如何保护您的 WordPress 网站

已发表: 2020-09-25

托管 WordPress 托管服务（如 Pressidium）通常非常重视其托管平台的安全性。部署了一系列功能来帮助保持托管在这些系统上的 WordPress 网站的安全。

然而，WordPress 主机只能做很多事情来确保 WordPress 网站的安全性。网站所有者在确保其网站安全方面发挥着自己的作用。在本文中，我们将看看您可以采取哪些步骤来保护您的 WordPress 网站。

保持您的网站安全 - 概述

许多网站黑客事件是网站所有者采取行动（或不作为）的直接结果。诸如未能将插件更新到最新版本或使用弱密码之类的事情都会导致通过您的网站运行的可利用的弱点，黑客将瞄准这些弱点。好消息是您可以采取一些简单的步骤来帮助确保您的 WordPress 网站的安全。这些包括：

确保您和任何其他网站用户使用强密码
使用验证码机制
使用两因素身份验证 (2FA)
删除非活动用户
使用“限制登录尝试”系统
始终将您的核心文件、插件和主题更新到最新版本
更改您的默认登录 URL
避免使用无效的主题和插件

让我们仔细看看其中一些步骤，并了解如何将它们应用于您的网站。

确保您的用户使用强密码

没有服务器端防火墙或其他托管安全系统可以保护您的 WordPress 网站免受弱密码的影响。尽管使用弱密码存在已知问题，但统计数据表明，尽管 WordPress 提示选择更强的密码，但仍有惊人的 35% 的用户使用弱密码来保护他们的 WordPress 网站。

也许可以由此得出的结论是，一些用户根本不知道当使用弱密码时他们的网站会变得多么脆弱。不幸的是，黑客很久以前就研究出如何利用那些选择遵循特定模式（如出生日期或宠物名称）的可预测密码的用户。

其他人虽然意识到弱密码的脆弱性，但仍然继续使用这些密码，也许是因为这样做很容易。毕竟，记住一个简单的密码比记住一个由随机字母、数字和符号构成的复杂密码要容易得多。

毫无疑问，您的密码为抵御黑客提供了一道关键的防线。它越强越好。理想情况下，密码应该是唯一的、随机生成的并定期更新。

在登录表单中使用验证码机制

验证码的目的是将人类与“机器人”区分开来，“机器人”是执行自动化任务的软件应用程序。黑客可以利用这些来尝试通过登录页面访问网站，方法是指示机器人使用随机数据进行持续尝试以访问网站。验证码旨在通过区分人类和机器人来帮助防止对网站的此类攻击。验证码已经使用了三年，并且仍然部署在无数网站上，以帮助保护它们免受机器人活动的影响。

可以将验证码添加到您的 WordPress 网站，以阻止机器人登录尝试。一个简单的方法是安装 Login no Captcha reCaptcha 插件，该插件利用了 Google 的验证码系统。

安装后，您会在登录面板下方看到熟悉的 reCaptcha 复选框。勾选这个，你就走了（假设你知道正确的用户名和密码！）。

要使插件正常工作，您需要注册一个免费的 Google reCaptcha 帐户，然后您可以生成站点密钥和密钥。

如何生成站点和密钥：

登录您的 Google 帐户（如果您还没有帐户，则需要注册一个）。前往 Google reCaptcha 页面，然后点击右上角的“管理控制台”。
单击右上角的“加号”图标以注册新网站。填写所需信息。
点击提交按钮，您将看到如下页面：

然后，您需要将这些值粘贴到所宣传的插件设置中的框中。

两因素身份验证 (2FA)

使用双重身份验证过程将通过防止所谓的“蛮力”攻击为您的网站登录页面增加额外的安全层。这些类型的攻击是机器人试图使用已经猜到的密码和用户名（通常遵循一些利用已知“弱”密码（例如 123password 等）的预定义列表）不断登录您的网站的地方。机器人将继续尝试访问您的网站，直到成功，这在两个方面都是坏消息首先，如果密码正确，您的网站现在已被黑客入侵。其次，这些持续的登录尝试会增加服务器负载，从而减慢您的网站的合法性用户。

幸运的是，有可用的第三方插件可以帮助阻止这种情况。

两因素插件

Plugin Contributors 的 Two-actor 插件是一个有用且易于使用的插件，它通过强制用户提供身份验证代码及其正常登录凭据来为网站提供双重保护。此代码可以通过电子邮件发送或使用一次性密码生成器（例如 Google Authenticator）生成。

谷歌身份验证器插件

Google Authenticator 插件是另一个流行的 2FA 插件，可以部署以保护您的 WordPress 网站。这个完全免费的插件提供了大量的 2FA 身份验证选项，包括 SMS，当然还可以使用 Google Authenticator 应用程序。设置它相当快速和容易。只需在激活插件时按照提示进行操作。

删除非活动用户

攻击者的另一个容易攻击目标是长时间未使用的网站用户帐户。这样做的结果是，密码通常比用户最近创建帐户或定期登录网站时的密码弱。因此，定期删除任何不活动的帐户非常值得。

您可以使用插件轻松检测这些非活动用户，例如“上次登录时间”插件。

激活后，它只需在您的管理员用户列表中添加一个自定义列，该列显示该用户上次登录日期和时间的时间戳。您可以对该列进行排序，从而一目了然地识别非活动用户，这意味着您可以在适当时删除它们。

然后在用户 -> 所有用户上按添加的“上次登录”列排序：

限制登录尝试

您可以为 WordPress 网站添加额外安全层的另一种方法是限制在特定时间范围内允许的登录尝试次数。这种技术可以阻止不断猜测登录的机器人。此外，一些提供此功能的插件还可以阻止登录尝试所源自的 IP 地址，从而阻止从该 IP 地址操作的特定机器人将来尝试对您的站点进行重复攻击。

提供此功能的一个很好的插件是免费的限制登录尝试重新加载插件。

在撰写本文时，安装了 1+ 百万次，您可以确信该插件运行良好。

安装并激活它后，前往“设置”菜单，然后单击“限制登录尝试”。您将能够更改一系列参数，包括在用户被锁定在网站之外之前允许的重试次数。

限制登录尝试是保护您的网站的一种极其有效的方法，这就是我们在所有 Pressidium 托管网站上将其作为默认设置的原因。

注意：如果您使用的是 Jetpack，一个名为“保护模块”的最新功能版本默认包含限制登录尝试系统。 该系统还提供有关登录尝试被阻止的信息以及将 IP 列入白名单的选项。 如果您使用此插件，则无需安装单独的“限制登录”插件。

将您的核心文件、插件和主题更新到最新版本

除了许多其他好处之外，更新您的 WordPress 核心、主题和插件对于您网站的安全性至关重要。统计数据显示，过时的版本、主题和插件是黑客获取网站访问权限的最流行方式，因此保持这些网站处于最新状态是重中之重。

在 Pressidium，我们在首次测试后自动将 WordPress 核心更新到最新版本，以确保不存在会导致我们客户的网站出现问题的关键问题。由于这些更新是自动进行的，因此您可以放心，您的网站始终运行最新版本的 WordPress。

此外，我们通过提供可通过 Pressidium 仪表板访问的插件更新工具，使我们托管的网站上的插件更新尽可能容易。这使我们的客户可以一目了然地看到他们的网站插件是否需要更新。如果是这样，只需在 Pressidium 仪表板中单击几下即可进行更新。我们还定期扫描我们托管的网站以查找存在已知漏洞的插件，并将通过电子邮件通知网站所有者此漏洞。如果过时的插件对网站构成极大风险，我们甚至会代表网站所有者主动更新。

更改您的默认登录 URL

现在我们已经了解了保护登录页面的方法（实际上是保护“前门”），让我们看看隐藏前门的选项，以确保窃贼（或黑客！）甚至无法尝试进入.

一个很好的方法是通过将默认 WordPress 登录 URL 更改为自定义 URL 来更改它的位置。这样做你会立即阻止来自 wp-login 的流量，这反过来意味着你不应该在你的网站上遇到任何暴力攻击。

WPS Hide Login 是一种允许您快速更改登录页面位置的插件。

避免使用无效的主题和插件

无效主题或插件通常包含恶意软件或旨在造成伤害的修改代码。它们通常以“便宜”的价格提供，这就是它们吸引人们的原因。毕竟，没有人真正喜欢在高级主题和插件上花钱。使用一些无效的主题和插件，只需“正版”版本的一小部分成本，您就会明白为什么它们很有吸引力。

实际上，您使用无效版本所做的“节省”通常会被您的网站感染恶意软件所产生的成本所掩盖。即使它们不包含恶意代码，它们通常也会有烦人的广告和弹出窗口，可能会破坏插件或主题的体验。此外，原始开发人员当然不支持它们，这意味着如果出现问题，没有人可以求助。

简而言之，不要使用无效的主题或插件……这真的不值得！

结论

被黑的网站不符合任何人的利益（当然除了黑客）。虽然高质量的托管 WordPress 托管可以显着提高您网站的安全性，但同样重要的是要记住，作为网站所有者，您也可以在保护您的网站方面发挥作用。

即使遵循上面概述的一些简单步骤，也可以真正帮助提高您网站的安全性，并且非常值得实施。