份和恢復

3.更新 WordPress 版本：大多數情況下，由於使用舊版本的 WordPress，您的網站有被黑客入侵的風險。 WordPress 在其以前的版本中識別出許多安全漏洞和參數，並且根據其他貢獻者的報告，這些漏洞和參數會不時更新。

因此，使用最新版本的 WordPress 應該可以降低被惡意軟件入侵或附加的風險。

4.更新 WordPress 插件和主題：主題作者和插件作者通常以相同的方式發布更新和功能。 大多數時候，它們是功能更新。

但有時這些作者也會意識到安全漏洞，因此繼續使用更新的插件和主題也是一種很好的做法。

5.更改默認用戶名和密碼：只要您在本地服務器或測試站點上，默認用戶名和默認密碼就像簡單的數字序列或保持管理員一樣使用。

但對於商業網站，更改默認用戶名和密碼很重要。

現在使用 WordPress 最新版本，可以選擇安全用戶名並生成安全密碼，但對於使用舊版本 WordPress 的用戶，您可以轉到您的個人資料更改密碼。

但是，如果您願意從那裡更改用戶名，請使用 phpMyAdmin 更改用戶名，或者使用以下任何插件：
一個。 管理員重命名擴展
灣。 用戶名更改器

6.蠻力攻擊的兩步驗證：如果您的站點收到大量蠻力攻擊並且具有高流量或敏感信息，兩步驗證是必不可少的。

2 步身份驗證保護您的 WordPress 網站登錄區域，並使其對於暴力攻擊非常複雜。 可用於兩步驗證的插件是：
一個。 譜號
灣。 雙人組
C。 權威
d。 谷歌身份驗證器
e. 魯布隆

這些簡單的步驟應該讓用戶在至少有及時的備份和至少以最低限度的安全性呈現他的網站方面感到放心。

我們將要討論的下一步是進一步保護您的 WordPress 網站的更複雜的步驟。

複雜的步驟：

1. Codex 強化 WordPress 中列出的步驟：http://codex.wordpress.org/Hardening_WordPress
其中大部分步驟適用於開發人員或長期使用 WordPress 並了解 wp-config 工作原理的人。

使用過文件管理器或 ftp 並且可以在 htaccess、wp-config 等中實現更改。

這些步驟肯定是保護您的網站的起點。 然而，我們接下來要討論的少數幾個安全插件仍然會在您的 WordPress 網站上放置一個安全網，因此您還應該檢查以下插件：

2.有助於惡意軟件檢測和文件更改檢測的插件：

一個。 Sucuri 站點掃描：Sucuri 站點掃描有很多選項卡。 在第一個選項卡上是有關何時收到警報通知的常規設置，例如登錄、暴力攻擊、新用戶註冊、登錄嘗試失敗警報、插件安裝等。

因此，如果您的網站中有很多用戶以及可能安裝插件的許多管理員或編輯，那麼這些功能是有用且必不可少的。

第二個是惡意軟件掃描，它會告訴您任何插件或主題目錄中存在的任何類型的惡意軟件或惡意代碼。

它還檢查錯誤文件、修改過的文件（如果有）。 如果您的站點流量較低並且您託管在共享主機上，則應減少掃描，因為掃描也會佔用大量託管內存。

第三部分是加強安全性，例如刪除 WordPress 版本（因為較低版本更容易被黑客入侵，黑客檢查版本並且他們知道哪個版本存在什麼樣的安全漏洞）。

因此刪除 WordPress 版本，需要保護和強化存儲媒體的上傳目錄，限制 wp-content 訪問，強化 readme.html，要刪除和更改默認管理員帳戶，要更改默認數據庫前綴 Sucuri 防火牆保護.

我們尚未對此進行測試，但顯示使用 Cloudproxy 防火牆，它聲稱可以幫助您保護您的網站免受 DDOS、蠻力和 SQL 注入的攻擊。 如果您使用過此功能，請告知我們，因為我們沒有證據證明此防火牆確實有幫助。

灣。 防病毒：我們發現另一個有用的插件是防病毒。 它檢測 WordPress 主題文件和數據庫文件的安全性和漏洞利用。

這個安全插件的唯一缺點是它將使用 wp-cron 並且如果您設置了每日掃描，以防您的共享主機不是那麼強大​​並且您的網站規模更大。

在頁面、帖子和數據庫方面，這個插件在掃描文件和數據庫表時可能會消耗大量資源。

C。 ELI 的反惡意軟件和蠻力安全：顧名思義，反惡意軟件和蠻力安全在這方面做得很好。

如果您在 gotmls.net 上註冊插件，您將獲得所有已知威脅的更新。 它還掃描 htaccess 中的任何腳本，檢查 timethumb 漏洞並警告您，檢查任何後門腳本並要求不要使用您，並檢查您的登錄是否存在任何漏洞。

所以這樣這個插件就完成了反惡意軟件的任務。 也檢查所有原始 WordPress 文件。 您可以使用它並檢查現有網站中的任何問題並進行糾正。

d。 主題真實性檢查器：在大多數情況下，我們會嘗試掃描插件和一般的 WordPress 儀表板安全性，如登錄、WordPress 文件等。

但是 WordPress 主題及其安全性也很重要，因為可能存在不必要的腳本或混淆的惡意代碼，這些代碼很容易被黑客入侵。

因此，這個插件可以作為一個很好的工具來掃描和檢查你的主題，一旦你知道哪些文件是不需要的或哪些代碼有問題，可以將其提交給原始主題作者，以便刪除或更改代碼。

為了更安全的做法，或者如果存在太多漏洞，請使用更安全的主題。 對於主題檢查的大多數情況，它比防病毒軟件做得更好。

3.將保護您的 WordPress 網站的安全插件

一個。 多合一 WP 安全和防火牆：這個負責以下內容，總結了您可以在您的網站上採取的大部分安全措施：
一世。 用戶登錄安全
ii. 用戶帳戶安全
iii. 用戶註冊安全
iv. 系統文件安全
v. 防火牆設置
六。 黑名單功能
七。 數據庫安全
八。 備份
九。 防火牆和蠻力

灣。 WordFence 安全

C。 更好的 WP 安全性（現在是 iThemes 安全性）

d。 防彈安全

4.其他不在此列表中但可能有用的：

一個。 Acunetix WP Security ：最近在 WordPress.org 上出現了很多關於這個插件的負面評論，因此我們無法向您推薦它。

灣。 6Scan Security : 許多客戶抱怨安裝此插件後網站空白，因此我們無法向您推薦。

C。 利用掃描儀

d。 Quttera 網絡惡意軟件掃描程序