WordPress 安全对于每个网站所有者来说都是一个非常重要的话题。谷歌每天将大约 10,000 多个网站列入恶意软件黑名单,每周将大约 50,000 个网站列入网络钓鱼黑名单。
如果您认真对待您的网站,那么您需要注意 WordPress 安全最佳实践。在本指南中,我们将分享所有重要的 WordPress 安全提示,以帮助您保护您的网站免受黑客和恶意软件的侵害。
虽然 WordPress 核心软件非常安全,并且有数百名开发人员定期对其进行审核,但仍有许多工作可以确保您的网站安全。
在 WPBeginner,我们相信安全不仅仅是消除风险。这也与降低风险有关。作为网站所有者,您可以做很多事情来提高您的 WordPress 安全性(即使您不精通技术)。
我们有许多可操作的步骤,您可以采取这些步骤来保护您的网站免受安全漏洞的影响。
为方便起见,我们创建了一个目录来帮助您轻松浏览我们的终极 WordPress 安全指南。
目录
WordPress安全基础
- 为什么 WordPress 安全性很重要?
- 保持 WordPress 更新
- 密码和用户权限
- 虚拟主机的作用
简单步骤中的 WordPress 安全性(无编码)
- 安装 WordPress 备份解决方案
- 最佳 WordPress 安全插件
- 启用 Web 应用程序防火墙 (WAF)
- 将 WordPress 网站移至 SSL/HTTPS
DIY 用户的 WordPress 安全性
- 更改默认的“admin”用户名
- 禁用文件编辑
- 禁用 PHP 文件执行
- 限制登录尝试
- 添加两因素身份验证
- 更改 WordPress 数据库前缀
- 密码保护 WP-Admin 和登录
- 禁用目录索引和浏览
- 在 WordPress 中禁用 XML-RPC
- 自动注销空闲用户
- 将安全问题添加到 WordPress 登录
- 扫描 WordPress 中的恶意软件和漏洞
- 修复被黑的 WordPress 网站
准备好?让我们开始吧。
为什么网站安全很重要?
被黑的 WordPress 网站可能会对您的业务收入和声誉造成严重损害。黑客可以窃取用户信息、密码、安装恶意软件,甚至可以将恶意软件分发给您的用户。
最糟糕的是,您可能会发现自己向黑客支付勒索软件只是为了重新访问您的网站。
2016 年 3 月,谷歌报告称,超过 5000 万网站用户已被警告他们正在访问的网站可能包含恶意软件或窃取信息。
此外,谷歌每周将大约 20,000 个恶意软件网站和大约 50,000 个网络钓鱼网站列入黑名单。
如果您的网站是一家企业,那么您需要特别注意您的 WordPress 安全性。
类似于企业主有责任保护他们的实体店建筑,作为在线企业主,您有责任保护您的企业网站。
[返回顶部↑ ]
保持 WordPress 更新
WordPress 是一个定期维护和更新的开源软件。默认情况下,WordPress 会自动安装次要更新。对于主要版本,您需要手动启动更新。
WordPress 还附带了数以千计的插件和主题,您可以将它们安装在您的网站上。这些插件和主题由定期发布更新的第三方开发人员维护。
这些 WordPress 更新对于您的 WordPress 网站的安全性和稳定性至关重要。您需要确保您的 WordPress 核心、插件和主题是最新的。
[返回顶部↑ ]
强密码和用户权限
最常见的 WordPress 黑客攻击尝试使用被盗密码。您可以通过使用您网站独有的更强密码来解决这个问题。不仅适用于 WordPress 管理区域,还适用于 FTP 帐户、数据库、WordPress 托管帐户以及使用您网站域名的自定义电子邮件地址。
许多初学者不喜欢使用强密码,因为它们很难记住。好处是您不再需要记住密码。您可以使用密码管理器。请参阅我们关于如何管理 WordPress 密码的指南。
降低风险的另一种方法是不要让任何人访问您的 WordPress 管理员帐户,除非您绝对必须这样做。如果您有一个大型团队或来宾作者,请确保您了解WordPress 中的用户角色和功能,然后再将新用户帐户和作者添加到您的 WordPress 站点。
[返回顶部↑ ]
WordPress托管的作用
您的WordPress 托管服务在您的 WordPress 网站的安全性中扮演着最重要的角色。像Bluehost或Siteground这样的优秀共享托管服务提供商会采取额外措施来保护他们的服务器免受常见威胁。
以下是一家优秀的网络托管公司如何在后台工作以保护您的网站和数据。
- 他们持续监控其网络中的可疑活动。
- 所有优秀的托管公司都有防止大规模 DDOS 攻击的工具
- 他们使服务器软件、php 版本和硬件保持最新,以防止黑客利用旧版本中的已知安全漏洞。
- 他们已准备好部署灾难恢复和事故计划,以便在发生重大事故时保护您的数据。
在共享托管计划中,您与许多其他客户共享服务器资源。这会带来跨站点污染的风险,黑客可以利用相邻站点攻击您的网站。
使用托管 WordPress 托管服务可为您的网站提供更安全的平台。托管 WordPress 托管公司提供自动备份、自动 WordPress 更新和更高级的安全配置来保护您的网站
我们推荐WPEngine作为我们首选的托管 WordPress 托管服务提供商。它们也是业内最受欢迎的一种。(请参阅我们的特殊WPEngine 优惠券)。
[返回顶部↑ ]
简单步骤中的 WordPress 安全性(无编码)
我们知道提高 WordPress 的安全性对于初学者来说可能是一个可怕的想法。特别是如果你不是技术人员。你猜怎么着——你并不孤单。
我们已经帮助成千上万的 WordPress 用户加强了他们的 WordPress 安全性。
我们将向您展示如何通过单击几下(无需编码)来提高您的 WordPress 安全性。
如果你可以点击,你可以做到这一点!
安装 WordPress 备份解决方案
备份是您抵御任何 WordPress 攻击的第一道防线。请记住,没有什么是 100% 安全的。如果政府网站可以被黑客入侵,那么您的网站也可以。
备份允许您快速恢复您的 WordPress 网站,以防万一发生不好的事情。
您可以使用许多免费和付费的WordPress 备份插件。关于备份,您需要知道的最重要的事情是您必须定期将全站点备份保存到远程位置(而不是您的主机帐户)。
我们建议将其存储在 Amazon、Dropbox 等云服务或 Stash 等私有云上。
根据您更新网站的频率,理想的设置可能是每天一次或实时备份。
值得庆幸的是,这可以通过使用UpdraftPlus或BlogVault等插件轻松完成。它们既可靠又最重要的是易于使用(无需编码)。
[返回顶部↑ ]
最佳 WordPress 安全插件
备份后,我们需要做的下一件事是设置一个审核和监控系统,以跟踪您网站上发生的所有事情。
这包括文件完整性监控、登录尝试失败、恶意软件扫描等。
值得庆幸的是,这一切都可以通过最好的免费 WordPress 安全插件Sucuri Scanner 来解决。
您需要安装并激活免费的 Sucuri Security 插件。有关更多详细信息,请参阅我们关于如何安装 WordPress 插件的分步指南。
激活后,您需要转到 WordPress 管理员中的 Sucuri 菜单。您将被要求做的第一件事是生成免费的 API 密钥。这将启用审计日志记录、完整性检查、电子邮件警报和其他重要功能。
接下来,您需要做的是从设置菜单中单击“强化”选项卡。浏览每个选项,然后单击“应用强化”按钮。
这些选项可帮助您锁定黑客在攻击中经常使用的关键区域。唯一付费升级的强化选项是 Web 应用程序防火墙,我们将在下一步中解释它,所以现在跳过它。
对于那些想要在不使用插件的情况下或需要额外步骤(例如“数据库前缀更改”或“更改管理员用户名”)的人,我们还在本文后面介绍了许多这些“强化”选项。
在加固部分之后,默认插件设置对于大多数网站来说已经足够好了,不需要任何更改。我们唯一建议自定义的是“电子邮件警报”。
默认警报设置可能会使您的收件箱中充满电子邮件。我们建议接收有关插件更改、新用户注册等关键操作的警报。您可以通过转到 Sucuri 设置»警报来配置警报。
这个 WordPress 安全插件非常强大,因此请浏览所有选项卡和设置以查看它所做的一切,例如恶意软件扫描、审核日志、登录尝试失败跟踪等。
Enable Web Application Firewall (WAF)
The easiest way to protect your site and be confident about your WordPress security is by using a web application firewall (WAF).
A website firewall blocks all malicious traffic before it even reaches your website.
DNS Level Website Firewall – These firewall route your website traffic through their cloud proxy servers. This allows them to only send genuine traffic to your web server.
Application Level Firewall – These firewall plugins examine the traffic once it reaches your server but before loading most WordPress scripts. This method is not as efficient as the DNS level firewall in reducing the server load.
To learn more, see our list of the best WordPress firewall plugins.
我们使用并推荐 Sucuri作为 WordPress 的最佳 Web 应用程序防火墙。您可以了解Sucuri 如何帮助我们在一个月内阻止 450,000 次 WordPress 攻击。
Sucuri防火墙最好的部分是它还带有恶意软件清理和黑名单删除保证。基本上,如果您在他们的监视下被黑客入侵,他们保证他们会修复您的网站(无论您拥有多少页面)。
这是一个非常强大的保证,因为修复被黑网站的成本很高。安全专家通常每小时收费 250 美元。而您可以以每年 199 美元的价格获得整个 Sucuri 安全堆栈。
使用 Sucuri 防火墙提高您的 WordPress 安全性 »
Sucuri 并不是唯一的 DNS 级别防火墙提供商。另一个受欢迎的竞争对手是 Cloudflare。请参阅我们对Sucuri 与 Cloudflare 的比较(优点和缺点)。
[返回顶部↑ ]
将您的 WordPress 网站移至 SSL/HTTPS
SSL(安全套接字层)是一种加密您的网站和用户浏览器之间的数据传输的协议。这种加密使某人更难嗅探和窃取信息。
启用 SSL 后,您的网站将使用 HTTPS 而不是 HTTP,您还将在浏览器中的网站地址旁边看到一个挂锁标志。
SSL 证书通常由证书颁发机构颁发,其价格从每年 80 美元到数百美元不等。由于成本增加,大多数网站所有者选择继续使用不安全的协议。
To fix this, a non-profit organization called Let’s Encrypt decided to offer free SSL Certificates to website owners. Their project is supported by Google Chrome, Facebook, Mozilla, and many more companies.
Now, it is easier than ever to start using SSL for all your WordPress websites. Many hosting companies are now offering a free SSL certificate for your WordPress website.
If your hosting company does not offer one, then you can purchase one from Domain.com. They have the best and most reliable SSL deal in the market. It comes with a $10,000 security warranty and a TrustLogo security seal.
WordPress Security for DIY Users
If you do everything that we have mentioned thus far, then you’re in a pretty good shape.
But as always, there’s more that you can do to harden your WordPress security.
Some of these steps may require coding knowledge.
Change the Default “admin” username
In the old days, the default WordPress admin username was “admin”. Since usernames make up half of login credentials, this made it easier for hackers to do brute-force attacks.
Thankfully, WordPress has since changed this and now requires you to select a custom username at the time of installing WordPress.
However, some 1-click WordPress installers, still set the default admin username to “admin”. If you notice that to be the case, then it’s probably a good idea to switch your web hosting.
Since WordPress doesn’t allow you to change usernames by default, there are three methods you can use to change the username.
- 创建一个新的管理员用户名并删除旧的。
- 使用用户名更改插件
- 从 phpMyAdmin 更新用户名
我们在有关如何正确更改 WordPress 用户名(逐步)的详细指南中涵盖了所有这三个方面。
注意:我们谈论的是名为“admin”的用户名,而不是管理员角色。
[返回顶部↑ ]
禁用文件编辑
WordPress 带有一个内置的代码编辑器,允许您直接从 WordPress 管理区域编辑您的主题和插件文件。在坏人手中,此功能可能会带来安全风险,这就是我们建议将其关闭的原因。
您可以通过在wp-config.php文件中添加以下代码轻松地做到这一点。
1
2
|
// Disallow file edit define( 'DISALLOW_FILE_EDIT' , true ); |
或者,您可以使用我们上面提到的免费 Sucuri 插件中的强化功能一键完成此操作。
[返回顶部↑ ]
在某些 WordPress 目录中禁用 PHP 文件执行
加强 WordPress 安全性的另一种方法是在不需要的目录中禁用 PHP 文件执行,例如 /wp-content/uploads/。
您可以通过打开像记事本这样的文本编辑器并粘贴以下代码来执行此操作:
1
2
3
|
<Files *.php> deny from all </Files> |
接下来,您需要将此文件保存为.htaccess并使用FTP 客户端将其上传到您网站上的 /wp-content/uploads/ 文件夹。
有关更详细的说明,请参阅我们的指南,了解如何在某些 WordPress 目录中禁用 PHP 执行
或者,您可以使用我们上面提到的免费 Sucuri 插件中的强化功能一键完成此操作。
[返回顶部↑ ]
限制登录尝试
默认情况下,WordPress 允许用户尝试多次登录。这会使您的 WordPress 网站容易受到暴力攻击。黑客试图通过尝试使用不同的组合登录来破解密码。
这可以通过限制用户可以进行的失败登录尝试来轻松解决。如果您使用的是前面提到的 Web 应用程序防火墙,那么它会自动得到处理。
但是,如果您没有设置防火墙,请继续执行以下步骤。
首先,您需要安装并激活Login LockDown插件。有关更多详细信息,请参阅我们关于如何安装 WordPress 插件的分步指南。
激活后,访问设置»登录锁定页面以设置插件。
Add Two Factor Authentication
Two-factor authentication technique requires users to log in by using a two-step authentication method. The first one is the username and password, and the second step requires you to authenticate using a separate device or app.
Most top online websites like Google, Facebook, Twitter, allow you to enable it for your accounts. You can also add the same functionality to your WordPress site.
First, you need to install and activate the Two Factor Authentication plugin. Upon activation, you need to click on the ‘Two Factor Auth’ link in WordPress admin sidebar.
更改 WordPress 数据库前缀
默认情况下,WordPress 使用 wp_ 作为WordPress 数据库中所有表的前缀。如果您的 WordPress 站点使用默认的数据库前缀,那么黑客就更容易猜测您的表名是什么。这就是为什么我们建议更改它。
您可以按照我们关于如何更改 WordPress 数据库前缀以提高安全性的分步教程来更改您的数据库前缀。
注意:如果没有正确完成,这可能会破坏您的网站。只有在您对自己的编码技能感到满意的情况下才能继续。
[返回顶部↑ ]
密码保护 WordPress 管理员和登录页面
通常,黑客可以不受任何限制地请求您的 wp-admin 文件夹和登录页面。这使他们可以尝试他们的黑客技巧或运行 DDoS 攻击。
您可以在服务器端级别添加额外的密码保护,这将有效地阻止这些请求。
按照我们关于如何使用密码保护您的 WordPress 管理员 (wp-admin) 目录的分步说明进行操作。
[返回顶部↑ ]
禁用目录索引和浏览
黑客可以使用目录浏览来找出您是否有任何具有已知漏洞的文件,因此他们可以利用这些文件来获得访问权限。
Directory browsing can also be used by other people to look into your files, copy images, find out your directory structure, and other information. This is why it is highly recommended that you turn off directory indexing and browsing.
You need to connect to your website using FTP or cPanel’s file manager. Next, locate the .htaccess file in your website’s root directory. If you cannot see it there, then refer to our guide on why you can’t see .htaccess file in WordPress.
After that, you need to add the following line at the end of the .htaccess file:
Options -Indexes
Don’t forget to save and upload .htaccess file back to your site. For more on this topic, see our article on how to disable directory browsing in WordPress.
[Back to Top ↑]
Disable XML-RPC in WordPress
XML-RPC was enabled by default in WordPress 3.5 because it helps connecting your WordPress site with web and mobile apps.
Because of its powerful nature, XML-RPC can significantly amplify the brute-force attacks.
For example, traditionally if a hacker wanted to try 500 different passwords on your website, they would have to make 500 separate login attempts which will be caught and blocked by the login lockdown plugin.
But with XML-RPC, a hacker can use the system.multicall function to try thousands of password with say 20 or 50 requests.
This is why if you’re not using XML-RPC, then we recommend that you disable it.
There are 3 ways to disable XML-RPC in WordPress, and we have covered all of them in our step by step tutorial on how to disable XML-RPC in WordPress.
Tip: The .htaccess method is the best one because it’s the least resource intensive.
If you’re using the web-application firewall mentioned earlier, then this can be taken care of by the firewall.
[Back to Top ↑]
Automatically log out Idle Users in WordPress
Logged in users can sometimes wander away from screen, and this poses a security risk. Someone can hijack their session, change passwords, or make changes to their account.
This is why many banking and financial sites automatically log out an inactive user. You can implement similar functionality on your WordPress site as well.
You will need to install and activate the Inactive Logout plugin. Upon activation, visit Settings » Inactive Logout page to configure plugin settings.
向 WordPress 登录屏幕添加安全问题
扫描 WordPress 中的恶意软件和漏洞
如果您安装了 WordPress 安全插件,那么这些插件将定期检查恶意软件和安全漏洞的迹象。
但是,如果您发现网站流量或搜索排名突然下降,那么您可能需要手动运行扫描。您可以使用 WordPress 安全插件,或使用其中一种恶意软件和安全扫描程序。
运行这些在线扫描非常简单,您只需输入您的网站 URL,它们的爬虫就会通过您的网站查找已知的恶意软件和恶意代码。
现在请记住,大多数 WordPress 安全扫描程序只能扫描您的网站。他们无法删除恶意软件或清理被黑的 WordPress 网站。
这将我们带到下一部分,清理恶意软件和被黑的 WordPress 网站。
[返回顶部↑ ]
修复被黑的 WordPress 网站
许多 WordPress 用户直到他们的网站被黑客入侵后才意识到备份和网站安全的重要性。
清理 WordPress 网站可能非常困难且耗时。我们的第一个建议是让专业人士来处理它。
黑客在受影响的网站上安装后门,如果这些后门没有得到妥善修复,那么您的网站很可能会再次被黑客入侵。
允许像Sucuri这样的专业安全公司修复您的网站将确保您的网站可以安全再次使用。它还将保护您免受未来的任何攻击。
对于喜欢冒险和 DIY 的用户,我们编制了一份关于修复被黑 WordPress 网站的分步指南。
[返回顶部↑ ]
额外提示:身份盗用和网络保护
作为小企业主,保护我们的数字和财务身份至关重要,因为不这样做可能会导致重大损失。黑客和犯罪分子可以使用您的身份盗取您的网站域名、入侵您的银行账户,甚至实施您可能要承担的罪行。
2020 年,美国联邦贸易委员会 (FTC) 报告了 470 万起身份盗用和信用卡欺诈事件。
这就是为什么我们建议使用像Aura这样的身份盗窃保护服务(我们自己使用 Aura)。
他们通过免费 VPN(虚拟专用网络)提供设备和 wifi 网络保护,无论您身在何处,都可以通过军用级加密保护您的互联网连接。当您旅行或从星巴克等公共场所连接到您的 WordPress 管理员时,这非常有用,因此您可以安全且私密地在线工作。
他们的暗网监控服务使用人工智能持续监控暗网,并在您的密码、社会保险号和银行账户被盗时提醒您。
这使您可以更快地采取行动,更好地保护您的数字身份。
[返回顶部↑ ]
就是这样,我们希望本文能帮助您了解顶级 WordPress 安全最佳实践,并为您的网站发现最佳 WordPress 安全插件。
您可能还想查看我们的终极 WordPress SEO 指南以提高您的 SEO 排名,以及我们关于如何加速 WordPress的专家提示。
如果您喜欢这篇文章,请订阅我们的YouTube 频道以获取 WordPress 视频教程。您也可以在Twitter和Facebook上找到我们。