每个月甚至一周,您可能会听到在WordPress上检测到并正在修复的安全漏洞。此外,在补丁发布期间,有很多关于WordPress网站被黑客攻击并丢失数据的报告。

由于WordPress用户没有采取必要措施来保护他们的网站,因此无数个WordPress网站遭到黑客攻击的原因显而易见。在本教程中,我将撰写有关如何保护WordPress网站的详尽指南。所以,让我们直接进入并学习如何保护WordPress网站。

A部分:基本的WordPress安全措施

1-更新WordPress版本

每个人都应该遵循WordPress安全的基础知识。最明显的安全措施之一是将您的WordPress网站更新为最新版本。

每当有新的更新时,您都会在WordPress管理面板上看到一条消息,要求您更新到最新的可用版本。 WordPress更新过程非常简单。

保持WordPress网站的更新可确保您免受WordPress核心中报告的漏洞的影响。

2-更新WordPress插件

如果您使用的是WordPress,那么您肯定会在您的网站上使用大量的WordPress插件。保持插件更新是绝对必要的,因为插件会将代码注入到您的WordPress文件中,任何受到侵害的插件都可能导致您的网站被黑客入侵。

要更新WordPress插件,请登录您的WordPress管理>仪表板>更新。在此页面上,您将看到您网站的所有可用更新。

还需要检查插件与当前版本的WordPress站点的兼容性。

3-更新WordPress主题

WordPress主题是您网站前端的原因。无论您选择使用免费的WordPress主题还是高级主题,都应该检查其更新并尽快应用它们。

4-设置安全密码和用户名

如果您有一个易于猜测的密码或用户名,那么这可能是您WordPress网站上的顶级安全漏洞之一。

值得庆幸的是,WordPress自己生成安全和复杂的密码,我建议你使用它们。

至于用户名,只需保留管理员或您的真实姓名。就像密码一样,您可以设置复杂的用户名。

5-减少管理员用户数

让很多用户拥有管理员权限只意味着你为黑客提供了很多选项来猜测密码并侵入你的WordPress网站。

建议将单个用户保留为管理员权限,并将其他用户保留为作者,编辑者,贡献者,订阅者。

6-创建备份

保持WordPress网站数据安全的最佳方法是备份/ wp-content文件夹和数据库。

我写了一个有用的指南,介绍如何使用BackWPup插件备份WordPress网站。

B部分:保护WordPress前端

7-限制登录尝试并阻止暴力攻击

攻击WordPress网站登录密码时,暴力攻击非常常见。黑客已开发出机器人,可以在/ wp-admin或/wp-login.php URL上不断输入用户名和密码,直到他们成功登录到您的管理员帐户。

为了阻止此类攻击,使用限制登录尝试插件是明智的。

最受欢迎的限制登录尝试插件之一是WP Limit Login Attempts。

8-密码保护WP-Admin和登录

任何人都可以访问WordPress网站的/wp-login.php和/ wp-admin网址。为了保护他们免受暴力攻击和DDoS攻击,建议通过.htaccess文件对其进行密码保护来保护这些URL。

关于如何锁定wp-admin和wp-login的有用指南可以在WordPress codex上找到。

9-禁用目录浏览

默认情况下,在WordPress网站上启用目录索引,具有不友好意图的人可以浏览和发现您网站的文件和结构。

目录浏览可以使黑客轻松发现Web文件中的漏洞。

要禁用目录浏览,只需在WordPress网站的.htaccess文件中添加以下行。

选项 – 索引

10-在WordPress登录页面上添加安全问题

添加您自己的问题和该问题的意外答案是阻止未经授权的用户访问您的网站的最佳方法之一。

为了将安全问题添加到WordPress网站的登录页面,您可以安装名为WP Security Question的插件。只需安装插件并使用您的问题和答案进行配置即可。

11-使用双因素身份验证

多年来,双因素身份验证一直是保护Google,Facebook和银行帐户的常用方法。

在WordPress网站上添加2FA也很容易,也是让不受欢迎的人远离WordPress管理员的最可靠方法之一。

我们在过去的一篇博文中列出了一些最有用的双因素身份验证插件。

12-使用电子邮件登录

如果您没有足够的创造力来提出难以猜测的用户名,那么我建议您使用您的电子邮件地址作为WordPress管理员的登录信息。

您可以使用电子邮件登录插件开始使用电子邮件作为用户名。使用“@”猜测用户名对于Brute Force攻击来说将非常困难。

在某些情况下,我不建议使用此安全措施,如果您在网站上公开或显示您的电子邮件地址,那么可以更容易地猜测用户名。

如果您选择使用此方法,那么我建议将管理员电子邮件分开,然后保留公用电子邮件地址。

13-删除“由WordPress提供支持”和WordPress版本号

让黑客明白你正在使用WordPress将使他们向寻找漏洞迈进一步。

我建议您从网站的前端删除提及“由WordPress提供支持”,并使用Meta Generator和版本信息卸妆从RSS提要中删除WordPress的版本号,以及您网站的源代码。

14.重命名您的登录URL

默认情况下,每个WordPress网站都有wp-login和wp-admin urls作为登录管理面板的路径。

如果你因为登录网址暴露而无法入睡,那么更改它们的最佳方法是使用iThemes Security插件并将登录网址更改为不容易猜到的内容。

C部分:保护WordPress后端和数据库

15-在WordPress管理员中隐藏编辑器

如果您以admin用户身份登录WordPress后端,则可以在Appearance下访问Editor。假设有人未经授权访问您的管理面板,这意味着他将有权访问所有主题文件。

要为管理员用户禁用编辑器,只需在wp-config.php文件中添加以下行。

//禁止文件编辑
define('DISALLOW_FILE_EDIT',true);

16-停止执行PHP文件

如果黑客发现漏洞并上传恶意php文件并在您的实时网站上执行,则可能意味着您丢失了整个网站。

阻止在特定WordPress文件夹中写入文件是一种很好的做法。创建一个空白.htaccess文件,上传到wp-includes /或/ wp-content / uploads /等文件夹,并添加以下代码:

否认所有人

1
2
3

否认所有人

17-在WordPress中禁用XML-RPC

XML-RPC是WordPress网站相互通信的一种方法。 XML-RPC可以用来攻击WordPress网站,攻击蛮力攻击并通过DDoS攻击将其删除。

要禁用XML-RPC,请在.htaccess文件中添加以下代码

#阻止WordPress xmlrpc.php请求

命令拒绝,允许
否认所有人
允许来自123.123.123.123

1
2
3
4

6

#阻止WordPress xmlrpc.php请求

命令拒绝,允许

否认所有人

允许来自123.123.123.123

18-自动注销空闲用户

如果您有一个包含多位作者,编辑或管理员的WordPress网站,那么您应该不断练习从WordPress网站注销空闲用户。

您可能会问为什么需要注销空闲用户?您永远无法确定您网站的用户是否已从会话中退出。将会话存储在浏览器中会使用户暴露于会话劫持,并且您的网站很容易被黑客入侵。

您可以使用BulletProof Security等安全插件轻松注销空闲用户。

19-更改WordPress数据库前缀

默认情况下,WordPress会创建wp_作为其数据库表的前缀。保持默认前缀将使黑客更容易访问您的WordPress数据库。

我并不是说更改数据库前缀会使您的数据库完全安全,但这是制作自动黑客工具和脚本的明确步骤,使猜测变得更加困难。

您可以在此处阅读有关如何更改表前缀的有用指南。

20-定期扫描WordPress网站

有时您的网站可能会受到损害,在整个网站完成之前,您可能看不到任何不熟悉的内容。

要检测可能已被泄露的任何内容,最好使用Sucuri等插件定期扫描您的网站。

它将扫描并识别您的WordPress网站上的任何漏洞,并将就如何解决它提出建议。

你可以在这里阅读他们关于恢复黑客攻击的WordPress网站的文章。

21-为数据库设置强密码

就像我建议为WordPress仪表板设置一个强密码一样,WordPress数据库也是如此。使用特殊字符,数字和大写和小写字母使密码变得困难。

同样设置用户名就像设置密码一样困难。更新数据库密码后,请确保对wp-config.php文件进行必要的更改。

22-保护wp-admin目录

使您的WordPress管理仪表板更加安全免受强力攻击的一种流行方法是通过密码保护整个wp-admin目录。

通过这样做,任何访问wp-admin登录到您的WordPress站点的人都将被提示输入密码以访问该URL。如果输入了正确的密码,则只有这时用户才能访问wp-admin,并从那里访问WP仪表板。

不建议初学者用户使用此方法,我们建议您在测试站点上进行备份或练习,然后再将其部署到实际站点上。

许多托管服务提供商都提供了有关如何通过InMotion Hosting保护wp-admin区域的有用指南:http://www.inmotionhosting.com/support/website/wordpress/prevent-unauthorized-wp-admin-wp-login-php -attempts

23-限制WordPress登录页面的IP地址

如果您不熟悉密码保护wp-admin目录,那么另一个强有力的安全措施是限制IP地址访问您的WP登录页面。

首先需要记下要允许访问WP登录页面的IP地址。之后,您需要为.htacess文件添加IP地址,或者如果您更喜欢使用插件,那么IP Ban是限制IP的最简单和最好的插件。

24-使用SSL加密数据

每当您看到通过https提供网站时,这意味着他们在网站上拥有SSL证书。

谷歌在2015年将HTTP作为排名因素,后来推出了Let's Encrypt,它向所有网站提供免费的SSL证书。

我建议让整个网站提供HTTPs内容。这将有两个主要好处,您和您的访问者将拥有与您的网站的安全,加密的连接,并且您将有更好的机会在SERP上排名更高。

要了解如何安装SSL证书,您可以在这里阅读WPExplorer的朋友的有用指南。

D部分:保护WordPress Web主机

25.添加实时监控

准确及时地了解您的网站下线的时间将使您更快地采取行动并修复您的网站。

您的WordPress网站出现故障可能有很多原因,仅举几例。

1-您的Web主机的数据中心出现故障。
2-您的网站上有一个服务器无法处理的峰值
3-您的网站遭到入侵或被黑客入侵。

无论哪种方式,立即知道将意味着您可以更快地恢复。

要恢复被黑网站,我们建议您监控未经您许可更改的文件,记下它们并恢复您的WordPress网站。更改密码并禁用对受损文件的访问。

一些托管服务提供商内置了Cloudways等实时监控工具,除此之外您还可以使用Pingdom等服务。

26.保护wp-config.php文件

Wp-config.php是您应该保护并保留备份的最重要的WordPress文件之一。它具有所有必要的细节,如数据库连接和其他规则。

保护wp-config.php的最佳方法是通过向.htaccess文件添加以下规则来拒绝访问

#prote wpconfig.php

订单允许,否认
否认所有人

1
2
3
4

#prote wpconfig.php

订单允许,否认

否认所有人

我们在WPMU DEV的朋友写了一篇很棒的帖子,详细定义了你可以做些什么来保护wp-config.php。

27.禁止在WordPress仪表板中编辑文件

如果您喜欢版本控制并希望跟踪您的团队在WordPress网站上所做的每一项更改,那么您应该通过WordPress仪表板本身禁用任何类型的编辑。

您需要通过仪表板禁用主题编辑器,文件和主题更新。您可以通过在wp-config.php文件中添加以下规则来轻松完成此操作。

##在仪表板中禁用编辑
define('DISALLOW_FILE_EDIT',true);

1
2

##在仪表板中禁用编辑

define('DISALLOW_FILE_EDIT',true);

28.使用SFTP和SSH访问您的服务器

许多主机提供商都有FTP访问权限FTP不是安全连接,我建议您要求您的托管服务提供商提供SFTP访问而不是FTP。

SFTP连接已加密,如果您的网络受到中间人攻击的影响,则可确保更好的安全性。

在基于Linux的Web服务器上,SSH访问是最安全的连接方式。如果您的托管服务提供商具有SSH访问权限,那么您掌握得很好。

29.在WordPress文件和文件夹上设置目录权限

任何WordPress站点的默认权限应如下所示

档案:644
文件夹:755

您可以要求您的托管服务提供商检查并设置文件和文件夹所需的权限,也可以使用FTP客户端设置权限。

在任何情况下,请避免在任何文件或文件夹上拥有777文件权限。

30.使用.htaccess禁用目录列表

访问者和黑客都可以浏览目录,以查找WordPress网站上的文件结构和文件。目录浏览可以让任何人找到您拥有的文件,从而使黑客更容易找到漏洞。

要禁用目录列表,请将以下规则添加到.htaccess文件。

选项 – 索引

结论:

我建议在WordPress codex上阅读Hardening WordPress以获取有关WordPress安全性的更多详细信息。您还可以阅读Kinsta的WordPress安全提示,以更深入地了解WordPress安全性。

除此之外,我想补充一点,在一个网站上实施上述所有要点是没有必要的。您可以结合使用一些安全措施来提高WordPress的安全性。

如果您有任何疑问,请在下面的评论部分告诉我。