如何保护网站免受黑客攻击并轻松保护网站

您的网站很有价值：对您和您网站的访问者而言。 而且，对于黑客。

要针对恶意攻击建立良好的防御措施，您需要一本关于如何保护网站免受黑客攻击的严肃指南。

这就是黑客防护指南！

我们怎么这么自信？ MalCare 保护 25000 多个网站，我们的支持团队每天都会从网站中找出最难以捉摸的恶意软件。 我们对如何保护您的网站免受黑客和其他恶意攻击略知一二。

TL;DR：最好的安全措施是安装一个在自动驾驶仪上运行的安全插件。 我们还建议您实施我们在本文中描述的所有安全措施。

在你开始之前

看到一长串保护网站免受黑客攻击的安全措施可能有点令人望而生畏。 我们意识到这一点。 因此，为了更容易实施这些安全措施，我们轻松整理了这份黑客保护列表。 我们建议为这篇文章添加书签，并在您阅读本文时返回阅读。

这份清单上有多种保护措施：你应该做的事情，你不应该做的事情，以及一些破灭的神话。

本文的目标是通过消除其他地方可用的混乱来揭开安全的神秘面纱。 然而，最大的收获应该是保护您的网站免受黑客和病毒的侵害不是一次性的活动； 但随着我们的进步，更多。

立即保护您的网站免受黑客攻击的 6 个基本步骤

本节中的保护措施是最容易实施的，老实说会让你设置得相当好。 乍一看，它们似乎是技术性的或先进的，但从非工程师那里听来：你明白了！

1.安装好防火墙

黑客不会手动侵入网站。 一个好的黑客会创建一个机器人来嗅出易受攻击的站点并自动执行大部分过程。 现在，机器人被编程为执行非常具体的操作。 他们没有知觉。

防火墙的核心是识别恶意请求的代码。 向您的网站发出的每个信息请求都首先通过防火墙。 如果防火墙检测到请求是恶意的，或者是从已知恶意的 IP 地址发出的，请求将被阻止而不是被处理。

避免更改防火墙配置

一些防火墙将允许您配置设置。 但是，除非您是真正的网站安全专家，否则我们不推荐它。 防火墙规则是在大量安全研究和大量第一手恶意软件删除之后创建的。

例如，大多数 WordPress 安全插件都有适当的规则来防止任何没有管理员访问权限的人访问 wp-config.php 文件。 wp-config.php 文件是一个包含大量敏感信息的核心 WordPress 文件。 因此，防火墙会检查向网站发出的每个请求，看它是否包含文本“wp-config.php”。 如果该规则被触发，请求将被防火墙拒绝。

此外，由于黑客在发现漏洞时会尝试攻击尽可能多的网站，这会导致黑客 IP 曝光。 WordPress 防火墙基于这些攻击，先发制人地跟踪和阻止恶意 IP。

当然，没有防火墙是 100% 不可破解的。 但是，拥有一个可以阻止大多数恶意软件的防火墙总比根本没有防火墙要好得多。 但是所有的防火墙都不一样，有些防火墙比其他防火墙更有效。 因此，我们列出了最好的 WordPress 防火墙供您选择。

2. 拥有强大的密码政策并使用密码管理器

我们从事 WordPress 安全工作已有十多年了。 您会惊讶地发现有多少网站仅仅因为密码太弱而遭到黑客攻击。

数十万个网站都使用易于猜测的密码。 在使用 MalCare 删除恶意软件的被黑网站中，有 5% 使用了弱密码。

黑客有一个称为彩虹表的此类密码列表，他们不断生成更大的表以用作各种字典。 使用这些表，黑客可以发起称为“字典攻击”的攻击。

字典攻击主要是暴力攻击的变体。 但这并不是破解密码的唯一方法。 因此，建议使用强密码。

强密码是字母、数字和符号的组合。 不常见的组合很难破解，可能需要强力算法多年才能解码。 此外，密码越长，越难破解。

本文将帮助您创建自己的史诗密码。

您还可以使用插件通过 WordPress 密码策略管理器插件对所有 WordPress 用户强制使用强密码。 这个插件将帮助您创建策略，强制所有 WordPress 用户在创建他们的帐户时创建强密码。

3. 在您的网站上安装 SSL 并使用 HTTPS

安全套接字层 (SSL) 证书是一种安全协议，可对进出网站的所有通信进行加密。 安装一个将确保即使黑客从您的网站拦截数据，他们也永远无法理解它是什么。

我们已经创建了一个关于正确安装 SSL 证书的完整指南。 说真的，炒作是有道理的。 立即为您的网站获取 SSL 证书。 作为额外的好处，您还将获得 SEO 好处。

4.仔细审查管理员用户

大多数人认为黑客只会在他们的网站上安装恶意软件然后离开。 这不是真的。 真正聪明的黑客会创建一个具有管理员权限的幽灵帐户，以便他们可以随时跳华尔兹回来。

定期检查和删除 WordPress 用户可以解决此问题。

是的，如果您有一个庞大的团队来管理您的网站，这可能是一项耗时的活动。 但这是值得的。 删除不再为您的网站做出贡献的用户是第一个开始的地方。 然后，强制使用强密码，这样您的作家和编辑就不会意外地破坏您的网站。

您可能会为您的密码遵循良好的安全措施，但如果您的一位管理员成为网络钓鱼诈骗的牺牲品，那么您的网站也会受到影响。

尽可能充分利用WordPress用户角色来限制访问。 例如，如果某人只是撰写和上传文章，请授予他们“作者”访问权限，而不是“管理员”访问权限。 阅读我们关于 WordPress 角色的文章，了解如何轻松完成所有工作。

5.使用活动日志

在您的网站上看到意想不到的内容可以在多种情况下及时发出警报。 考虑是否在您不知情的情况下创建了管理员帐户； 或者一个插件在没有达成共识的情况下被停用（例如，一个安全插件）。

这些都是合法网站管理员操作的示例，但它们也可能是未经授权访问的症状。 活动日志会告诉您网站上发生的事情，然后您可以评估这些行为是否合法。

这种做法多次拯救了我们的培根。

大多数黑客都非常小心，以免被抓到，因为他们只有在不被抓到的情况下才能控制您的网站。 活动日志有助于发出更改信号，因此您可以将未经授权的活动消灭在萌芽状态。

MalCare 与仪表板上的活动日志捆绑在一起，无需配置即可进行设置。

6.定期备份

进行备份很可能是您可以应用的最被低估的策略之一。 始终进行每日备份，以便在发生灾难性故障时可以快速恢复您的网站。

选择一个可靠的好备份插件，因为没有相当的专业知识，手动备份很难正确执行。

事实上，在您继续执行本文中的任何步骤之前，请对您的网站进行完整备份并立即设置每日备份。 在对您的站点进行任何更改时，这始终是一个好习惯。

5 个中间步骤，将您的网站保护提升到一个新的水平

本文中的基本步骤是一个良好的开端，不应花费太多时间来设置。 在本节中，除了双因素身份验证和限制登录尝试之外，这些步骤是持续的安全措施。

正如我们在本文前面所说，以正确的方式考虑网站安全性很重要。 它不是一次性的设置或活动，必须被视为您网站管理的常规部分。

1.更新一切

超过 90% 的黑客攻击的发生是因为黑客发现了主题或插件中的漏洞，并在多个网站上利用了它。

那么什么是漏洞呢？ 主题和插件是软件。 与任何其他软件一样，它们是一定会存在错误的代码片段。 有些错误相对无害，可能只会在更新时引起小故障。 其他人可以使代码容易受到利用。

当发现漏洞时（主要是安全研究人员发现），它们会披露给插件开发人员以获取补丁。 负责任的开发人员将发布修复程序，安装了该插件的网站将很快看到该插件的更新版本。

修复程序发布后，该漏洞就会公开披露。 如果您是使用安全修复程序更新插件或主题的网站之一，那就太好了。 否则，您的站点将成为寻求快速赚钱的业余黑客（称为脚本小子）的目标。

因此，最好始终保持所有内容（从 WordPress 到插件）始终处于更新状态。 我们知道更新有时会以意想不到的方式破坏网站，因此为避免任何不便，请使用暂存安全更新。 但是请更新所有内容。

我们创建了一份关于安全更新 WordPress 网站且中断最少的指南。

2.选择好的主题和插件

如果您从上一节中注意到，我们将发布更新以修补漏洞的开发人员称为负责人。 简而言之，优秀的开发人员会积极维护他们的软件。

这绝不是普遍的事态。 悲伤，但真实。

因此，我们强烈建议为您的网站使用好的插件和主题。 可以理解，“好”是一个相对的、有些模糊的术语。 因此，我们列出了在为您的网站选择插件时应考虑的因素：

• 定期更新：持续发布更新并不断修补发现的任何漏洞的插件或主题。 这将告诉您开发人员对其产品的安全风险是认真的。

• 活跃安装：一个拥有数百万安装量的流行插件总是有一个目标在它的背后。 Contact Form 7 是这种趋势的一个非常明显的例子。 另一方面，流行的插件也往往更安全，因为它们通常有更大更好的团队来改进产品。 所以在做充分的研究之后明智地选择。

• 可信度：避免安装没有人听说过的自由职业者开发的插件或主题。 仅使用知名开发商和品牌开发的插件和主题。 如果您从市场购买，请确保您信任开发商而不仅仅是市场。

• 付费版本：通常，付费插件供应商会花费更多的时间和金钱来查找和修补漏洞。 如果您的预算非常紧张，那么免费插件会更有意义。 但是，如果您担心网站的安全性，我们强烈建议您改用高级主题和插件。

作为旁注，您可能会想使用无效的插件和主题。 不要这样做。 风险是不值得的。

无效软件传播恶意软件。 这就是您免费获得优质产品的原因。 但即使 zip 文件不包含任何明显的恶意代码，任何无效的插件或主题用户都知道他们无法更新软件。 正如我们在上一节中所说，这使得网站容易受到黑客攻击。

3.实施2FA

双因素身份验证 (2FA) 是一种安全措施，除了您的密码外，它还添加您必须有权访问才能登录的另一个设备或令牌。

有一些用于 2FA 的协议，例如 TOTP（基于时间的一次性密码）或 HOTP（基于 HMAC 的一次性密码）。 它们各有优缺点，但出于登录安全的考虑，我们无需深入研究这些细节。

有多种付费和免费应用程序可用于将 2FA 添加到您的登录页面，并且它们支持最流行的协议。 如需更多帮助，请查看本文以了解如何设置 WordPress 2FA。 如果您的网站有很多贡献者，那么实施此安全功能绝对是个好主意。

4.选择一个好的虚拟主机

大多数人认为虚拟主机甚至要对网站的安全负责。 但是，如果您的网站遭到黑客攻击，这很少是网络托管商的错。 事实上，在网络主机对安全漏洞负责的极少数情况下，后果是巨大的。 数以千计的网站受到影响。

大多数时候情况是相反的，一个好的虚拟主机有助于保护您的网站免受黑客攻击。 因此，您应该以最安全的托管服务为目标。 这是我们编制的最佳 WordPress 托管服务提供商列表，可帮助您选择一个好的虚拟主机。

5.限制登录尝试

阻止暴力机器人和攻击者的一种简单方法是在 3 次尝试失败后拒绝访问 IP 地址。 MalCare 防火墙集成了此功能。 限制登录尝试是保护网站的一种非常有效的方法，而且没有很多缺点。

您也可以在安装 WordPress 时使用“Limit Loginizer”插件。 但是，如果您自己的密码输错了 3 次，那么您将不得不要求您的虚拟主机解除对您的 IP 地址的封锁，然后再试一次。

真正增强网站保护的 2 个专家步骤

即使您已经设法完成了前面部分中的步骤，您在保护您的网站免受黑客攻击方面也做得很好。 以下措施是有效的，但是它们需要在代码中进行一些探索。

我们要重申，大多数黑客攻击都是由于漏洞而发生的，因此处理好这些漏洞将很好地保护您的网站免受黑客和病毒的侵害。 如果您对自己尝试以下步骤感到不自在，可以忽略它们，或将它们发送给您的开发人员来实施。 无论哪种方式，您的网站仍然受到很好的保护，免受黑客攻击。

1. 阻止 uploads 文件夹中的 PHP 执行

有一整类漏洞称为远程代码执行漏洞，允许黑客将恶意 PHP 代码上传到 Uploads 文件夹。 通常，Uploads 文件夹并不包含任何可执行代码。 它旨在包含您的媒体文件。 但 Uploads 文件夹的性质是它允许在其中存储文件和文件夹。

一旦代码上传到您的网站，黑客就可以运行它并有效控制您的网站。 但是，如果您阻止 Uploads 文件夹中的 PHP 执行，则攻击永远不会发生。

如果您使用 MalCare，作为 WordPress 强化措施的一部分，您可以通过单击按钮来阻止 Uploads 文件夹中的 PHP 执行。

2. 更改 WordPress 安全密钥

如果您最近遭到黑客攻击，您可以更改您的 WordPress 安全密钥。 这是一个与您的用户名和密码一起散列的字符串，用于管理用户的登录会话。

您可以将此字符串设置为任何内容，但与密码一样，最好使用随机生成的字母数字字符串。 详细了解安全密钥以及如何更改它们。

2 个防止网站被黑客攻击的小贴士

1. 及时了解安全新闻

随时了解最新情况、提出问题和咨询社区都是跟踪最新黑客攻击和威胁形势变化的绝佳方式。 例如，如果发现插件漏洞，您可以从仪表板停用它，直到更新可用并安装为止。 与被黑网站造成的损失相比，您面临的任何不便都显得苍白无力。

2 . 定期进行安全审计

许多网站所有者错误地认为他们的网站太小，不值得被黑客攻击。 这与事实相去甚远。 黑客攻击的发生有多种原因，如果您的网站，比如说，在用户数据方面不赚钱，它仍然有足够的 SEO 权限被用作钓鱼网站。

定期安全检查将有助于发现不安全的做法以及网站中的潜在漏洞。 通过关注您网站上发生的事情——例如，通过活动日志或评论用户——从长远来看，您将避免很多悲伤。

无助于保护您网站的事情

我们提倡有安全意识，但不偏执。 此外，我们已经看到有很多针对野外网站所有者的糟糕建议。 这些建议可能来自一个好的地方，但它可能会产生意想不到的后果，比如造成糟糕的用户体验，或者将您锁定在自己的网站之外！

所以请不要做以下事情。

1.隐藏你的wp-login页面

许多安全插件仍然相信这个古老的技巧有效。

如果黑客找不到登录页面，就不能进行暴力破解吧？ 不，不是真的。 反而：

• 它使您的网站非常难以使用。 如果您忘记了新的登录 URL，那么恢复您的帐户可能会很困难。
• 如果您使用安全插件附带的默认 URL，黑客很容易猜出您的新 URL。
• 即使黑客找不到 wp-login 页面，他们仍然可以利用 XML-RPC 漏洞入侵您的网站。

这个选项最终什么也做不了，而且会造成相当多的麻烦。

2.地理封锁

地理封锁实质上是阻止来自您的产品或服务不可用或不相关的国家/地区的流量。 这通常被视为一种安全措施，但它实际上是一种减少对消耗的服务器资源计费的方法。

您很可能认为来自加蓬的流量对您的业务没有帮助。 但是阻止来自加蓬的所有流量根本解决不了任何问题。 有了好的 VPN，任何人都可以绕过 Netflix 的地理封锁。

此外，您还冒着阻止 Googlebot 和您自己的风险！

3.密码保护wp-admin目录

wp-admin 文件夹是任何 WordPress 安装中最重要的目录之一。 因此，很自然地，每个黑客都想涉足其中。 安全专家最初认为用密码保护目录是个好主意，但后来我们意识到这不是好做法。

保护 wp-admin 目录的密码会破坏 WordPress 网站上的 AJAX 功能，并导致许多插件出现故障。 如果您运行的是 WooCommerce 网站，损坏的 AJAX 代码可能会破坏您的搜索功能和其他关键的用户体验元素。

为什么要保护您的网站免受黑客攻击？

这篇文章已经有很多关于如何保护您的网站免受黑客攻击的信息，也许我们已经提到过几次，但值得重复。 您的网站很有价值。

当我们说它有价值时，我们不仅仅是在谈论您和您的访客。 也许您有一个小型在线商店或一个兴趣博客，一小群人会定期访问这些博客。 交易是即使黑客入侵您的网站的直接金钱收益并不大，拥有一个干净的网站来兜售非法或灰色市场商品的好处仍然使黑客值得黑客攻击。

因此，小型网站并不能防止恶意意图。

其次，保护我们用户的数据和身份是我们所有人的责任。 他们完全通过访问网站而对网站给予一定程度的信任，我们在考虑网站安全性时应该注意和体谅他们。

结论

您可以通过保持警惕并采取主动的安全措施来阻止黑客。 重要的是要认识到保护您的网站免受黑客和恶意攻击是一个持续的过程。 有些步骤您可以一次性执行，但大多数情况下您需要了解威胁形势的变化。

此外，没有一站式的权威文章可以帮助您阻止所有可能针对您网站的黑客攻击。 任何声称这样做的文章、网站或专家都是不真实的。

因此，虽然我们不能真正保证这篇文章将永远保护您的网站安全，但我们已经为您提供了一些一般安全提示，这些提示将使您的网站很难被黑客入侵。 使用本文中的提示，您将能够修补网站安全中的几个缺陷。

常见问题