在 2021 年保护您的 WordPress 网站免受黑客攻击

每天有超过 100,000 个网站成为黑客的目标！ 因此，确保您的 WordPress 网站安全至关重要。 您的网站在任何时候都可能是这些网站之一。 WordPress 非常安全。 然而，许多 WordPress 网站都是黑客攻击的受害者。 这与 WordPress 本身无关，而与您作为网站管理员如何管理您的网站和设置安全性有关。

即使您在启动网站时确保您的网站是安全的，跟上安全维护也将确保您的网站始终受到适当的保护。

在我们开始之前，最好先了解一下WordPress 网站的一些常见安全问题：

• 蛮力攻击- 蛮力攻击是拥有强密码很重要的原因。 攻击者会一遍又一遍地输入登录信息，直到他们获得正确的登录组合来访问您的 WordPress 网站。
• 恶意软件– 恶意软件的简称，恶意软件是用于未经授权访问网站以收集属于企业主及其客户或联系人的敏感数据的代码。
• 文件包含漏洞——文件包含漏洞发生在使用不安全代码加载远程文件时，这将使黑客能够访问您的网站。 这也将使他们能够访问您的 wp-config.php 文件，该文件本质上是 WordPress 安装的支柱。 如果这个文件被泄露，黑客可以访问数据库登录信息和加密安全。
• SQL 注入– SQL 注入是对 WordPress 数据库的攻击，攻击者借此可以访问您的数据库，进而访问您的数据。 发生这种情况时，攻击者将能够添加和更改数据，其中可能包括恶意链接和垃圾邮件。
• 跨站点脚本——跨站点脚本是插件最常见的问题，攻击者可以找到一种方法让受害者在不知不觉中加载带有不安全 javascript 脚本的网页。

当您的安全受到威胁时会发生什么？

黑客可以窃取您的数据以及属于您客户的任何数据，从而使这些数据暴露在外。 恶意软件可能会从您的网站分发给您的访问者，这可能会损害您的 SEO 排名以及您的品牌声誉。 最后，您的整个站点可能会被擦除，如果不进行备份，可能会给您带来一些严重的问题。

现在，最大的问题是，如何让您的网站免受黑客攻击？ 对于 WordPress 网站，您可以通过多种方式提高网站的安全性。 在本指南中，我将向您展示一些您可以进行的基本安全更改，一直到更深入的 WordPress 安全功能。 让我们潜入。

什么是基本安全设置？

大多数网站甚至没有涵盖基础知识，这使得保护非常草率。 在这里，我们将介绍您可以采取哪些基本措施来加强 WordPress 安全性。

1. 强大的凭据

这听起来可能很傻，但确保你有一个强密码是你的第一道防线。 今天，人们仍在使用像 Password123 这样的密码，它提供的保护很少。 使用您的用户名甚至电子邮件地址作为密码可能很诱人，但不要这样做！

强密码将与您的用户名和/或电子邮件不同，包括大写字母以及小写字母、数字和特殊字符（例如！、*、%）。

同样，您可能会惊讶地发现许多人使用 admin 作为用户名。 如果你是，是时候改变它了。

2. 使用安全连接的安全托管

网络主机和您一样负责您网站的安全。 现在托管是通过云托管或共享托管提供的（查看最便宜的 WordPress 托管选项）。 云托管在多台服务器上托管多个网站，而共享托管将在一台服务器上托管多个网站。

云托管因其更高级别的可靠性和安全性而受到重视，因为它不需要在多个站点之间共享有限的资源。 这就是共享主机启动的问题，当主机堆积的网站超过服务器可以处理的数量时，这会使网站容易受到攻击。

这并不是说共享主机不好。 负责任的主机将始终使用安全连接，并且永远不会给服务器超出其处理能力。 现在可能是检查主机并确定是否需要进行切换的好时机。

3. 两步验证

一个简单的安全修复是在登录仪表板时启用双因素身份验证。 这将为您的网站增加一层额外的安全性，并且很容易在您的设置中启用。

身份验证通常是通过短信或电子邮件的代码。 有些人觉得必须通过额外的步骤才能登录很烦人，但为了额外的保护，这是值得的。

3. SSL 证书

不确定您的网站是否有 SSL 证书？ 具有 SSL 的站点将在其网址开头显示 https:/，并且您的浏览器通常会说该站点不安全。 SSL 证书让网络访问者知道您的网站是安全的，因此他们的数据在使用您的网站时受到保护。

大多数托管服务提供商现在在其订阅费用中包含 SSL 证书，但如果您没有，您可以通过您的主机支付一个，或者您可以使用免费的 Let's Encrypt 证书（请参阅如何手动向 WordPress 站点添加免费 SSL）。

作为网站所有者，您应该在为您的网站选择 SSL 证书时检查不同的 SSL 类型。例如，如果电子商务网站有多个子域，您应该考虑获取通配符 SSL 证书。

有许多知名的证书品牌可以帮助您在网站上建立信任，例如 AlphaSSL、Comodo、GlobalSign、DigiCert。 您可以选择任何人，因为所有知名品牌都提供经过身份验证的 SSL 证书。

4. 备份您的网站

无论您的站点安全性有多强，它都不会是 100% 防弹的。 正是出于这个原因，备份您的网站（参见 WordPress 备份插件比较）是网站安全的绝对必要条件之一。 如果出现不可避免的情况，您可以放心，您不必从头开始创建您的网站。

您可以使用备份插件，如 Duplicator（查看如何使用 Duplicator 迁移 WordPress 站点）、BackupBuddy（查看 BackupBuddy 评论）、WPvivid（查看 WPvivid 评论）、10Web 备份（查看 10Web 评论）等。

另一种备份数据的方法是同步使用相同数据的任何应用程序或软件。 例如，您可以通过同步 Mailchimp 和 Office 365 来备份您的联系人，这将使您能够保证联系人数据的安全。

5. 插件和主题

WordPress 网站在主题和许多插件上运行，这些插件也需要更新。 这些更新对于保持您的网站顺利运行以及修复其软件中的任何错误或问题都是必不可少的。 许多企业的网站都运行在旧版本的软件上，而他们甚至不知道这一点。

另一个问题是使用无效的主题和插件，这些包含修改过的代码并且不受信任。 使用空插件会使您的网站面临风险。

6. 更新您的 PHP 版本

任何运行非常旧版本的 PHP 的站点都面临安全风险。 过时的 PHP 会使您的 WordPress 网站容易受到攻击。 检查您的 PHP 版本是否在最新版本上运行是个好主意。 您可以通过检查您网站上的标头请求、使用各种插件或通过您的 cPanel（如果您的主机使用它）来找到您的版本。

7. 收紧您的管理区域

WordPress 管理区域本质上使用户能够访问和执行您网站上的某些任务，并且通常不受保护。 因此，它是 WordPress 网站最常见的目标区域。

您可以通过向管理目录添加额外的身份验证措施来加强安全性。 您可以添加两因素身份验证并限制登录尝试，以添加另一层安全性并阻止黑客。

您可以更进一步，更改 WordPress 登录 URL。 WordPress 站点的默认 URL 是 domain.com/wp-admin 或 /login.php，这使黑客更容易尝试对您的管理员登录进行暴力攻击。

虽然它不是一个巨大的安全修复，但更改 URL 确实会使攻击者难以访问该站点。 您可以使用 iThemes Security（参见 iThemes Security 与 WordFence 比较）、Hide My WP（检查 Swift Performance 与 Hide My WP 比较）等插件更改您的登录 URL。

如何实现更强的安全性？

以下是一些提高 WordPress 网站安全级别的建议。

1. 安装 WordPress 安全插件

您可能想知道是否可以安装一个漂亮的插件来帮助减轻您的安全负担，好消息是有很多。 使用这些插件的好处是它们的各种功能以及扫描 WordPress 安装的任何可能表明黑客企图的修改文件的选项。 这些插件还具有：

• 关于网站访问者的 WHOIS 信息
• 两因素身份验证
• 重新验证码
• 恶意软件扫描
• 密码过期 – 强制您在设定的时间后重置密码。
• WordPress 安全防火墙

虽然它们可能无法解决您的所有安全问题，但插件可以帮助添加另一层防御并防止黑客攻击。 我建议考虑以下插件：Sucuri、Jetpack Security、iThemes Security Pro、BulletProof Security、Wordfence、MalCare（参见 MalCare 评论）等。

2. 隐藏您的 WordPress 版本

关于您和您的网站配置的可用信息越少，黑客就越难瞄准您。 隐藏您的网站版本可以防止黑客将您的网站识别为在旧版本上运行。

一个更简单的解决方案是确保您的网站始终是最新的，但如果您想采取预防措施，您可以通过向主题的functions.php文件添加代码来隐藏您的 WordPress 版本。

3. 文件权限

文件权限是您的网络服务器用来控制对您网站上的文件的访问的一组规则。 拥有错误的权限可能会阻止您的站点运行，但它们也可能允许黑客访问、重写和更改这些文件。

文件权限的推荐值如下：所有文件应设置为 644，所有目录应设置为 755 或 750。目录不应设置为 777。

4. 数据库安全

无论您的网站如何命名，您的数据库都将被命名。 因此，如果您的站点名为richie rich，则您的数据库将命名为wp_richierich。 通过将其更改为不相关的内容，可以阻止黑客猜测您的数据库名称。

另一种加强安全性的方法是更改​​默认的 WordPress 表前缀。 默认情况下，WordPress 使用 wp_ 作为它用来创建数据库的前缀。 在安装过程中，您可以更改此前缀，建议您这样做，以使黑客更难猜测您的数据库名称。

5. DDoS 防护

DDoS 是一种拒绝服务攻击，它不会损害您的网站，但会导致您的网站关闭数小时甚至数天。 虽然这可能不会对您的网站造成任何损害，但如果您依赖网站始终全面运行，则可能会损害您的业务。 您可以使用第三方安全性（例如 Securi 或 Cloudflare）来防止 DDoS 攻击。

6. 保护您的 wp-config.php 文件

正如我之前提到的，wp-config.php 文件是 WordPress 安装中最重要的文件。 如果受到攻击，黑客可以获得您的数据库登录名，这将使他们能够完全访问您的网站。

这听起来可能很吓人，但别担心，您可以通过更改文件权限来加强 wp-config.php 文件的安全性。 根目录中的文件通常设置为 644，允许所有者读取和写入文件，并且组所有者中的用户和其他所有人都可以读取。

如果您想拒绝其他用途的访问，则应将文件设置为 440 或 400。请记住，某些托管平台将具有不同的权限。 这是因为用户没有写入文件的权限。 在这种情况下，最好联系您的托管服务提供商以确保权限是什么。

确保您的 WordPress 网站安全

WordPress 网站被黑的原因有很多。 清理被黑的 WordPress 网站并非不可能，但通过采取预防措施，您可以减少网站被黑的机会，因此您不必担心清理您的网站，或者在最坏的情况下，构建一个全新的网站网站。