確保網站安全的 16 個 WordPress 安全提示 (2023)

已發表: 2023-10-27

您是否需要一份完整的 WordPress 安全提示列表，以保護您的網站免受 WordPress 眾所周知的常見危險。

在這篇文章中，您將找到十多個基本和進階安全提示，您可以實施這些提示來保護您的網站免受漏洞和駭客攻擊。

以下是我們將在本文中介紹的 WordPress 安全提示：

選擇優質的 WordPress 主機。
管理 WordPress 核心、主題和外掛。
安裝 WordPress 安全性外掛。
安裝備份插件。
仔細選擇第三方主題和外掛。
了解 WordPress 使用者角色及其權限。
在網站的後端登入頁面上實施保護協議。
使用安全的使用者名稱和密碼。
為您的網站啟用 SSL 憑證。
禁用文件編輯。
禁用 PHP 執行。
更改 WordPress 資料庫前綴。
保護您的 wp-config.php 檔案。
重新命名 WordPress 登入頁面。
禁用目錄瀏覽。
註銷不活動的用戶。

我們分為兩個單獨的清單：基本安全提示和進階安全性提示。

讓我們從基本的安全提示開始。

面向所有使用者的基本 WordPress 安全性提示

1.選擇優質的WordPress主機

一切都從這裡開始。

如果您不選擇具有良好聲譽的優質 WordPress 主機，那麼無論您在 WordPress 中實施多少安全措施，您的網站都將容易受到攻擊。

雖然您的網站是由程式碼組成的，但程式碼存在於檔案中，即需要安裝在 Web 伺服器上的檔案。

至少，選擇一個以維護快速、安全的伺服器、保持伺服器技術最新並提供對最新 PHP 版本的存取而聞名的主機。

我們使用 Cloudways 來託管部落格精靈。它快速且價格實惠。它的可擴展性也是一個重要因素，因為我們獲得了大量流量。

它們提供以下安全功能：

一個 Cloudflare Enterprise 附加元件，可實現 DDoS 防護和 Web 應用程式防火牆 (WAF)。
伺服器防火牆。
登入安全性。
資料庫安全。
機器人保護。
免費 SSL 憑證。
使用者角色管理。
安全作業系統管理。
雙重身份驗證。

但是，就 WordPress 安全性而言，使用託管 WordPress 主機可能會更好，特別是如果您不是高級 WordPress 使用者。

WordPress 託管

WordPress 託管是 WordPress 託管的一種形式，您的主機可以為您管理維護 WordPress 網站的許多方面。

這通常包括 WordPress 安全性的各個方面。

以下是使用我們最推薦的託管 WordPress 主機 WPX Hosting 的範例。此託管提供者提供以下安全功能：

所有方案均包含惡意軟體清除。
如果您的網站離線，則進行網站修復。
DDoS 防護。
自動備份，可儲存長達 28 天的備份。
擁有 35 個邊緣站點的專有 CDN。
免費 SSL 憑證。
在推送更新之前測試更新的暫存區。
雙重身份驗證。
進階帳戶安全性可讓您在硬體層級限制對 WPX 主機帳戶的存取。

2.正確管理WordPress核心、主題和插件

正如我們所說，您的 WordPress 網站由文件和程式碼組成。這包括 WordPress 主題和 WordPress 外掛以及 WordPress 本身，即所謂的「WordPress 核心」。

與您使用的電腦和手機應用程式一樣，WordPress 檔案會定期更新以實現新功能和安全修復。

這就是為什麼您必須盡可能經常保持 WordPress 本身以及您的主題和外掛程式最新的原因。如果不這樣做，可能會導致您的網站面臨毀滅性的安全漏洞。

您應該始終嘗試在您的網站上使用最新的 WordPress 版本。

幸運的是，WordPress 已經自動實施緊急安全更新，您也可以全面設定 WordPress 自動更新。

但是，最好透過臨時區域（例如WPX Hosting 允許您建立的區域）手動執行大多數WordPress 更新，這樣您就可以在受控環境中測試這些更新對網站所做的更改，然後再將其推送到實際生產版本你的網站。

總而言之，每週留出時間來檢查、測試 WordPress 更新並將其應用到您的網站，以盡可能保證其安全。

另外，請務必刪除不再使用的主題和外掛。

啟用主題和外掛的自動更新

您可以啟用主題和外掛的自動 WordPress 更新，而無需 WordPress 內部安裝外掛。

對於主題，請前往外觀 → 主題，按一下主題，然後按一下啟用自動更新按鈕。

啟用外掛程式自動更新的工作方式相同。

前往插件 → 安裝的插件，然後點擊您想要啟用自動更新的任何插件的啟用自動更新按鈕。

您甚至可以使用批次選項一次啟用所有插件的自動更新。

3.安裝專用的WordPress安全插件

如果您沒有使用託管 WordPress 主機來託管您的 WordPress 網站，那麼最好的選擇是使用專用的 WordPress 安全性外掛。

我們推薦 WordPress 安全性外掛 MalCare 或 Sucuri。

MalCare 在您的 WordPress 網站中實現以下功能：

惡意軟體掃描器。
惡意軟體刪除。
為 WordPress 客製化的防火牆。
登入保護。
正常運作時間監控。
增量備份和一鍵站點還原。
機器人保護。
漏洞掃描器。
活動日誌可讓您識別可疑行為。
有關惡意軟體和漏洞的電子郵件警報。

Sucuri 也提供了許多此類功能，但最出名的是其惡意軟體掃描和刪除功能以及實施防火牆來保護 WordPress 網站的能力。

MalCare 比 Sucuri 更實惠，甚至還包含有限的免費方案。

4.安裝WordPress後台插件

在其他安全性方面失敗的情況下，備份是保護網站安全的最佳方法之一。

如果您的網站遭到駭客攻擊或損壞，或者更新破壞了一些功能，您可以使用備份將其還原到正常運作的狀態。

如果您的主機不提供備份，並且您沒有從安全插件中獲得此功能，那麼您絕對應該使用專用的備份插件。

我們推薦 WP 分期。

顧名思義，它專注於網站暫存，但它還提供備份、遷移和克隆功能。

該插件提供自動備份，並允許您將它們異地儲存在 Google Drive 或 Amazon S3 上。

如果您需要增量備份以及 WP STAGING 提供的許多相同功能，請嘗試 BlogVault。

這兩種解決方案都允許您從備份還原網站。

注意：雖然選擇優質 WordPress 主機意味著您不太可能使用第三方備份，但我們仍然建議使用上述解決方案之一作為預防措施。

5.警惕第三方WordPress主題和插件

當您聽到 WordPress 網站遭到駭客攻擊時，通常是由於以下兩個原因之一：WordPress 核心版本過時以及第三方主題和外掛程式。

這就是為什麼了解 WordPress 更新如此重要。即便如此，世界上所有的更新都無法保護您的網站免受惡意或編碼不良的第三方主題或外掛程式的侵害。

在決定在網站上安裝主題或外掛程式之前，請先進行研究。

首先，主題或外掛上次更新是什麼時候？如果主題或外掛一年多沒有更新，這不是一個好兆頭。

請務必閱讀主題或外掛程式的評論以及支援線程。這些將為您提供更好的指標來了解主題或外掛程式的支援程度。

確保也透過社群媒體搜尋運行主題或外掛程式的名稱，尤其是在 Twitter、Reddit 和 Facebook 上。

這些網站可能有一些投訴，但 WordPress.org 上的主題或外掛程式的官方頁面上沒有解決。

6.了解WordPress使用者角色及其權限

身為 WordPress 網站擁有者，了解 WordPress 使用者角色和每個角色提供的權限之間的差異非常重要。

以下是每個角色有權存取的權限的快速概述：

管理員 (Admin) – 可以存取 WordPress 儀表板的所有區域並對網站的任何部分以及該網站上的任何使用者進行更改。
編輯者– 有權訪問 WordPress 貼文和頁面，並擁有添加、發布、刪除和編輯此內容的能力，即使這些內容不是他們自己創建的。
作者– 能夠新增、編輯和發布自己的貼文。
貢獻者– 能夠新增和編輯自己的貼文。
訂閱者– 可以編輯他們的使用者個人資料並使用本機 WordPress 評論系統留下評論。

因此，如果您為部落格僱用編輯，您應該為他們指派編輯角色，而不是管理員角色。

這樣，他們可以處理您網站上的內容，但無法更改您的主題、外掛程式和 WordPress 設定。

7.保護WordPress登入頁面

WordPress 登入頁面是您用來登入 WordPress 儀表板的頁面。

您通常可以透過造訪 yourdomain.com/wp-login.php 來存取它。

我們可以使用多種不同的技術來保護 WordPress 登入頁面的安全性。

我們將在本節中提到兩種技術，但本文的高級部分還有其他技術。

我們要提到的第一個技巧是簡單地將驗證碼表單新增到網站的登入頁面。

如果您決定使用我們前面提到的 MalCare 安全插件，則無需單獨的插件即可將此功能新增至您的網站。

該外掛程式可讓您透過自動顯示驗證碼來限制登入嘗試，以便訪客在三次嘗試後登入失敗時解決問題。

如果您不使用 MalCare，請改用 Advanced Google reCAPTCHA 等外掛程式。

這是一個非常簡單的插件，可讓您將驗證碼表單新增至登入表單、註冊表單等。

啟用此外掛程式後，您和任何造訪您登入頁面的人都需要填寫驗證碼表單才能登入。

除此之外，保護 WordPress 登入頁面的另一個簡單方法是啟用雙重認證。

使用像兩因素身份驗證（來自 UpdraftPlus 的製造商）這樣的插件將兩因素身份驗證添加到您的登入頁面。該插件與 Google Authenticator 整合。

8. 使用安全登入憑證

驗證碼表單和雙重認證技術使攻擊者更難進入您的網站，但並非不可能。

這就是為什麼使用安全登入憑證很重要。它為您的網站增加了額外的安全層。

對於初學者來說，您永遠不應該使用“admin”作為您的用戶名或自己的名字。

而是將您的名字的片段組合起來。例如，如果您的名字是 David Smith，出生於 1980 年 10 月 10 日，請使用「dasm1080」作為您的使用者名稱或類似名稱。

這樣，如果攻擊者試圖進入您的網站，他們首先需要找出您的用戶名。

這是一個有點高級的技巧，但您實際上可以隱藏 WordPress 用戶名，讓攻擊者更難找到它們。這很好，因為有時可以在頁面的源代碼中找到用戶名。

此外，WordPress 為作者存檔頁面產生的 URL 通常包含每位作者的使用者名稱。

為了解決這個問題，請前往 WordPress 中該作者的使用者個人資料，並使用使用者名稱以外的其他內容填寫名字、姓氏、暱稱和顯示名稱欄位。

更進一步，這就是高級技巧發揮作用的地方，透過 phpMyAdmin 訪問您網站的資料庫，並找到 wp_users 表。如果您或您的主機更改了資料庫的前綴，那麼「wp」位元可能看起來有點不同，但它仍然會附加「_users」部分。

您想要做的是編輯每個使用者的資料庫條目並將“user_nicename”值變更為使用者使用者名稱設定之外的其他值。

用戶名就可以了。請務必用破折號填滿空格，例如「david-smith」。

對於密碼，請使用密碼產生器產生安全密碼，並考慮將其儲存在密碼管理器中以便於存取。

9. 為您的網站設定 SSL

SSL（即安全通訊端層）是一種安全協議，可對在兩個網路之間傳輸的資料進行加密。

這通常用於加密支付資訊和敏感的客戶資料。

有兩種方法可以查看網站是否透過 SSL 憑證加密：網址列中的掛鎖以及網站使用“https”而不是“http”。

由於 SSL 是一個輕量級的 Google 排名因素，因此鼓勵所有網站設定 SSL，即使它們從未打算接受付款。

幸運的是，現在大多數主機都透過 Let's Encrypt 免費提供 SSL 證書，因此現在設定一切都比以往更容易、更便宜。

查看主機的知識庫以了解如何執行此操作，因為每個主機的處理方式都不同。

進階使用者的 WordPress 安全性提示

10.禁用文件編輯

管理員的 WordPress 儀表板或 WordPress 管理有兩個文件編輯器，可讓您編輯主題和外掛程式檔案。

您可以透過外觀 → 主題檔案編輯器和外掛程式 → 外掛程式檔案編輯器找到它們。

更改這些文件可能會破壞您的網站。更糟的是，如果駭客確實獲得了您的某個管理員帳戶的存取權限，他們就能夠使用這些編輯器將惡意程式碼注入您的網站。

這就是為什麼建議 WordPress 網站所有者完全停用文件編輯。

您需要做的就是將以下程式碼新增到您的 wp-config.php 檔案中：

 定義（'DISALLOW_FILE_EDIT'，true）；

如果您的主機沒有檔案管理器，您需要透過 FTP 存取網站的文件，下載 wp-config.php 文件，使用純文字編輯器編輯它，保存它，然後將其重新上傳到同一主機WordPress 安裝檔案系統中的位置。

只要確保覆蓋原來的即可。

另外，請確保在更改檔案系統之前備份您的網站。在應用更改之前下載 wp-config.php 檔案的副本也是一個好主意。

11.禁用PHP執行

駭客經常透過在網站的檔案系統中執行 PHP 檔案來建立後門。

您可以透過在原本不應包含任何 PHP 檔案的資料夾（例如儲存媒體檔案的 Uploads 資料夾）中停用 PHP 檔案執行來阻止此類攻擊。

在包含PHP 的資料夾中阻止 PHP 執行實際上可能會破壞您的站點，因此為了安全起見，通常建議僅對從未發現 PHP 的資料夾停用 PHP 執行。

如果您使用 MalCare 安全插件，則可以透過輸入網站的 FTP 憑證來停用 PHP 執行。

如果沒有，您需要透過編輯網站的檔案系統來手動執行此操作。

首先在電腦上開啟純文字編輯器，並在其中加入以下程式碼：

 <文件*.php>

所有人都否認

</文件>

然後，儲存該文件，並將其命名為「.htaccess」。確保包含點“.” 在“htaccess”之前。

現在，您需要做的就是訪問網站的檔案系統，並將新的 .htaccess 檔案上傳到 Uploads 資料夾，然後儲存變更。

12.更改WordPress資料庫前綴

我們已經說過多次，但您的網站是由儲存在文件中的程式碼組成的。

我們沒有提到的是您的網站也是如何由資料庫表組成的。與程式碼或文件一樣，刪除或更改這些表可能會對您的網站造成很大損害。

不幸的是，如果駭客知道您的資料庫前綴，他們可以使用它來攻擊您的網站，而無需實際手動訪問它。

預設情況下，所有 WordPress 網站都設計為使用「wp」前綴，這就是為什麼更改它如此重要，因為駭客已經熟悉此前綴。

幸運的是，許多主機在您使用它們建立網站後就會自動變更網站的預設前綴。

如果您的資料庫表在每個底線值之前都有「wp」以外的其他內容（例如「fx87_user」而不是通常的「wp_user」），您就會知道它們是否這樣做。

如果沒有的話，實際上很簡單，只要您熟悉造訪網站的檔案系統即可。

本技巧再次需要 wp-config.php 檔案。就像以前一樣，最好在進行更改之前保存您的網站以及 wp-config.php 檔案的副本。

以下是更改 WordPress 資料庫前綴的步驟：

下載您網站的 wp-config.php 檔案。
在純文字文字編輯器中開啟該檔案。
找到一行「$table_prefix」。如果整行顯示“$table_prefix = 'wp_'; 你需要改變它。
將“wp”前綴更改為攻擊者難以猜測的兩到五個字母和數字。
確保您的新前綴仍然包含引號和分號。範例：$table_prefix = “fx87_”;
儲存您的 wp-config.php 文件，並將其上傳到網站檔案系統中的相同位置。
出現提示時覆蓋原始 wp-config.php 檔案。

13. 透過移動 wp-config.php 檔案來保護它

一些攻擊策略涉及將程式碼注入到 wp-config.php 檔案中，這首先要求攻擊者下載它。

透過移動您的 wp-config.php 文件，您可以使駭客更難找到它。

WordPress 允許您將 wp-config.php 檔案向上移動一個目錄，而無需執行任何其他操作。您的網站仍然可以從那裡訪問它。

但是，由於上一個目錄可能仍然是公用資料夾，因此最好將其移得更遠一些。

遵循此技巧並不難，但它對您的網站所做的更改非常高級，尤其是在出現問題的情況下，因此只有在您知道自己在做什麼的情況下才能繼續。

以下是移動 wp-config.php 檔案的步驟：

複製您的 wp-config.php 文件，並將其儲存在您的電腦上。
存取網站的檔案系統，並找到包含 public_html 資料夾的資料夾。
在此目錄中建立一個新資料夾，並將其命名為不會將其標識為包含 wp-config.php 檔案的資料夾。像“bw-assets”這樣的東西會起作用。 注意：不要在您自己的網站上使用 bw-assets。使用您想出的原創內容，這樣更安全。
將新資料夾的權限等級設定為 700。
將 wp-config.php 檔案複製並貼上到新建立的資料夾中，並將其重命名為不會將其識別為 wp-config.php 檔案的名稱。同樣，像是「bw-asset.php」之類的東西也可以正常運作。
將此新檔案的權限等級變更為 600。

編輯原始的 wp-config.php 文件，刪除其中的程式碼，並將其替換為：

 <?php

包括('/home/usr/bw-assets/bw-asset.php');

?>

引號之間的檔案路徑應與您自己網站的絕對檔案路徑匹配，包括您如何命名新建立的資料夾和檔案。

之後儲存文件。

14.重新命名WordPress登入頁面

預設情況下，WordPress 登入頁面位於 /wp-login.php 和類似的 URL 路徑。因此，如果您想登入 WordPress 網站，只需造訪 yourdomain.com/wp-login.php 或 yourdomain.com/wp-admin 即可。

駭客對此非常熟悉。一旦他們造訪您網站的登入表單，他們就可以發動暴力攻擊，試圖突破您的防禦。

希望這些防禦措施包括使用安全插件或驗證碼表單限制登入嘗試，但您也可以完全隱藏登入頁面。

使用WPS隱藏登入之類的插件來實現此功能。

該外掛程式為 WordPress 常規設定頁面添加了一個簡單的設置，該設定允許您透過在文字欄位中輸入所需的 URL 來更改登入 URL。

使用不常見的安全內容，這樣駭客就無法輕易猜到。也許可以嘗試使用單字組合，這樣看起來就毫無意義，例如「einsteinbananafrisbee」。

進行此變更後，您將無法再從 wp-login.php 或類似 URL 存取登入頁面。您只能使用 yourdomain.com/einsteinbananafrisbee，因此請確保您能記住它。

15.禁用目錄瀏覽

目錄瀏覽是一項網頁設計功能，可讓使用者在網址列中輸入目錄作為 URL 並查看該目錄的內容。

駭客使用這種方式查看目錄，而無需實際以惡意方式存取網站。當他們這樣做時，他們可能會找出他們可以利用的文件和漏洞。

解決此問題的最佳方法是完全停用目錄瀏覽。

首先查看您的網站是否啟用了目錄瀏覽。您可以透過造訪 yourdomain.com/wp-includes 來判斷。如果您遇到 403 Forbidden 錯誤，目錄瀏覽已停用，您無需擔心。

但是，如果您看到文件列表，則需要自行停用目錄瀏覽。

首先造訪網站的檔案系統並找到 .htaccess 檔案。

就像您對 wp-config.php 檔案所做的那樣，您應該在對其進行更改之前備份您的網站並建立 .htaccess 的副本。

然後，下載它，在純文字編輯器中打開它，並將以下程式碼片段添加到其末尾：

 選項全部-索引

儲存文件，並將其重新上傳到您的 WordPress 網站，確保覆蓋原始文件。

16. 註銷不活動的用戶

管理員、編輯和作者同事可能認為他們的工作空間是安全的，但你永遠不能太小心。

如果管理員或編輯在登入您的網站時離開他們的計算機，他們可能會在沒有意識到的情況下使您的網站面臨漏洞，特別是當他們在公共場合並且計算機被盜時。

為了解決這個問題，最好註銷不活躍的用戶。 Inactive Logout 外掛程式提供了完成工作的最簡單方法之一。

該外掛程式可讓您根據指定時間段內的不活動設定自動登出。

您甚至可以設定警告訊息，以防使用者實際上在電腦前，而不是與網站互動。

這是一個非常簡單明了的插件，可讓您實現 WordPress 網站安全的附加層。

最後的想法以及如果您的網站被駭客攻擊該怎麼辦

如果您的網站遭到駭客攻擊，您在嘗試與之互動時可能會看到以下一些警告信號：

無法登入。
您未對前端進行的變更。
您網站上的所有頁面都會重新導向到完全不同的網站。

這不包括您可能從主機或安全插件收到的警告。

無論您的網站發生什麼情況，您現在都知道它遇到了麻煩。以下是發生這種情況時應採取的措施。

您應該做的第一件事是使用維護模式外掛程式將您的網站置於維護模式。

即將推出和維護模式插件是一個眾所周知的插件，非常適合此目的。

被駭客攻擊的網站也會讓您的用戶容易受到攻擊，因此在網站仍受到威脅的情況下，您越快阻止外部訪問您的網站越好。

當您的網站離線後，請按照以下步驟確保其安全：

更改網站上所有使用者的密碼，尤其是管理員帳戶。
查看您網站上的所有用戶，並刪除您不認識的管理帳戶。
安裝 WordPress 更新，以防您錯過第三方主題或外掛程式的重要安全更新。
使用您的安全插件掃描並刪除惡意軟體。如果您使用 WPX Hosting 等主機，他們會為您刪除惡意軟體。如果您安裝了 MalCare，該插件應該能夠為您將其刪除。否則，您可能需要使用外部服務（例如 Sucuri）來手動刪除它。
重新產生您的網站地圖，並透過 Google Search Console 將您的網站重新提交給 Google。這是為了防止您的網站地圖檔案損壞。
重新安裝乾淨版本的 WordPress 核心以及您網站上的主題和外掛程式。
使用 WP-Optimize 等 WordPress 外掛程式清理資料庫。
一旦您的網站穩定，請停用維護模式。
完成安全審核以識別可能導致駭客攻擊的安全漏洞。

儘管從備份恢復您的網站可能很誘人，但您不知道惡意程式碼在您的網站內隱藏了多長時間。

因此，在清理受感染的站點時最好不要訴諸備份。

揭露：我們的內容是讀者支持的。 如果您點擊某些鏈接，我們可能會收取佣金。 這增加了部落格嚮導的營運成本。 您的支持是極大的讚賞。