在 2021 年保護您的 WordPress 網站免受黑客攻擊

每天有超過 100,000 個網站成為黑客的目標！ 因此，確保您的 WordPress 網站安全至關重要。 您的網站在任何時候都可能是這些網站之一。 WordPress 非常安全。 然而，許多 WordPress 網站都是黑客攻擊的受害者。 這與 WordPress 本身無關，而與您作為網站管理員如何管理您的網站和設置安全性有關。

即使您在啟動網站時確保您的網站是安全的，跟上安全維護也將確保您的網站始終受到適當的保護。

在我們開始之前，最好先了解一下WordPress 網站的一些常見安全問題：

• 蠻力攻擊- 蠻力攻擊是擁有強密碼很重要的原因。 攻擊者會一遍又一遍地輸入登錄信息，直到他們獲得正確的登錄組合來訪問您的 WordPress 網站。
• 惡意軟件– 惡意軟件的簡稱，惡意軟件是用於未經授權訪問網站以收集屬於企業主及其客戶或聯繫人的敏感數據的代碼。
• 文件包含漏洞——文件包含漏洞發生在使用不安全代碼加載遠程文件時，這將使黑客能夠訪問您的網站。 這也將使他們能夠訪問您的 wp-config.php 文件，該文件本質上是 WordPress 安裝的支柱。 如果這個文件被洩露，黑客可以訪問數據庫登錄信息和加密安全。
• SQL 注入– SQL 注入是對 WordPress 數據庫的攻擊，攻擊者藉此可以訪問您的數據庫，進而訪問您的數據。 發生這種情況時，攻擊者將能夠添加和更改數據，其中可能包括惡意鏈接和垃圾郵件。
• 跨站點腳本——跨站點腳本是插件最常見的問題，攻擊者可以找到一種方法讓受害者在不知不覺中加載帶有不安全 javascript 腳本的網頁。

當您的安全受到威脅時會發生什麼？

黑客可以竊取您的數據以及屬於您客戶的任何數據，從而使這些數據暴露在外。 惡意軟件可能會從您的網站分發給您的訪問者，這可能會損害您的 SEO 排名以及您的品牌聲譽。 最後，您的整個站點可能會被擦除，如果不進行備份，可能會給您帶來一些嚴重的問題。

現在，最大的問題是，如何讓您的網站免受黑客攻擊？ 對於 WordPress 網站，您可以通過多種方式提高網站的安全性。 在本指南中，我將向您展示一些您可以進行的基本安全更改，一直到更深入的 WordPress 安全功能。 讓我們潛入。

什麼是基本安全設置？

大多數網站甚至沒有涵蓋基礎知識，這使得保護非常草率。 在這裡，我們將介紹您可以採取哪些基本措施來加強 WordPress 安全性。

1. 強大的憑據

這聽起來可能很傻，但確保你有一個強密碼是你的第一道防線。 今天，人們仍在使用像 Password123 這樣的密碼，它提供的保護很少。 使用您的用戶名甚至電子郵件地址作為密碼可能很誘人，但不要這樣做！

強密碼將與您的用戶名和/或電子郵件不同，包括大寫字母以及小寫字母、數字和特殊字符（例如！、*、%）。

同樣，您可能會驚訝地發現許多人使用 admin 作為用戶名。 如果你是，是時候改變它了。

2. 使用安全連接的安全託管

網絡主機和您一樣負責您網站的安全。 現在託管是通過雲託管或共享託管提供的（查看最便宜的 WordPress 託管選項）。 雲託管在多台服務器上託管多個網站，而共享託管將在一台服務器上託管多個網站。

雲託管因其更高級別的可靠性和安全性而受到重視，因為它不需要在多個站點之間共享有限的資源。 這就是共享主機啟動的問題，當主機堆積的網站超過服務器可以處理的數量時，這會使網站容易受到攻擊。

這並不是說共享主機不好。 負責任的主機將始終使用安全連接，並且永遠不會給服務器超出其處理能力。 現在可能是檢查主機並確定是否需要進行切換的好時機。

3. 兩步驗證

一個簡單的安全修復是在登錄儀表板時啟用雙因素身份驗證。 這將為您的網站增加一層額外的安全性，並且很容易在您的設置中啟用。

身份驗證通常是通過短信或電子郵件的代碼。 有些人覺得必須通過額外的步驟才能登錄很煩人，但為了額外的保護，這是值得的。

3. SSL 證書

不確定您的網站是否有 SSL 證書？ 具有 SSL 的站點將在其網址開頭顯示 https:/，並且您的瀏覽器通常會說該站點不安全。 SSL 證書讓網絡訪問者知道您的網站是安全的，因此他們的數據在使用您的網站時受到保護。

大多數託管服務提供商現在在其訂閱費用中包含 SSL 證書，但如果您沒有，您可以通過您的主機支付一個，或者您可以使用免費的 Let's Encrypt 證書（請參閱如何手動向 WordPress 站點添加免費 SSL）。

作為網站所有者，您應該在為您的網站選擇 SSL 證書時檢查不同的 SSL 類型。例如，如果電子商務網站有多個子域，您應該考慮獲取通配符 SSL 證書。

有許多知名的證書品牌可以幫助您在網站上建立信任，例如 AlphaSSL、Comodo、GlobalSign、DigiCert。 您可以選擇任何人，因為所有知名品牌都提供經過身份驗證的 SSL 證書。

4. 備份您的網站

無論您的站點安全性有多強，它都不會是 100% 防彈的。 正是出於這個原因，備份您的網站（參見 WordPress 備份插件比較）是網站安全的絕對必要條件之一。 如果出現不可避免的情況，您可以放心，您不必從頭開始創建您的網站。

您可以使用備份插件，如 Duplicator（查看如何使用 Duplicator 遷移 WordPress 站點）、BackupBuddy（查看 BackupBuddy 評論）、WPvivid（查看 WPvivid 評論）、10Web 備份（查看 10Web 評論）等。

另一種備份數據的方法是同步使用相同數據的任何應用程序或軟件。 例如，您可以通過同步 Mailchimp 和 Office 365 來備份您的聯繫人，這將使您能夠保證聯繫人數據的安全。

5. 插件和主題

WordPress 網站在主題和許多插件上運行，這些插件也需要更新。 這些更新對於保持您的網站順利運行以及修復其軟件中的任何錯誤或問題都是必不可少的。 許多企業的網站都運行在舊版本的軟件上，而他們甚至不知道這一點。

另一個問題是使用無效的主題和插件，這些包含修改過的代碼並且不受信任。 使用空插件會使您的網站面臨風險。

6. 更新您的 PHP 版本

任何運行非常舊版本的 PHP 的站點都面臨安全風險。 過時的 PHP 會使您的 WordPress 網站容易受到攻擊。 檢查您的 PHP 版本是否在最新版本上運行是個好主意。 您可以通過檢查您網站上的標頭請求、使用各種插件或通過您的 cPanel（如果您的主機使用它）來找到您的版本。

7. 收緊您的管理區域

WordPress 管理區域本質上使用戶能夠訪問和執行您網站上的某些任務，並且通常不受保護。 因此，它是 WordPress 網站最常見的目標區域。

您可以通過向管理目錄添加額外的身份驗證措施來加強安全性。 您可以添加兩因素身份驗證並限制登錄嘗試，以添加另一層安全性並阻止黑客。

您可以更進一步，更改 WordPress 登錄 URL。 WordPress 站點的默認 URL 是 domain.com/wp-admin 或 /login.php，這使黑客更容易嘗試對您的管理員登錄進行暴力攻擊。

雖然它不是一個巨大的安全修復，但更改 URL 確實會使攻擊者難以訪問該站點。 您可以使用 iThemes Security（參見 iThemes Security 與 WordFence 比較）、Hide My WP（檢查 Swift Performance 與 Hide My WP 比較）等插件更改您的登錄 URL。

如何實現更強的安全性？

以下是一些提高 WordPress 網站安全級別的建議。

1. 安裝 WordPress 安全插件

您可能想知道是否可以安裝一個漂亮的插件來幫助減輕您的安全負擔，好消息是有很多。 使用這些插件的好處是它們的各種功能以及掃描 WordPress 安裝的任何可能表明黑客企圖的修改文件的選項。 這些插件還具有：

• 關於網站訪問者的 WHOIS 信息
• 兩因素身份驗證
• 重新驗證碼
• 惡意軟件掃描
• 密碼過期 – 強制您在一段時間後重置密碼。
• WordPress 安全防火牆

雖然它們可能無法解決您的所有安全問題，但插件可以幫助添加另一層防禦並防止黑客攻擊。 我建議考慮以下插件：Sucuri、Jetpack Security、iThemes Security Pro、BulletProof Security、Wordfence、MalCare（參見 MalCare 評論）等。

2. 隱藏您的 WordPress 版本

關於您和您的網站配置的可用信息越少，黑客就越難瞄準您。 隱藏您的網站版本可以防止黑客將您的網站識別為在舊版本上運行。

一個更簡單的解決方案是確保您的網站始終是最新的，但如果您想採取預防措施，您可以通過向主題的functions.php文件添加代碼來隱藏您的 WordPress 版本。

3. 文件權限

文件權限是您的網絡服務器用來控制對您網站上的文件的訪問的一組規則。 擁有錯誤的權限可能會阻止您的站點運行，但它們也可能允許黑客訪問、重寫和更改這些文件。

文件權限的推薦值如下：所有文件應設置為 644，所有目錄應設置為 755 或 750。目錄不應設置為 777。

4. 數據庫安全

無論您的網站如何命名，您的數據庫都將被命名。 因此，如果您的站點名為richie rich，則您的數據庫將命名為wp_richierich。 通過將其更改為不相關的內容，可以阻止黑客猜測您的數據庫名稱。

另一種加強安全性的方法是更改​​默認的 WordPress 表前綴。 默認情況下，WordPress 使用 wp_ 作為它用來創建數據庫的前綴。 在安裝過程中，您可以更改此前綴，建議您這樣做，以使黑客更難猜測您的數據庫名稱。

5. DDoS 防護

DDoS 是一種拒絕服務攻擊，它不會損害您的網站，但會導致您的網站關閉數小時甚至數天。 雖然這可能不會對您的網站造成任何損害，但如果您依賴網站始終全面運行，則可能會損害您的業務。 您可以使用第三方安全性（例如 Securi 或 Cloudflare）來防止 DDoS 攻擊。

6. 保護您的 wp-config.php 文件

正如我之前提到的，wp-config.php 文件是 WordPress 安裝中最重要的文件。 如果受到攻擊，黑客可以獲得您的數據庫登錄名，這將使他們能夠完全訪問您的網站。

這聽起來可能很嚇人，但別擔心，您可以通過更改文件權限來加強 wp-config.php 文件的安全性。 根目錄中的文件通常設置為 644，允許所有者讀取和寫入文件，並且組所有者中的用戶和其他所有人都可以讀取。

如果您想拒絕其他用途的訪問，則應將文件設置為 440 或 400。請記住，某些託管平台將具有不同的權限。 這是因為用戶沒有寫入文件的權限。 在這種情況下，最好聯繫您的託管服務提供商以確保權限是什麼。

確保您的 WordPress 網站安全

WordPress 網站被黑的原因有很多。 清理被黑的 WordPress 網站並非不可能，但通過採取預防措施，您可以減少網站被黑的機會，這樣您就不必擔心清理您的網站，或者在最壞的情況下，構建一個全新的網站網站。