11个WordPress安全提示可以使您的网站更安全

如果您拥有博客、论坛或电子商务网站，那么它很有可能是基于 WordPress 的。为什么不呢？毕竟，它是世界上可扩展性最强、最易于使用的 CMS。

这些事情导致了它的流行和广泛采用。然而，流行也有其自身的风险。作为世界上最受欢迎的内容管理系统，WordPress 成为网络犯罪分子的一个有吸引力的目标。

因此，如果您正在使用它，那么您有责任尽一切可能保护您的网站。因此，在这里我们将看看您必须采取的 11 个关键步骤来保护您的 WordPress 网站。让我们开始吧：

使您的软件保持最新

这一步通常被认为是理所当然的，但通过定期执行这一步可以避免大多数安全问题。

保持您的服务器操作系统和 WordPress 安装都是最新的，您可以在它们对您造成严重影响之前避免许多安全问题。

因为每当出现新的软件漏洞时，黑客就会迅速利用它为自己谋取利益。对网站的大规模网络攻击就是证明。

通过更新服务器操作系统和 WordPress 安装，您可以避免成为此类事件的牺牲品，因为一旦发现新漏洞，WordPress 和 Linux 基金会都会针对新漏洞推出安全更新。

您可以使用 Gemnasium 等工具，在宣布可能影响您网站的新软件漏洞并发布修复该漏洞的补丁时自动收到通知。

使您的主题和插件保持最新

在软件之后保持更新的下一个重要事项是WordPress主题和插件，因为这些东西中也可能存在错误和安全漏洞。例如，Ninja Forms 和 WooCommerce 最近成为一些严重安全问题的受害者。

避免成为任何此类问题的受害者的最佳方法是更新您的主题和插件。每当您在各自的页面中看到更新版本的主题或插件时，您都应该进行更新。

并且除了更新主题和插件之外，也不要忘记卸载那些你不使用的主题和插件。

不必要的混乱永远不会好，因为它会增加您站点的备份，如果您无论如何都需要从备份中恢复站点，这最终会变得更加麻烦。

安装 SSL 证书并启用 HTTPS

每次您登录 WordPress 管理面板时，都有可能有人通过中间人 (MITM) 攻击窃取您的登录凭据。

MITM 攻击是指有人窃取您发送到网站的数据。因此，当您将 WordPress 登录凭据发送到您的 Web 服务器进行身份验证时，这也很容易受到 MITM 攻击——直到您在您的站点上安装 SSL 证书！

SSL 证书可防止用户数据在用户和站点之间传输时被盗。它将从一端传输到另一端的数据加密，因此即使在传输过程中被某人捕获，也没有人可以看到它。

因此，如果您想保持 WordPress 网站的安全，安装 SSL 证书也应该是您的首要任务。现在市场上可以根据买家的不同需求提供各种类型的SSL证书，而且价格不再昂贵。

强制使用强密码

您不应该只为自己设置一个强密码——您网站上所有可以向网站添加内容的用户也应该为其帐户设置强密码。

这是因为您永远不知道恶意脚本将以哪种形式进入您的网站。它也可能是由贡献者添加到站点的图像这样简单的形式。

因此，即使贡献者帐户被黑客入侵，您的网站也可能容易受到外部恶作剧的影响。因此，您应该坚持使用至少 8 个字符长的强密码，包括数字和符号，并混合使用小写和大写字母。

您可以使用 Force Strong Passwords 插件（或任何其他类似插件）来强制您的用户使用强密码。

关于密码的第二件事是它们应该存储在加密环境中。永远不要将密码保存在像 word 文档这样简单的东西中。

您应该改用优质的密码管理器，因为它们会加密您的密码内容，即使它们被盗，窃取它们的人也不会使用它们。

启用两因素身份验证

谈到更高级的安全机制，首先想到的是启用两因素身份验证。

这种方法可以增加另一层安全性，可以防止在所有这些情况下未经授权访问您的 WordPress 网站，当有人以某种方式获取您网站的一些有效登录凭据时。

如果您在您的站点上设置了双因素身份验证机制，无论是基于 SMS 验证还是某种其他形式的验证（即秘密问题），此人将无法登录。

WordPress 存储库中有一些不错的插件可以帮助您实现此功能（即 Google 身份验证器）。

设置登录限制

如果某人需要超过 5 次尝试登录一个帐户，则该人很可能没有登录到他/她自己的帐户。当真实用户几乎总是可以在不到 3-4 次尝试的情况下登录时，在您的站点上允许无限制的登录尝试是没有意义的。

在您的 WordPress 网站上启用登录尝试限制，您将免受暴力和基于猜测的网络攻击。还有一些插件可用于实现此功能，例如 WP Limit Login Attempts。

更改您的登录网址

Wp-admin和Wp-login.php是网络世界中最著名的两个房地产。如果你用别的东西代替它们，你会过得更好。

只要您还实施了此列表中提到的其他技巧，猜测自定义登录 URL 对黑客来说可能会非常困难。这将显着降低您的 WordPress 网站被黑客入侵的机会。

您可以将您的登录 URL 更改为任何内容 – my_login.php、my_custom_login.php 或您想要保留的任何其他内容。iThemes 安全插件可以帮助您轻松做到这一点。

保护您的 Wp-admin 目录

WP-admin 无疑是 WordPress 安装中最重要的目录。几乎所有与管理员访问相关的内容都在其中。

密码使用强 HTTP 摘要身份验证进行“uuencoded”，这意味着您的密码是通过未加密格式处理的，但不会作为纯文本通过网络传递。

因此，它将为您的 WordPress 站点启用另一个强大的安全层。保留一个用于登录的密码和一个用于 WordPress 管理员区域的密码，这会很棒。你可以在 AskApache Password Protect 插件的帮助下做到这一点。

现在，根据 WordPress 安装和网站的性质，您可能经常需要访问某个 wp-admin 目录。

在这些情况下，您可以在保护目录的剩余内容的同时保持此类目录不受保护。

使用防火墙

您可以采取的另一个重要步骤来保护您的 WordPress 安装是利用防火墙。

他们通过在运行前检查每一段代码来保护安装它们的系统免受各种威胁。恶意请求被过滤并远离，因此您的系统可以保持安全。

为确保为您的站点提供全面保护，您应该在您的计算机上安装本地防火墙，并在 WordPress 站点的服务器上安装另一个防火墙。

本地防火墙虽然与您的 WordPress 站点没有直接连接，但仍然是必要的，因为您使用 PC 访问 WordPress 站点的管理区域。来自知名网络安全公司的任何好的防火墙都可以：Norton、ZoneAlarm、Comodo 等。

现在谈到 WordPress 防火墙，有一些不错的名字，如 Wordfence、iThemes Security 等。这些防火墙将保护您的 WordPress 站点免受恶意软件、病毒、木马和其他威胁的侵害。

主动监控您的 WordPress 文件

如果您开始主动监控您的 WordPress 安装文件，当有人试图弄乱其中任何一个文件时，您会立即知道。

当有人闯入您的网站时，这可以挽救生命，因为您越早了解入侵，您就可以采取更好的措施来保护自己。Wordfence 等安全插件可以帮助您轻松完成此任务。

定期备份

最后，在出现问题并且您的网站被黑客入侵的情况下，定期备份您的 WordPress 网站的旧要求可能会大有帮助。

在所有这些情况下，如果您需要更改服务器，您所做的备份将有助于将站点恢复到以前的位置。定期备份有助于确保您在任何此类情况下几乎不会丢失数据。

您可以使用 WordPress 中已经包含的选项手动执行此操作，或者您可以借助一些插件为您自动执行此过程。

在我看来，第二种选择会更好。为此，一些流行的插件包括 Backup Buddy、Vaultpress 和 blogVault。

因此，这是我们为保护站点而必须实施的 11 大 WordPress 安全提示列表。立即执行这些操作，您的 WordPress 网站将比现在更安全地抵御各种网络攻击。