跳到主要内容

WordPress安全是每个网站所有者极为重要的主题。Google每天将大约10,000多个网站列入黑名单,每周将大约50,000进行网络钓鱼。

如果您认真对待自己的网站,则需要注意WordPress安全最佳实践。在本指南中,我们将分享所有最重要的WordPress安全提示,以帮助您保护网站免受黑客和恶意软件的侵害。

终极wordpress安全指南 分步指南
终极wordpress安全指南 分步指南

尽管WordPress核心软件非常安全,并且经过数百名开发人员的定期审核,但可以做很多事情来确保您的网站安全。

在WPBeginner,我们相信安全性不仅仅在于消除风险。这也与降低风险有关。作为网站所有者,您可以做很多事情来提高WordPress的安全性(即使您不是精通技术的人)。

您可以采取许多可行的步骤来保护您的网站免受安全漏洞的侵害。

为简便起见,我们创建了一个目录,可帮助您轻松浏览最终的WordPress安全指南。

准备?让我们开始吧。

为什么网站安全很重要?

遭到入侵的WordPress网站可能会严重损害您的业务收入和声誉。黑客可以窃取用户信息,密码,安装恶意软件,甚至可以将恶意软件分发给您的用户。

更糟糕的是,您可能会发现自己向黑客支付了勒索软件,只是为了重新获得对您网站的访问权限。

为什么网站安全很重要
为什么网站安全很重要

2016年3月,谷歌报道称,已经有超过5000万网站用户被警告其访问的网站可能包含恶意软件或窃取信息。

此外,Google每周将大约20,000个恶意软件网站列入黑名单,每周将大约50,000个网络钓鱼列入黑名单。

如果您的网站是一家公司,那么您需要特别注意WordPress的安全性。

与保护所有者的实体店建筑是企业所有者的责任类似,作为在线企业所有者,保护您的企业网站也是您的责任。

保持WordPress更新

保持wordpress更新
保持wordpress更新

WordPress是一个定期维护和更新的开源软件。默认情况下,WordPress自动安装次要更新。对于主要版本,您需要手动启动更新。

WordPress还附带了成千上万的插件和主题,您可以在网站上安装它们。这些插件和主题由第三方开发人员维护,它们也定期发布更新。

这些WordPress更新对于WordPress网站的安全性和稳定性至关重要。您需要确保WordPress核心,插件和主题是最新的。

强大的密码和用户权限

强大的密码和用户权限
强大的密码和用户权限

最常见的WordPress骇客尝试使用被盗的密码。您可以使用网站独有的更强密码来解决这个难题。不仅适用于WordPress管理区域,还适用于FTP帐户,数据库,WordPress托管帐户以及使用您站点域名的自定义电子邮件地址。

许多初学者不喜欢使用强密码,因为它们很难记住。好消息是您不再需要记住密码。您可以使用密码管理器。请参阅有关如何管理WordPress密码的指南。

降低风险的另一种方法是,除非绝对必要,否则不授予任何人访问WordPress管理员帐户的权限。如果您有庞大的团队或来宾作者,那么在将新的用户帐户和作者添加到WordPress网站之前,请确保您了解WordPress中的用户角色和功能。

WordPress托管的作用

您的WordPress托管服务在WordPress网站的安全中起着最重要的作用。诸如Bluehost或Siteground之类的优质共享托管服务提供商会采取额外的措施来保护其服务器免受常见威胁。

这是一家优秀的网络托管公司在后台工作以保护您的网站和数据的方式。

  • 他们不断监视网络中的可疑活动。
  • 所有好的托管公司都有适当的工具来防止大规模DDOS攻击
  • 他们使服务器软件和硬件保持最新状态,以防止黑客利用旧版本中的已知安全漏洞。
  • 他们已经准备好部署灾难恢复和事故计划,以便在发生重大事故时可以保护您的数据。

在共享主机计划中,您与许多其他客户共享服务器资源。这带来了跨站点污染的风险,黑客可以在该站点中使用邻近站点来攻击您的网站。

使用托管的WordPress托管服务可为您的网站提供更安全的平台。托管WordPress托管公司提供自动备份,自动WordPress更新以及更高级的安全配置,以保护您的网站

我们建议WPEngine作为我们首选的托管WordPress托管提供商。它们也是业内最受欢迎的产品。(请参阅我们的WPEngine特殊优惠券)。

轻松完成WordPress安全性(无需编码)

我们知道,提高WordPress安全性对于初学者而言可能是一个恐怖的想法。尤其是当您不熟练时。猜猜是什么-您并不孤单。

我们已经帮助成千上万的WordPress用户强化了WordPress安全性。

我们将向您展示如何通过单击几下即可提高WordPress安全性(无需编码)。

如果可以点击,就可以做到!

安装WordPress备份解决方案

安装wordpress备份解决方案
安装wordpress备份解决方案

备份是抵御任何WordPress攻击的第一道防线。请记住,没有什么是100%安全的。如果政府网站可以被黑客入侵,那么您的网站也可以被黑客入侵。

备份可让您快速恢复WordPress网站,以防万一发生不良情况。

您可以使用许多免费和付费的WordPress备份插件。关于备份,您需要了解的最重要的事情是必须定期将全站点备份保存到远程位置(而不是托管帐户)。

我们建议将其存储在Amazon,Dropbox等云服务或Stash等私有云中。

根据您更新网站的频率,理想的设置可能是每天一次或实时备份。

幸运的是,可以使用VaultPress或UpdraftPlus这样的插件轻松完成此操作。它们既可靠,又最重要的是易于使用(无需编码)。

最好的WordPress安全插件

备份后,我们要做的下一步是建立一个审核和监视系统,该系统可以跟踪您网站上发生的一切。

这包括文件完整性监视,失败的登录尝试,恶意软件扫描等。

幸运的是,最好的免费WordPress安全插件Sucuri Scanner可以解决所有这些问题。

您需要安装并激活免费的Sucuri Security插件。有关更多详细信息,请参阅有关如何安装WordPress插件的分步指南。

激活后,您需要转到WordPress管理员中的Sucuri菜单。您需要做的第一件事是生成一个免费的API密钥。这将启用审核日志记录,完整性检查,电子邮件警报和其他重要功能。

最好的wordpress安全插件
最好的wordpress安全插件

接下来,您需要做的是从设置菜单中单击“强化”标签。遍历所有选项,然后单击“应用强化”按钮。

这些选项可帮助您锁定黑客经常在攻击中使用的关键区域。付费升级的唯一加固选项是Web应用程序防火墙,我们将在下一步中对其进行说明,因此暂时跳过。

在本文稍后的部分中,我们也为那些不使用插件或不需要其他步骤(例如“数据库前缀更改”或“更改管理员用户名”)的用户提供了许多“强化”选项。

强化部分之后,默认插件设置足以满足大多数网站的需要,不需要任何更改。我们建议自定义的唯一一件事是“电子邮件警报”。

默认警报设置可能会使您的收件箱中的电子邮件杂乱无章。我们建议接收有关关键操作(例如插件更改,新用户注册等)的警报。您可以通过转到Sucuri设置»警报来配置警报。

该WordPress安全插件功能非常强大,因此请浏览所有选项卡和设置以查看其所做的所有工作,例如恶意软件扫描,审核日志,失败的登录尝试跟踪等。

启用Web应用程序防火墙(WAF)

保护您的网站并对WordPress安全充满信心的最简单方法是使用Web应用程序防火墙(WAF)。

网站防火墙会在所有恶意流量到达您的网站之前将其阻止。

DNS级网站防火墙 –这些防火墙通过其云代理服务器路由您的网站流量。这使他们只能将真正的流量发送到您的Web服务器。

应用程序级防火墙 –这些防火墙插件会在流量到达服务器后但在加载大多数WordPress脚本之前检查流量。在减少服务器负载方面,此方法不如DNS级别防火墙有效。

要了解更多信息,请参阅我们的最佳WordPress防火墙插件列表。

启用web应用程序防火墙
启用web应用程序防火墙

我们使用并推荐 Sucuri作为WordPress的最佳Web应用程序防火墙。您可以阅读有关Sucuri如何帮助我们在一个月内阻止450,000 WordPress攻击的信息。

关于Sucuri防火墙的最好之处在于,它还带有恶意软件清除功能和黑名单清除保证。基本上,如果您要在他们的监视下被黑,他们保证他们将修复您的网站(无论您有多少页)。

这是非常强大的保修,因为修复被黑客入侵的网站非常昂贵。安全专家通常每小时收取250美元。而您可以以每年199美元的价格获得整个Sucuri安全堆栈。

使用Sucuri防火墙提高WordPress安全性»

Sucuri不是唯一的DNS级别防火墙提供商。另一个受欢迎的竞争对手是Cloudflare。请参阅我们对Sucuri与Cloudflare的比较(优点和缺点)。

将您的WordPress网站移至SSL / HTTPS

SSL(安全套接字层)是对您的网站和用户浏览器之间的数据传输进行加密的协议。这种加密使某人很难嗅探和窃取信息。

将您的wordpress网站移至ssl
将您的wordpress网站移至ssl

启用S​​SL后,您的网站将使用HTTPS而不是HTTP,并且在浏览器中您的网站地址旁边还会看到一个挂锁标志。

SSL证书通常是由证书颁发机构颁发的,其价格每年从80美元到数百美元不等。由于增加了成本,大多数网站所有者选择继续使用不安全的协议。

为了解决这个问题,一个名为Let’s Encrypt的非营利组织决定为网站所有者提供免费的SSL证书。他们的项目得到了Google Chrome,Facebook,Mozilla和许多其他公司的支持。

现在,对您所有的WordPress网站开始使用SSL比以往更加容易。许多托管公司现在为您的WordPress网站提供免费的SSL证书。

如果您的托管公司不提供服务,那么您可以从Domain.com购买一个。他们拥有市场上最好,最可靠的SSL协议。它带有10,000美元的安全保证和TrustLogo安全印章。

DIY用户的WordPress安全

如果您到目前为止已经做了我们提到的所有事情,那么您的状态就很好。

但是,与往常一样,您可以采取更多措施来增强WordPress的安全性。

其中一些步骤可能需要编码知识。

更改默认的“管理员”用户名

在过去,默认的WordPress管理员用户名是“ admin”。由于用户名占登录凭据的一半,因此使黑客更容易进行暴力攻击。

幸运的是,WordPress自此改变了这一点,现在要求您在安装WordPress时选择自定义用户名。

但是,某些一键式WordPress安装程序仍将默认管理员用户名设置为“ admin”。如果您注意到这种情况,那么切换虚拟主机可能是一个好主意。

由于WordPress默认情况下不允许您更改用户名,因此可以使用三种方法来更改用户名。

  1. 创建一个新的管理员用户名并删除旧的。
  2. 使用用户名更改插件
  3. 从phpMyAdmin更新用户名

我们已在有关如何正确更改WordPress用户名(逐步)的详细指南中介绍了所有这三个方面。

注意:我们所说的用户名是“ admin”,而不是管理员角色。

禁用文件编辑

WordPress带有内置的代码编辑器,可让您直接从WordPress管理区域编辑主题和插件文件。如果使用不当,此功能可能会带来安全风险,因此建议您将其关闭。

禁用文件编辑
禁用文件编辑

您可以通过在wp-config.php文件中添加以下代码来轻松实现此目的。

// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true );

或者,您可以使用上面提到的免费Sucuri插件中的强化功能,通过单击一下来完成此操作。

在某些WordPress目录中禁用PHP文件执行

加强WordPress安全性的另一种方法是通过在不需要的目录中禁用PHP文件执行,例如/ wp-content / uploads /。

您可以通过打开文本编辑器(如记事本)并粘贴以下代码来做到这一点:

<Files *.php>deny from all</Files>

接下来,您需要将此文件另存为.htaccess并使用FTP客户端将其上传到网站上的/ wp-content / uploads /文件夹中。

有关更多详细说明,请参阅我们的指南,了解如何在某些WordPress目录中禁用PHP执行

或者,您可以使用上面提到的免费Sucuri插件中的强化功能,通过单击一下来完成此操作。

限制登录尝试

默认情况下,WordPress允许用户尝试根据需要多次登录。这使您的WordPress网站容易受到暴力攻击。黑客试图通过尝试使用不同的组合登录来破解密码。

通过限制用户可以进行的失败登录尝试,可以轻松解决此问题。如果您使用的是前面提到的Web应用程序防火墙,则会自动进行处理。

但是,如果您没有防火墙设置,请继续执行以下步骤。

首先,您需要安装并激活Login LockDown插件。有关更多详细信息,请参阅有关如何安装WordPress插件的分步指南。

激活后,访问设置»登录锁定页面以设置插件。

限制登录尝试
限制登录尝试

有关详细说明,请参阅我们的指南,以了解如何以及为何应限制WordPress中的登录尝试。

添加两因素身份验证

两因素身份验证技术要求用户使用两步身份验证方法登录。第一个是用户名和密码,第二个步骤要求您使用单独的设备或应用进行身份验证。

大多数顶级在线网站,例如Google,Facebook,Twitter,都可以为您的帐户启用它。您也可以向WordPress网站添加相同的功能。

首先,您需要安装并激活“ 双重身份验证”插件。激活后,您需要单击WordPress管理员侧栏中的“两因素验证”链接。

添加两因素身份验证
添加两因素身份验证

接下来,您需要在手机上安装并打开身份验证器应用程序。其中有几种可用的功能,例如Google Authenticator,Authy和LastPass Authenticator。

我们建议使用LastPass Authenticator或Authy,因为它们都允许您将帐户备份到云中。如果手机丢失,重设或购买新手机,这非常有用。您所有的帐户登录信息都可以轻松恢复。

我们将在本教程中使用LastPass Authenticator。但是,所有身份验证应用程序的说明均相似。打开您的身份验证器应用程序,然后单击“添加”按钮。

系统将询问您是否要手动扫描站点或扫描条形码。选择扫描条形码选项,然后将手机的相机对准插件的设置页面上显示的QRcode。

就是这样,您的身份验证应用程序现在将保存它。下次登录您的网站时,输入密码后,系统会要求您输入两因素验证码。

只需打开手机上的身份验证器应用,然后输入在其上看到的验证码即可。

更改WordPress数据库前缀

默认情况下,WordPress使用wp_作为WordPress数据库中所有表的前缀。如果您的WordPress站点使用默认的数据库前缀,那么它使黑客更容易猜测表名是什么。这就是为什么我们建议更改它的原因。

您可以按照我们有关如何更改WordPress数据库前缀以提高安全性的分步教程来更改数据库前缀。

注意:如果操作不正确,可能会破坏您的网站。只有对编码技巧感到满意的情况下,才继续操作。

密码保护WordPress管理员和登录页面

密码保护wordpress管理员和登录页面
密码保护wordpress管理员和登录页面

通常,黑客可以无限制地请求您的wp-admin文件夹和登录页面。这使他们可以尝试其黑客技巧或运行DDoS攻击。

您可以在服务器端级别上添加其他密码保护,这将有效地阻止这些请求。

请按照我们的分步说明进行操作,以了解如何密码保护WordPress admin(wp-admin)目录。

禁用目录索引和浏览

禁用目录索引和浏览
禁用目录索引和浏览

黑客可以使用目录浏览来发现您是否存在任何已知漏洞的文件,因此他们可以利用这些文件获得访问权限。

其他人还可以使用目录浏览来查看文件,复制图像,查找目录结构以及其他信息。这就是为什么强烈建议您关闭目录索引和浏览的原因。

您需要使用FTP或cPanel的文件管理器连接到您的网站。接下来,在您网站的根目录中找到.htaccess文件。如果您在此处看不到它,请参考我们的指南,了解为什么在WordPress中看不到.htaccess文件。

之后,您需要在.htaccess文件的末尾添加以下行:

Options -Indexes

不要忘记将.htaccess文件保存并上传回您的站点。有关此主题的更多信息,请参阅有关如何在WordPress中禁用目录浏览的文章。

在WordPress中禁用XML-RPC

WordPress 3.5默认情况下启用XML-RPC,因为它有助于将WordPress网站与Web和移动应用程序连接。

由于其强大的特性,XML-RPC可以大大增强暴力攻击。

例如,传统上,如果黑客想在您的网站上尝试使用500个不同的密码,则他们将不得不进行500次单独的登录尝试,这些登录尝试将被登录锁定插件捕获和阻止。

但是使用XML-RPC,黑客可以使用system.multicall函数尝试说20或50个请求的数千个密码。

这就是为什么如果您不使用XML-RPC,那么我们建议您禁用它。

有3种在WordPress中禁用XML-RPC的方法,并且在有关如何在WordPress中禁用XML-RPC的分步教程中已经介绍了所有这些方法。

提示:.htaccess方法是最好的方法,因为它占用最少的资源。

如果您使用的是前面提到的Web应用程序防火墙,则可以通过防火墙来解决。

自动注销WordPress中的空闲用户

登录的用户有时可能会从屏幕上溜走,这带来了安全风险。有人可以劫持他们的会话,更改密码或更改其帐户。

这就是为什么许多银行和金融站点都会自动注销非活动用户的原因。您也可以在WordPress网站上实现类似的功能。

您将需要安装并激活非活动注销插件。激活后,访问设置»非活动注销页面以配置插件设置。

自动注销wordpress中的空闲用户
自动注销wordpress中的空闲用户

只需设置持续时间并添加注销信息即可。不要忘记单击“保存更改”按钮来存储您的设置。

将安全性问题添加到WordPress登录屏幕

将安全性问题添加到wordpress登录屏幕
将安全性问题添加到wordpress登录屏幕

在您的WordPress登录屏幕上添加安全问题,使有人更难以获得未经授权的访问。

您可以通过安装WP安全问题插件来添加安全问题。激活后,您需要访问设置»安全问题页面来配置插件设置。

有关更多详细说明,请参阅有关如何向WordPress登录屏幕添加安全性问题的教程。

扫描WordPress中的恶意软件和漏洞

扫描wordpress中的恶意软件和漏洞
扫描wordpress中的恶意软件和漏洞

如果您安装了WordPress安全插件,则这些插件将定期检查恶意软件和安全漏洞的迹象。

但是,如果您发现网站访问量或搜索排名突然下降,则可能需要手动运行扫描。您可以使用WordPress安全插件,也可以使用以下恶意软件和安全扫描器之一。

运行这些在线扫描非常简单,只需输入您的网站URL,其爬网程序就会通过您的网站查找已知的恶意软件和恶意代码。

现在请记住,大多数WordPress安全扫描程序只能扫描您的网站。他们无法删除恶意软件或清理被黑客入侵的WordPress网站。

这使我们进入下一部分,清理恶意软件和被黑的WordPress网站。

修复被黑的WordPress网站

许多WordPress用户直到他们的网站遭到黑客入侵后才意识到备份和网站安全的重要性。

清理WordPress网站可能非常困难且耗时。我们的第一个建议是让专业人士来照顾它。

黑客在受影响的网站上安装了后门程序,如果这些后门程序没有正确修复,则您的网站可能会再次遭到黑客攻击。

允许像Sucuri这样的专业安全公司修复您的网站将确保您的网站可以安全再次使用。它还将保护您免受将来的任何攻击。

对于喜欢冒险的用户和DIY用户,我们已编制了逐步指南,以修复遭黑客入侵的WordPress网站

回到顶部