10 年保护 WordPress 网站的 2023 个强大关键

WordPress 网站所有者经常发现他们的网站遭到入侵。 鉴于其作为 CMS 的受欢迎程度，WordPress 是黑客最有针对性的平台，因此，它因不安全而声名狼藉。

但事实并非如此。

WordPress 的开源性质意味着任何人都可以使用它，而大多数使用它的人并不精通基本的网络安全实践。 这就是造成 WordPress 在某种程度上不如其他网站构建选项安全的错觉。

那些利用良好安全实践的人很少遇到网站被黑客入侵的问题。 那么是什么让 WordPress 网站安全？

 

保护您的 WordPress 网站

在保护您的 WordPress 网站时，请记住以下 10 件事。

 

使用安全主机

如果您从这篇文章中一无所获，至少要注意这篇文章。 您的 WordPress 网站仅与它所在的服务器一样安全.

大多数 WordPress 网站都建立在共享主机上，这意味着您的网站与其他客户的网站位于同一台服务器上。 选择一家在其服务器上适当限制帐户权限的托管公司。

检查了这一点： 最佳 WordPress 托管服务比较

一个受感染的网站感染同一服务器上的其他网站的情况并不少见。 如果您选择的主机为每个帐户正确分离了权限，则可以将跨站点污染的风险降到最低。

与民意相反， VPS主机 也容易受到恶意软件传播的影响。 VMescape 攻击，其中恶意软件利用虚拟化平台中的漏洞，可以使恶意软件逃脱一个 VPS 并移动到另一个位于同一物理硬件上的 VPS。

安全主机还将采取其他缓解措施。 其中包括在其 Web 服务器配置中使用 mod-security、反恶意软件包（如 Imunify360）和 DDoS 保护以防止网站被机器人淹没。

 

保持您的核心、主题和插件更新

大多数 WordPress 网站都因为代码过期而遭到黑客攻击。 这不是意见，而是有据可查的事实。

对数千个被黑 WordPress 网站进行取证分析的安全研究人员毫无疑问地确定，过时的插件和主题是其中 80% 以上的原因。

想象一下，只需让您的主题和插件保持最新状态，您就可以消除 80% 的网站可能遭到入侵的可能性。 现在，这是保护 WordPress 的关键，值得注意。

 

启用两要素身份验证

虽然过时的主题和插件是大多数被黑客入侵的 WordPress 网站的原因，但对用户名和密码的暴力攻击是试图获得未经授权访问网站的最常见方法。

虽然成功率通常很低，但仍有大约 8% 的被黑网站只是通过猜测用户密码而被入侵。

保护您的网站的一种方法是启用两因素身份验证 (2FA)。 除了您的用户名和密码外，2FA 还要求您通过移动设备或电子邮件提交一次性密码。

如果黑客知道您网站的用户名和密码，但他们没有您的电话或访问您的电子邮件，他们将无法登录。

有几个插件可以为您的网站添加 2-Factor Authentication，我们将在下一节中讨论的许多综合安全插件也将其添加为它们所包含的许多功能的一部分。

 

安装安全插件

有些人说所有的安全都应该由您的主机完成，但在网络安全世界中，我们相信安全是分层发生的。 在您的 WordPress 上安装安全插件 网站只是这些层中的一层。

在安全插件方面，有多种选择。 以下是一些最流行的安全插件。 您应该对它们进行测试，看看哪一个最适合您的需求。

 

Wordfence

虽然这篇文章不会讨论哪个安全插件是最好的，但最受欢迎的是 Wordfence ——这有很多原因。

一方面，Wordfence 是一家专注于安全的公司，因为他们所做的就是安全。 他们不是一些 WordPress 插件开发人员，他们的产品组合中恰好有一个安全插件， 他们生活和呼吸安全.

Wordfence 插件带有一个免费的 Web 应用程序防火墙，可以根据已知漏洞列表检查每个请求，并在找到匹配项时阻止它们。 他们还有一个恶意软件扫描程序，可以寻找恶意活动和文件的迹象。 另一个很棒的功能是扫描程序能够根据 WordPress.org 存储库中的内容检查所有主题和插件文件，以确保它们匹配。

Wordfence 默认记录所有与安全相关的活动，因此您可以查看它并确保您的网站是安全的。

Wordfence 的另一个不错的功能是它们有一个 2-Factor Authentication 模块，因此您可以在这篇文章中淘汰推荐 #3。 在同一条保护线中，它们还具有暴力保护功能，可以锁定尝试多次登录的 IP 地址，从而有效地阻止机器人进入其轨道。

 

Sucuri

Sucuri 是另一个很棒的安全插件，可以帮助保护您的 WordPress 网站。 它具有 Wordfence 提供的许多相同的强大功能，但有一个值得注意的例外：没有免费的防火墙—​​—它仅在高级付费计划中可用。

关于 Sucuri 的一个重要说明是该插件最近被 GoDaddy 购买，因此他们正确支持它的能力尚未得到证明。 在虚拟主机圈子中，GoDaddy 不被看好，所以只有时间才能证明这种声誉是否会延伸到 Sucuri，或者他们是否能够迎接挑战。

Sucuri 还具有审核日志，因此您可以查看网站上与安全相关的活动，例如登录失败。

 

多合一WP安全性和防火墙

多合一WP安全性和防火墙 是唯一一个流行度甚至接近 Wordfence 的插件。 它提供了许多相同的好处，包括基于 .htaccess 规则的免费防火墙、蛮力保护和安全扫描程序。

它不包括的一件事是 2-Factor 身份验证模块，因此您需要为该功能添加一个独立插件。

可以说 All in One WP Security & Firewall 实际上提供了所有安全插件中最强大的防火墙。 由于防火墙是基于 .htaccess 的，因此在运行任何脚本之前都会对其进行处理，这使得它非常可靠。

All in One WP Security & Firewall 还包括一个很好的功能，可以帮助防止自动评论垃圾邮件。 或者，您可以将 WordPress 默认评论系统替换为 Deeper评论 用于附加功能和保护。

 

使用 Cloudflare

Cloudflare 因其出色的（免费）CDN 服务而受到 WordPress 用户的欢迎，该服务有助于加快您的网站速度。 但 Cloudflare 还提供了大量免费工具，可帮助您的网站抵御攻击。

其一，当您将名称服务器指向 Cloudflare 时，您将受益于可用的最快、最安全的 DNS 服务之一和免费的 SSL 证书。

Cloudflare 的服务器会在所有流量进入您的服务器以进行 DDoS 攻击之前检查所有流量，即使在免费版本（规则数量有限）中，它们的防火墙也是高度可配置的，允许您根据国家、ASN 甚至是URL 或查询字符串。

例如，如果您只从单个 IP 地址或少量固定 IP 地址登录您的网站，您可以在 Cloudflare 中构建一条规则，阻止所有其他 IP 甚至访问 wp-admin 或 wp-login.php . 这将阻止所有试图执行我们在第 3 节中讨论的暴力攻击的机器人。你也可以 使用您的 .htaccess 文件限制对 wp-admin 的访问 而不是 Cloudflare。 如果您想要多层保护（强烈推荐），您可以同时实施这两种方法。

 

不要使用空主题或插件

你想要那个高级主题但你不想为此付费吗？ 好吧，如果您从提供无效主题和插件的那些粗略网站之一获得它，您可以免费获得它。 但是还是有代价的……

当您使用无效的主题或插件时，您将失去产品与官方供应商提供的产品相同的保证。 这意味着，您将失去代码的完整性。

无效的主题和插件是恶意软件的重要来源，因为有时使插件无效的人将自己的恶意软件添加到其中以接管您的网站或执行其他恶意操作，例如窃取您的资源进行加密挖掘。

无效主题和插件是您自愿安装在自己网站上的恶意软件，甚至没有意识到。 就为了省几块钱？ 这不值得。 如果您需要高级功能，请向信誉良好的开发人员付费。

 

禁用文件编辑

WordPress 管理仪表板有一个非常方便的内置编辑器，可让您修改主题和插件文件的内容。 不幸的是，如果黑客碰巧闯入您的帐户，此编辑器还可以方便地修改您网站的代码。

现实是，你几乎 决不要 打算使用这个功能。 如果您曾经编辑过核心文件，您可能会直接通过主机的文件管理器或使用 FTP 客户端进行编辑。

您可以通过将这一行添加到 wp-config.php 文件来禁用从管理仪表板编辑文件的功能：

定义（'DISALLOW_FILE_EDIT'，真）；

添加此行后，编辑菜单不再可用于 WordPress 管理仪表板中的插件和主题文件。

 

移动并重命名您的 wp-config.php 文件

当我们谈论 wp-config.php 文件时，很多人已经知道您可以将 wp-config.php 文件从您的 WordPress 安装中移至一个目录，这样您的网站就可以正常工作了。 但是，让我们更进一步。

您是否知道您实际上可以将 wp-config.php 文件重命名为您想要的任何名称，并将其从您的 WordPress 安装中完全移出到一个非公共文件夹中？ 这需要做更多的工作，但这是值得的。

虽然文件本身在 Web 浏览器中调用时通常会返回一个空白页面，但在 PHP 处理程序失败的极少数情况下，文件的全部内容可以在 Web 浏览器中以纯文本形式显示。

wp-config.php 文件包含有关您网站的敏感信息，包括数据库用户名和密码。 这些信息落入坏人之手可能是灾难性的。 将文件重命名为随机名称有助于对机器人和黑客隐藏它。

By 将 wp-config.php 移动到非公共文件夹，您消除了某人在 PHP 处理程序失败期间通过浏览器获取信息的能力。

 

审核您网站上的活动

如果您没有跟踪网站上发生的事情，您可能会错过可能会提醒您注意恶意活动尝试的关键信息，或者如果您的网站已经遭到入侵，甚至会发现恶意活动。

除了安全优势之外，如果您的网站有多个用户，拥有一个好的审计插件还可以帮助确保您可以跟踪合法活动。 作为代理商，这是一个很好的工具，可以知道您的客户是否可能把事情搞砸了，即使他们说他们没有这样做！

有几个很好的插件可用于审核站点活动。 前面提到的一些安全插件具有一定程度的审计日志记录能力，但下面的插件通过审计所有用户活动而不仅仅是与安全相关的事件，将其提升到一个新的水平。 这里是前 3 名。

 

简单历史 – 用户活动日志、审计工具

简单的历史 是最流行的审计插件，它是一个很好的开始测试的插件。 它记录了您期望的所有内容，例如内容更新、插件安装和激活，以及几乎任何其他类型的用户活动。

该插件具有 5 星评级，开发团队在支持论坛中非常活跃，并在合理的时间范围内定期回答支持问题。

 

WP活动日志

WP活动日志 插件是用于您的网站的另一个不错的选择。 它具有比以前的插件更多的可配置选项，例如启用和禁用某些事件的审计的能力以及可配置的日志记录保留期。 它还具有大量附加组件，可将监控扩展到 WooCommerce 和 WPForms 等专业插件。

该插件的评分为 4.5 星，并且主要开发人员会亲自回答几乎每个支持论坛的问题。

如果您经营代理机构，WP Activity Log 与流行的管理工具 MainWP 很好地集成，因此您可以在单个界面中查看所有客户站点的审核日志。 在机构中，WP Activity Log 是审计日志的第一选择。

 

活动日志

另一个受欢迎的选择，获得 4.5 星评级。 活动日志 捕获您期望的所有内容，并拥有大量活动安装。

不幸的是，开发人员通常不会回复论坛中的支持请求，大多数支持问题都没有得到解答。

 

利用最小特权原则

在网络安全领域，最小权限原则是一个概念，其中用户只拥有完成工作所需的权限。

在 WordPress 的世界中，看到一家拥有 10 个用户的公司都设置为管理员的情况并不少见。 这种访问级别可能有正当理由，但很少需要超过 1 或 2 个具有如此高级别权限的帐户。

您无法控制的一件事是您的用户在他们没有在您的 WordPress 网站上积极执行工作时会做什么。 这意味着如果他们未能 保护自己的数据免受黑客攻击，草率很可能会蔓延到您的网站。

通过限制他们的访问，您将能够减轻用户可能无意中造成的任何损害，例如在仍登录到您的网站时单击恶意链接。 即使您是站点管理员，当您不执行高级管理任务时，也应该使用具有有限权限的单独编辑者帐户。

这样做很乏味吗？ 当然。 但这远没有清理受感染的网站那么乏味。

 

奖励：经常备份

在您的网站遭到入侵的最坏情况下，有时唯一的选择是从干净的备份中恢复它； 感染前服用的一种。 大多数体面的网络托管公司每天都会备份您的网站一次，但他们通常只保留这些备份几周。

如果您有一段时间没有注意到感染，这将是一个问题。 许多感染有效地对登录的管理员隐藏自己，以尽可能长时间地避免检测。

因为您现在知道安全性是分层的，所以您可以将相同的概念应用到您的备份中，除了您的 Web 主机之外，您还可以进行自己的备份。

有一些很棒的免费备份插件可用，包括 UpdraftPlus, BackWPup及 一体式WP移植. 每个人都有自己的长处和短处，但它们都非常可靠，可以让您更定期地备份您的网站。 在某些情况下，您甚至可以自动备份到远程云存储，如 Dropbox 或 OneDrive。

 

最后的思考

WordPress 安全性是拥有网站的重要组成部分。 如果操作不正确或被忽视，这也可能是一个耗时且资源密集的过程。 通过实施本文中的密钥，您可以将大部分安全需求置于自动状态，这样您就可以专注于重要的事情：您的业务。