如何制定有效的 WordPress 网站安全策略：详细的 WordPress 网站安全检查表

虽然许多网站所有者充分意识到遵循良好的网站安全实践以保护敏感信息和客户数据免受黑客攻击的重要性，但事实是，绝大多数网站所有者实际上并没有遵循有效的良好安全计划。

您会发现，网站安全不仅仅是设置安全密码或启用双因素身份验证登录。您是否知道WordPress 违规事件中只有 8%发生？

网络黑客和网络犯罪分子变得比以往任何时候都更加复杂，其结果是互联网上的网站和博客也变得越来越容易受到攻击。

但好消息是，在网站安全方面，您可以采取很多不同的措施来加强防御，以阻止黑客并减少漏洞，这就是我们今天要讨论的内容了解一系列可用于大大提高网站安全性的步骤和策略。

为什么网站安全很重要？

由于各种原因，网站安全至关重要，因为它可以保护网站所有者及其用户。 以下是网站安全如此重要的一些关键原因：

1. 保护用户数据
2. 防止数据泄露
3. 维护用户信任
4. 防范恶意软件和病毒
5. 避免列入黑名单
6. 确保业务连续性
7. 满足监管要求
8. 防止污损
9. 加强搜索引擎优化
10. 减轻财务损失。

所以您可以明白为什么 WordPress 网站安全很重要。

制定完美安全策略的 10 个网站安全检查表

您可以采取以下一些基本步骤来制定切实有效的网站安全策略：

• 停止暴力登录尝试
• 警惕 SQL 注入
• 选择安全的托管平台
• 使用最新版本的插件
• 安装 SSL 证书
• 定期更新WordPress版本
• 使用安全的 WP 管理员登录凭据
• 为管理页面设置安全列表和阻止列表
• 使用受信任的 WordPress 主题
• 删除未使用的 WordPress 插件和主题。

让我们详细看看它们——

停止暴力登录尝试

网站所有者每天面临的最常见威胁之一是黑客通过暴力登录尝试轰炸他们。

暴力登录尝试是指黑客使用专门的软件尝试符号、数字、字符和字母的每种组合，直到找到允许他们访问的组合。

只要您的网站使用用户身份验证，那么您很有可能有一天会成为暴力攻击的目标（如果您还没有这样做的话）。

幸运的是，您可以使用一些方法来阻止暴力攻击。 最简单的方法是只允许用户在指定时间段内尝试登录的次数有限。

然而，这种方法的问题是，黑客可以锁定大量用户帐户，从而导致 DoS（拒绝服务）。

您可以使用的更好方法是在登录尝试失败次数足够多后注销整个 IP 地址。 或者，您可以使用的另一种方法是将您的网站设计为在登录尝试次数不足后将用户引导至“HTTP 401”错误页面。

警惕 SQL 注入

SQL注入攻击是一种代码注入黑客技术，网络犯罪分子会尝试将 SQL（结构化查询语言）语句插入输入字段。

他们之所以能够实现这一目标，是因为 Web 应用程序中的编码质量较差，导致他们容易受到攻击。

因此，要在 SQL 注入发生之前阻止它，您需要利用类型化和参数化的数据库查询，这可以使用 PHP 或 Java 等编程语言来完成。

选择安全的托管平台

选择网络主机时要考虑的最重要因素之一是安全性。

话虽这么说，网络主机需要考虑的不仅仅是一个安全因素，而是多个因素。

至少，您需要选择一个能够为您提供以下每一项安全实践的网络主机（按字母顺序排列）：

• 防火墙
• DDoS 防护
• 域名隐私
• 垃圾邮件过滤器
• 病毒防护

其中，最重要的一个是防火墙或一款旨在过滤对 Web 服务器的请求的软件。 然后，他们会根据多种因素在某些请求到达您的网络服务器之前阻止这些请求。

DDoS 防护也尤为重要。 DDoS（分布式拒绝服务）攻击是指同时向您的网站发送数千个请求，从而导致网站超载并导致其关闭。

您选择的网络主机提供的 DDoS 防护将分析您网站上的 DDoS 活动，以阻止某些请求，同时允许合法流量通过。 话虽如此，虽然大多数网络托管提供商都提供防火墙，但并非所有提供商都提供 DDoS 防护服务，因此请谨慎选择。

使用最新版本的插件

更新插件是另一个需要遵循的极其重要的安全策略。 您的插件没有收到更新的时间越长，它们存在黑客攻击漏洞的可能性就越大。

这是因为信誉良好的网站插件的开发人员总是努力工作，修补漏洞并更新其插件，以减少受到攻击的风险。

话虽这么说，超过五分之四的 WordPress 网站甚至没有更新的插件，尽管更新插件是最简单的安全程序之一。

更新插件所需要做的就是转到仪表板中的“插件”选项卡（如果您运行的是 WordPress），然后检查是否有任何插件已过期。

如果有，您只需选择“立即更新”即可。 很简单，对吧？ 然而令人惊讶的是，大多数 WordPress 网站所有者并没有这样做。

安装 SSL 证书

最后但并非最不重要的一点是，另一个重要的安全步骤是安装 SSL 证书。

SSL 证书只是一个数据文件，它将加密密钥绑定到您的 Web 服务器的详细信息。 这将激活 HTTPS 协议，该协议允许您的服务器和 Web 浏览器之间建立安全连接。

虽然 SSL 证书通常用于保护财务数据和信息，但无论您运行哪种类型的网站，使用它们仍然非常重要。

定期更新WordPress版本

WordPress 的定期软件更新对于提高性能和加强安全性、有效保护您的网站免受网络威胁至关重要。

更新 WordPress 版本是增强安全性的最简单、最有效的措施之一。 尽管如此，大约 50% 的 WordPress 网站仍然运行旧版本，这使得它们更容易受到潜在威胁。

要检查您的 WordPress 版本是否是最新的，请登录您的 WordPress 管理区域并导航到左侧菜单面板上的仪表板 → 更新。 如果表明您的版本不是最新版本，我们强烈建议您及时更新。

必须对未来的更新发布日期保持警惕，以确保您的网站不会运行过时的 WordPress 版本。 此外，我们建议您的主题和插件保持最新。 过时的主题和插件可能会导致与新更新的 WordPress 核心软件发生冲突，从而导致错误并增加对安全威胁的敏感性。

请按照以下简单的步骤来解决过时的主题和插件：

• 导航到 WordPress 管理面板并转到仪表板 → 更新。
• 向下滚动到插件和主题部分，查看准备更新的主题和插件列表。 请注意，您可以集体或单独更新它们。
• 单击“更新插件”以确保您的 WordPress 网站保持安全并使用最新的软件版本顺利运行。

使用安全的 WP 管理员登录凭据

用户经常犯一个常见的错误，即使用容易猜到的用户名，如“admin”、“administrator”或“test”，从而增加了其网站遭受暴力攻击的风险。 除此之外，攻击者经常利用此类漏洞来攻击缺乏强大密码保护的 WordPress 网站。

为了增强网站的安全性，我们强烈建议采用独特且复杂的用户名密码组合。 作为替代方案，请考虑按照以下步骤建立一个具有独特用户名的新 WordPress 管理员帐户：

• 从您的 WordPress 仪表板，导航至“用户” → “添加新项” 。
• 创建一个新用户并为其分配管理员角色。 完成后添加密码并点击添加新用户按钮。

为管理页面设置安全列表和阻止列表

通过实施 URL 锁定，可以保护您的登录页面免受未经授权的访问和潜在的暴力攻击。 这涉及利用专为 WordPress 定制的 Web 应用程序防火墙 (WAF) 服务，例如 Cloudflare 或 Sucuri。

使用 Cloudflare 时，您可以配置区域锁定规则以增强站点的安全性。 此规则允许您定义要锁定的特定 URL，以及指定可以访问这些 URL 的允许的 IP 范围。 因此，指定 IP 范围之外的个人将无法访问指定的 URL。

使用受信任的 WordPress 主题

无效的 WordPress 主题是原始高级主题的未经授权的复制品，通常以较低的价格销售以吸引用户。 然而，这些主题通常会带来无数的安全问题。

通常，无效主题的提供者实际上是黑客，他们通过嵌入恶意代码（包括恶意软件和垃圾邮件链接）来破坏原始高级主题。 此外，这些主题可能会成为其他漏洞利用的潜在后门，对您的 WordPress 网站的安全构成威胁。

由于无效主题是非法分发的，用户不会得到合法开发者的任何支持。 这意味着，如果您的网站出现任何问题，您需要独立排除故障并保护您的 WordPress 网站。

为了降低被黑客攻击的风险，我们强烈建议从其官方存储库或信誉良好的开发人员中选择 WordPress 主题。 或者，考虑在 ThemeForest 等公认的主题市场中探索第三方主题，那里有大量优质主题可供选择，可确保质量和安全性。

删除未使用的 WordPress 插件和主题

在网站上保留未使用的插件和主题可能是有害的，尤其是在插件和主题尚未更新的情况下。 过时的插件和主题会增加网络攻击的风险，因为黑客可以利用它们来访问您的网站。

请按照以下步骤删除未使用的 WordPress 插件：

• 导航到插件→已安装的插件。
• 您将看到所有已安装插件的列表。 单击插件名称下的删除。

请注意，删除按钮仅在停用插件后才可用。

同时，删除未使用的主题的步骤如下：

• 从 WordPress 管理仪表板，转到外观→主题。
• 单击要删除的主题。
• 将出现一个弹出窗口，显示主题详细信息。 单击右下角的删除按钮。

您可以按照这些创建完美的 WordPress 网站安全检查表。

奖励：如何使用 WordPress 安全插件来利用 WordPress 网站安全

WordPress 有很多有效的安全插件来帮助您保护您的网站。 这些插件将使您的工作变得轻松，您无需任何技术知识即可处理复杂的任务。

以下是如何使用 WordPress 插件 -

• 为 WP-Admin 启用双因素身份验证：使用WordFence Security等插件，您可以启用双因素身份验证。 它将为您的 WordPress 网站添加第二层保护。
• 定期备份 WordPress ：由于 WordPress 或插件/主题更新，您的网站可能会崩溃或者丢失任何数据。 使用 WordPress 插件，您可以定期备份您的网站。
• 限制登录尝试：WordPress 允许无限制地尝试登录，并且容易受到外部攻击。 您可以使用 Loginizer 之类的插件来限制登录尝试。
• 更改 WordPress 登录页面 URL ：每个 WordPress 网站都共享相同的默认登录 URL： yourdomain.com/wp-admin 。 依赖此默认登录 URL 可能会使其容易受到黑客攻击，因为它为攻击者提供了可预测的目标。 为了增强安全性，WPS 隐藏登录和更改 wp-admin 登录等插件提供了自定义登录 URL 的选项
• 监控用户活动：用户的行为也是网站安全的重要组成部分。 有很多 WordPress 活动日志插件可以帮助您做到这一点。

帮助您保护网站的指南：

• 如何检测、删除并保护您的 WordPress 网站免受恶意软件侵害
• 顶级 WordPress 安全插件
• WordPress 防火墙和安全插件如何保护您的网站

结论

虽然您可能认为大多数网站所有者都会采取上述安全措施，但事实是大多数网站所有者都没有这样做。

如果您确实是跳过本文中的一项或多项安全策略的网站所有者之一，那么好消息是您最早今天就可以采取行动改变这一点。

这是Samuel Bocetta的客座帖子。 他是一名退休的网络安全分析师，目前正在报告密码学和网络犯罪的趋势。