15 個 WordPress 安全技巧來保護您的 WordPress 網站

最近有很多關於 WordPress 網站被黑的消息。 而且，由於最近的攻擊，許多人開始質疑 WordPress 的安全性。

因此，如果您擁有一個 WordPress 網站，您必須按照我將在本指南中教給您的這 15 種 WordPress 安全技術採取行動。

在我們直接進入之前，讓我提前警告你。

當您在這裡忙於閱讀本文時，一些腳本小子可能正在嘗試入侵您的網站（無論是否為 WordPress）。

嚴重地？

是的。

“為什麼有些人會把時間浪費在我身上？ 這不像我是一家大企業。”

好吧，我不想讓你擔心，但黑客喜歡小型網站，因為它們很容易成為目標。

為什麼網站安全如此大驚小怪？

好的，有人試圖闖入我的網站，但我為什麼要關心？ 特別是，因為我有所有的備份。 我可以刪除 WordPress 並重新安裝它。

你的問題是有效的。 但是，如果黑客獲得了訪問您的備份和網絡主機的權限怎麼辦？

此外，如果計算機盜版者控制了您的網站，還有其他風險，其中一些是……

1. 黑客可能會竊取您和您訪問者的信息，並將其用於非法目的。
2. 如果您剛剛開始吸引訪客，從長遠來看，停機時間會影響您。
3. 人們將開始質疑您網站的質量。
4. 攻擊者可能會在您的網站上發布令人反感或非法的內容，您可能必須為此承擔後果（法律或其他方式）。

但是，為什麼有人會為了給像我這樣的小網站帶來麻煩而付出所有努力呢？

1. 一個小網站很容易被黑。
2. 黑客們在小型網站上測試他們的工具以進行更大的項目。
3. 他們可以使用您的網絡主機發送垃圾郵件。
4. 入侵者利用小網站的資源攻擊“大佬”。 您的 Web 服務器可能是用於 DDoS 攻擊的殭屍網絡的一部分。
5. 黑客可以使用您的網站傳播惡意軟件。 成千上萬的小型網站是傳播惡意軟件的好方法，因為小型網站所有者無法負擔安全專家的安全檢查。
6. 黑客可能會通過發布反向鏈接來使用您的網站來增加他們自己網站的流量和 Google 排名。

因此，即使您剛剛開始建立網站，也必須非常注意安全性。 這不僅僅是關於你。 您的粗心也可能影響他人（DDoS 攻擊）。

WordPress被黑了，你應該尋求其他平台嗎？

首先，沒有任何系統（網站或個人計算機）是安全的。 人們甚至找到了侵入氣隙系統（隔離計算機）的方法。

無論您選擇哪個平台，黑客都會找到進入其中的方法。

這麼多 WordPress 網站被黑的原因是因為 WordPress 非常受歡迎。 大約 27% 的網站使用 WordPress，而且還在增長。 因此，WordPress 已成為黑客和垃圾郵件發送者的金礦。

賽博朋克不斷攻擊 WordPress，因為如果他們設法找到漏洞，他們可以控制 27% 的互聯網。

WordPress 網站被黑的另一個原因是它是一個開放的環境。 用戶可以自己編碼和修改網站。 他們可以添加第三方插件。

那麼，您應該為您的網站找到另一個 CMS 嗎？

不。

問題不在於 WordPress 的核心代碼，而在於您安裝的插件和主題。 但是，正如我之前所說，沒有一個系統是完全安全的。

如果 WordPress 本身不安全，為什麼 27% 的網絡會使用它？

許多志願者特別注意維護核心系統和 WordPress 存儲庫。 WordPress 存儲庫中可用的主題和插件都經過了徹底的安全性和可靠性測試。

此外，WordPress 團隊非常巧妙地解決了所有安全問題。 他們不斷發布帶有安全補丁的更新。 因此，您可以為您的網站信任 WordPress。

但是，作為網站所有者，您也應該格外小心。 您應該始終定期監控您的網站。

以下是您應該遵循的 15 項 WordPress 安全措施，以最大程度地降低您的網站被黑客入侵的風險！

專業提示：在更改文件和安裝安全插件之前，請務必備份您的 WordPress 文件，包括數據庫。

注意：本指南中的一些鏈接是附屬鏈接。 如果您通過鏈接購買服務/產品，我們將獲得一定的佣金，您無需支付任何額外費用。 話雖如此，我們不推薦不值得的產品。

1.使用唯一的用戶名和密碼

當您安裝 WordPress 時，WordPress 會自動創建一個名為“admin”的用戶名。 我認為這是一個很棒的功能，因為它使我免於輸入自己的用戶名的繁瑣任務。 我可以專注於其他非常重要的事情。 謝謝，WordPress！

我知道我知道。 這是一個愚蠢的藉口。 但是，您在安裝 WordPress 時是否更改了默認的“admin”用戶名？ 歡迎來到俱樂部！

當黑客嘗試登錄您的管理面板時，他們首先嘗試使用“admin”作為用戶名。

當您擁有強密碼時，用戶名有什麼大不了的？

好吧，我知道擁有一個強密碼是一件好事。 但是，如果您仍然使用“admin”作為您的用戶名，您就可以將黑客的工作量減少一半。 排列減少了。

黑客可以嘗試不同密碼的組合，因為他們已經知道您的用戶名。

但是，令人遺憾的是，您無法在 WordPress 中更改用戶名！

雖然您可以安裝一些插件來更改用戶名，但我不建議將插件用於簡單任務。

因此，只需創建一個具有管理權限的新用戶，然後刪除舊的管理員用戶。 不用擔心，WordPress 會詢問您想對用戶創建的帖子做什麼。

創建新用戶時，使用不太明顯的用戶名，例如“myname”或“mysitename”。

至於密碼，簡單的規則是你的密碼應該是複雜的、長的和唯一的。

複雜：您的密碼應至少包含 1 個數字、1 個大寫字母和 1 個特殊字符。

長：您的密碼應至少有10 個字符長。

唯一性：您的密碼不應包含常用詞或短語。 而且，您應該為每個網站使用不同的密碼。

應用上述密碼規則後，您的密碼應如下所示：LTwYgrsewDhw@ertzK9#M!K%

這是一個強密碼。 但問題是，我們是人類，這很難記住。

因此，請使用 LastPass 和 KeePass 等工具。 它們是免費的，您可以在多個設備上使用它們。

如果您仍然認為因為您有創意就可以擺脫簡單的密碼，我希望這會改變您的想法。

2.使用雙重身份驗證

您現在已經為 WordPress 管理面板使用了唯一的用戶名和強密碼。

偉大的！

這是朝著更好的 WordPress 安全性邁出的一步。

但是，無論密碼有多強，都可以破解！ 黑客使用蠻力攻擊（我們稍後會談到）來滲透您的網站。 強大的暴力攻擊可以破解任何密碼。

這就是為什麼您應該開始在您的網站上使用雙重身份驗證的原因。 它將增強安全性。

雙重身份驗證要求您輸入除用戶名和密碼之外的安全代碼以登錄。一旦您激活雙重身份驗證，您將在智能手機上收到一些代碼（一次性使用）。 只有輸入代碼後，您才能登錄。

我知道，這很麻煩，但是請記住，安全總比後悔好。 除非安全專家找到一些 DNA 登錄選項，否則有兩個因素是最好的安全方法。

不幸的是，WordPress 沒有用於添加雙重身份驗證的內置設置。 您將不得不使用一個名為 Google Authenticator 的插件。

如果您不熟悉 Google 的 2 步驗證，Evanto tuts+ 提供了有關在 WordPress 中使用 Google 2 因素驗證器的精彩教程。

3. 將用戶驗證為人類

黑客使用殭屍網絡以蠻力攻擊系統。 而且，真正給黑客帶來麻煩的一種方法是使用 reCAPTCHA 表單。

通常，殭屍網絡無法驗證 reCAPTCHA，因此黑客必須手動嘗試輸入用戶名和密碼。 我的朋友，那是一種痛苦……你知道在哪裡。

但是，使用扭曲文本的舊 reCAPTCHA 效率不高。 當您不得不對某些字母進行瘋狂猜測時，我們都在那裡。

為了使 reCAPTCHA 體驗更加人性化和防機器人，Google 推出了新的“No CAPTCHA reCAPTCHA”。 新的隱形 reCAPTCHA 甚至可以自動檢測到人。

您可以手動或使用 No CAPTCHA reCAPTCHA 插件在您的 WordPress 登錄、評論和/或註冊表單上添加 reCAPTCHA。

但是，首先，您需要從 Google 獲取您的 reCAPTCHA 密鑰。 獲得密鑰後，如果您手動操作，請在您的代​​碼中輸入，如果您使用插件，請在插件設置中輸入。

4.更新WordPress

您應該始終更新 WordPress。 WordPress 更新不僅僅是為了添加功能。 最重要的是，更新的發布是為了修復錯誤和安全漏洞。

但是，如果我在更新 WordPress 後遇到我的主題和插件的兼容性問題怎麼辦？ 好吧，通常，一旦核心 WordPress 更新，好的主題和插件就會發布更新。

如果您使用的插件或主題尚未更新，那麼是時候尋找它們的替代品了。

大多數被黑客入侵的網站都使用過時的 WordPress 或插件或主題。 過時版本的插件可能會使您的網站面臨風險。

因此，盡快更新您的主題和插件！ 如果沒有可用的更新，請更改它們。 您可以在 WordPress 存儲庫中找到大量最新的主題和插件。

您還可以試用我們的 WordPress 主題。 我們會定期更新它們，這樣您就不必擔心主題的安全問題。

如何更新 WordPress

更新 WordPress 很容易。 如果核心系統、主題或插件有任何更新，WordPress 會自動在儀表板上顯示通知。

轉到儀表板> 更新並單擊更新按鈕。

您還可以啟用自動更新，以便您的核心 WordPress、插件和主題自動更新自己以進行次要版本。 當您的網站自動更新時，您將收到電子郵件通知。

5.禁用文件編輯

您可以使用 WordPress 中的內置代碼編輯器輕鬆自定義您的網站。

但是，想像一下，黑客以某種方式設法登錄到您的網站。 現在，他們還可以使用編輯器輕鬆編輯您的網站。 因此，禁用通過編輯器編輯 WordPress 是一種安全的做法。

要禁用編輯器，請先備份您的 WordPress。 然後，在您的網站後端找到wp-config.php文件。 您可以在網站的根文件夾中找到wp-config.php以及wp-admin和wp-content等其他文件夾。

您可以使用 FTP 客戶端連接到網站的後端。 或者，如果您有 cPanel 訪問權限，則可以使用 cPanel 中提供的文件管理器。

現在，在wp-config.php文件中添加以下代碼行並保存文件

文件更新後，您將無法使用 WordPress 儀表板編輯主題模板。 您仍然可以使用 FTP 或 cPanel 的文件管理器修改主題。

6.限制登錄嘗試

當您安裝 WordPress 時，WordPress 會詢問您是否安裝限制登錄嘗試插件。

限制登錄嘗試是保護您的網站免受暴力攻擊的好方法。

黑客會嘗試使用不同的登錄組合登錄您的網​​站。 但是，如果您啟用限制登錄嘗試，您將允許用戶僅嘗試登錄一定次數，之後用戶將被阻止。

如果您在 WordPress 安裝過程中忘記選中此選項，請不要擔心。 您可以在 WordPress 存儲庫中找到該插件。

從您的 WordPress 儀表板菜單轉到插件> 添加新的。 搜索“Loginizer”，然後安裝並激活插件。

激活插件後，從 WordPress 管理菜單轉到Loginizer Security> Brute Force以設置登錄保護。

7.蠻力攻擊保護

黑客使用蠻力攻擊來訪問您網站的管理面板或 FTP 帳戶。 基本上，蠻力攻擊是一種試錯法。 這就像嘗試不同的組合鍵來打開鎖一樣。 入侵者可以使用殭屍網絡來自動化攻擊。

為防止您的網站成為暴力攻擊的目標，​​請遵循說明 1、2、3 和 6。

您還可以更改默認登錄 URL (www.mywebsite.com/wp-admin/)，以便黑客首先很難找到登錄表單。

您可以使用名為 All In One WordPress Security & Firewall 的插件創建自定義登錄 URL。 安裝插件後，轉到蠻力部分以啟用自定義登錄 URL。 這個插件有很多功能，如果你安裝了這個插件，你甚至不需要任何其他的 WordPress 安全插件。

8. DDoS攻擊防護

由於支持 Internet 的設備如此之多，DDoS 攻擊的頻率一直在增加。

DDoS 是一種使用虛假流量淹沒網站/服務的方法，目的是降低服務。 黑客使用受感染的系統（具有惡意軟件）來執行 DDoS 攻擊。 2016 年，黑客破壞了 DYN，使 Twitter、亞馬遜、Reddit 和 Netflix 等許多著名網站下線。

因此，您應該時刻準備好應對 DDoS 攻擊。

通過遵循上述安全措施（1、2、3、4、6 和 7），您已經為 DDoS 攻擊做好了準備。

除此之外，我還建議使用 CloudFlare 或 MaxCDN 等雲服務。 它們可以幫助您緩解 DDoS 攻擊。

同樣，緩存您的網站也可以幫助您保護您的網站免受流量過載的影響。 您可以使用 WP Super Cache 等插件緩存您的網站。

9. 掃描惡意軟件並刪除它們

既然你如此仔細地閱讀我的安全提示（我真的希望你是），讓我告訴你一些更可怕的事情，如果你還沒有驚慌的話！

黑客很狡猾！ 他們可能已經在您的網絡文件中放置了一些惡意軟件。

因此，您需要盡快掃描您的網絡服務器以查找惡意文件！ 並且，刪除它們。

怎麼做？

插件一個安全插件。 Sucuri Security 是用於檢測和刪除 WordPress 上的惡意軟件的最佳免費插件。

如果您不喜歡添加插件或想做完整的服務器端掃描，請訂閱 Sucuri。 這項服務需要您付費。

如果你買不起 Sucuri（我知道它很貴），那就有高速公路。 因為我一直在向你宣講所有這些技術性的東西，所以我認為你應該得到款待。

以下是如何從您的網站免費掃描和刪除惡意軟件！

首先，使用您選擇的 FTP 客戶端從您的服務器下載public_html文件夾。 然後，使用計算機上的防病毒軟件（諾頓、卡巴斯基或其他軟件）掃描下載的文件夾。 確保防病毒程序是最新的。

之後，使用 FTP 將舊的public_html文件替換為新清理的文件。 就這麼簡單！

10. 好的虛擬主機

網絡主機在網站的安全中起著重要的、非常重要的作用。

一個好的網絡主機為您提供支持和工具來應對 DDoS 攻擊、蠻力攻擊和惡意軟件。 因此，我推薦 SiteGround 託管，因為它們將安全性放在首位。

通常，共享託管計劃更容易受到攻擊，因為服務器與其他網站共享。 黑客可以使用同一服務器上的其他網站在共享主機上攻擊您的網站。 這個概念稱為跨站點污染。

通常認為獲得專用託管或 VPS 託管是最好的，但它們很昂貴。 作為初學者，您可能沒有預算。

這是否意味著你冒著風險？ 不會。即使是共享主機也可以受到保護。

像 SiteGround 這樣的優秀網絡託管公司會安裝像 ModSecurity 這樣的防火牆，即使在共享託管計劃中也是如此。 此外，它們限制服務器上的網站數量，並定期掃描服務器以查找惡意軟件。

同樣，如果您的虛擬主機可以為您提供 Sucuri 安全性，那將是一個加分項。

11. 明智地選擇插件和主題

好吧，明智地選擇插件和主題。 這就是你需要知道的關於這個話題的全部內容。

安裝第三方插件和主題的選項使 WordPress 容易受到黑客攻擊。

WordPress 存儲庫中可用的插件和 WordPress 主題是安全的。 但是，如果您需要手動添加一些插件或主題，請務必在將它們上傳到 WordPress 之前使用防病毒軟件檢查惡意軟件。

此外，在安裝插件或主題之前，請檢查評論和最後更新日期。

12.刪除不必要/過時的主題和插件

始終保持 WordPress 清潔。

如果您當前沒有使用任何插件或主題，並且它們已過時，請將它們刪除。 他們可能會邀請黑客。

同樣，轉到 WordPress 的後端，通過將其與默認的 WordPress 文件進行比較來檢查是否有任何不必要的文件。

或者，您可以重新安裝 WordPress。

首先，備份您的數據庫和 WordPress。 然後，刪除 WordPress。 並且，安裝一個新的更新的 WordPress。

確保在維護期間通過顯示維護頁面通知訪問者。

13. 保護 .htaccess 和 wp-content.php

只有全能者知道如果黑客訪問您的 .htaccess 或 wp-content.php 文件會做什麼。

因此，您應該始終隱藏 .htaccess 和 wp-content.php 文件。 即使您不知道如何編碼，您也可以通過在 .htaccess 文件中插入一些代碼來輕鬆保護 .htaccess 和 wp-content.php。

請在更改之前保留 .htaccess 文件的備份。

從您網站的根目錄中找到.htaccess文件，並將以下代碼行添加到其中。

隱藏 wp-config.php 的代碼

隱藏 .htaccess 文件的代碼

14.隱藏敏感信息

確保在安裝 WordPress 後刪除（或至少重命名） readme.html文件。 自述文件將告訴黑客您使用的是哪個版本的 WordPress。

此外，如果您創建了 phpinfo.php 或 i.php 文件，我建議您刪除或重命名它。 此文件包含有關您的服務器的所有信息。

此外，禁用目錄索引。 攻擊者可以通過目錄瀏覽查看您的文件夾和文件的結構。 你不需要精通技術來做到這一點。 只需轉到 .htaccess 文件，並在文件末尾添加以下代碼。

15.保持領先和更新

黑客總是比所有安全專家領先一步。 實際上，在有人闖入系統之前，安全專家甚至不會知道安全漏洞。

因此，請始終讓自己了解和更新有關安全新聞和問題的信息。 在 Twitter 或 Facebook 上關注安全公司，甚至訂閱他們的新聞通訊。

Kerbsonsecurity 是一個很棒的博客，可以讓您及時了解安全問題。

結論

讓黑客難以猜謎遊戲！

您無法阻止黑客進行黑客攻擊。 你所能做的就是為攻擊做好準備。

好人正在努力保護 WordPress 免受黑客攻擊，但錯誤時有發生。

始終備份您的網站，以防黑客接管您的網站。 將備份保存在安全的地方（如果可能的話，放在多個地方）。

最後，遵循上述所有 15 條提示來保護 WordPress 網站。 並保持您自己、主題、插件和 WordPress 的更新！

願原力與你同在。