保护 WordPress 网站的终极指南

WordPress 是全球数百万个网站使用的流行内容管理系统 (CMS)。 据估计，WordPress 为互联网上 43% 的网站提供支持。

虽然 WordPress 是一个开箱即用的安全平台，但由于其受欢迎程度，它也是黑客的热门目标。 Sucuri 的一项研究表明，WordPress 是 2019 年被黑客入侵最多的 CMS，所有被黑客入侵的 CMS 网站中有 62% 是 WordPress 网站。

帮助您保护您的 WordPress 网站免受黑客攻击。 本指南将介绍一些最好的 WordPress 安全提示，例如 WordPress 权限、双重身份验证、WordPress 备份、WordPress 防火墙、安全扫描等。

因此，让我们开始使用我们的 WordPress 安全指南。

选择可靠的托管公司

WordPress 安全性很像物理安全性。 有多个层（门、锁、警报系统等），如果一层出现故障，其他层就会填补空缺。 WordPress 安全性也是如此。 保持 WordPress 网站安全的最简单方法是使用提供多层安全性的托管服务提供商。

寻找提供服务器级安全功能的公司，例如 DDoS 保护和 WordPress 特定的防火墙。 他们还应该有良好的正常运行时间记录，因为 WordPress 网站可能特别容易受到停机时间的影响。 而且，当然，出色的客户服务始终是 WordPress 托管的一个优势。

拥有如此多的 WordPress 托管公司，您应该可以轻松找到满足您需求的公司。

添加 SSL 证书

对于任何想要建立网站的人来说，WordPress 都是一个很棒的平台。 它用户友好、用途广泛且相对安全。 但是，可以通过添加 SSL 证书来进一步提高 WordPress 的安全性。 SSL（安全套接字层）是一种安全协议，有助于加密在网站和用户浏览器之间传输的数据。

这很重要，因为它有助于保护敏感信息，例如信用卡号和登录凭据，不被第三方拦截。 没有 SSL 证书的 WordPress 网站仍然可以访问，但它们的安全性不如预期。

此外，SSL 证书可以通过表明您认真保护他们的数据来帮助建立与访问者的信任。

因此，如果您希望将您的 WordPress 安全性提高一个档次，请添加 SSL 证书。 这是一个简单的过程，可以在确保您的网站安全方面发挥重要作用。

避免空主题

WordPress 安全性仅与最薄弱的环节一样强大，而最薄弱的环节之一是无效主题。 无效主题是已被盗版并免费提供的 WordPress 主题。 虽然通过使用无效主题节省几美元可能很诱人，但根本不值得冒险。 无效主题通常包含可能使您的网站容易受到攻击的恶意代码。

此外，使用无效主题违反了 WordPress 的使用条款，这可能导致您的网站被暂停。 如果您想确保您的 WordPress 网站安全可靠，请避免使用无效主题。

如果您正在寻找 WordPress 主题，请确保从信誉良好的来源获取它，这可能会花费更多，但让您的 WordPress 网站免受安全漏洞的影响是值得的。

使用受信任的 WordPress 主题和插件

WordPress 是构建任何类型网站的绝佳平台。 它易于使用，并且有大量主题和插件可用于自定义您的网站。 但是，在选择高级或免费 WordPress 主题和插件时必须小心。 有很多编码不佳的主题和插件可能会给您的网站带来安全漏洞。 那么，如何判断 WordPress 主题或插件是否值得信赖？ 这里有几件事要寻找：

• 寻找其他用户的评论。 如果 WordPress 主题或插件有很好的评价，它可能编码良好，不太可能导致任何安全问题。
• 检查 WordPress.org 存储库。 WordPress.org 只接受高质量的主题和插件，因此如果 WordPress.org 上有可用的主题或插件，您可以确信它是安全的。
• 直接联系开发商。 如果您对 WordPress 主题或插件有任何疑问，可以直接联系开发人员并询问。 他们应该能够提供答案，帮助您决定是否使用他们的产品。

删除未使用的 WordPress 插件和主题

帮助保护您的 WordPress 网站的一种方法是删除未使用的 WordPress 插件和主题。 通过这样做，您可以减少站点上潜在漏洞的数量。 此外，删除未使用的插件和主题有助于让您的网站平稳高效地运行。

因此，如果您不使用插件或主题，请务必将其从您的 WordPress 网站中删除。 这样做将有助于确保您的网站安全并顺利运行。

安装安全插件

有很多方法可以保护 WordPress 网站，但最好的方法之一是安装安全插件。 WordPress 安全插件提供了多种有助于保护 WordPress 网站的功能，包括密码保护、双重身份验证和恶意软件扫描。 它们还可以帮助阻止恶意流量并防止暴力攻击。 此外，WordPress 安全插件可以提供全面的活动日志，可用于监控站点上的活动并识别潜在威胁。

因此，对于任何想要保护其网站免受攻击的网站所有者来说，安装 WordPress 安全插件都是必不可少的。

您可以安装这些必要的安全插件来保护您的 WordPress 网站。

1. Wo r dfence ： 2FA，阻止恶意流量，防止暴力攻击等。
2. 限制重新加载的登录尝试：限制登录尝试的次数并阻止机器人 IP 地址。
3. WPS 隐藏登录：更改管理员登录 URL 和路径

使用强密码

最重要的 WordPress 安全提示之一是使用强密码。 强密码至少应包含八个字符，并且应包含大小写字母、数字和特殊字符的组合。 您不应在多个站点上使用相同的密码。 如果这样做，如果其中一个站点被黑客入侵，您的所有站点都将面临风险。

最后，确保定期或每 3-6 个月更改一次 WordPress 密码是一个很好的经验法则。 遵循这些 WordPress 安全提示有助于保护您的 WordPress 网站免受黑客攻击。

WordPress 还提供双重身份验证 (2FA) 作为额外的安全层。 2FA 要求您在尝试登录时输入一个发送到您手机的代码。这使得有人更难侵入您的 WordPress 网站，即使他们设法猜到了您的密码。 因此，如果您希望增强 WordPress 的安全性，请确保您使用的是强密码和 2FA。

经常备份

最常见的 WordPress 安全问题之一是人们没有足够频繁地进行备份。 WordPress 不断更新，新漏洞不断被发现。 如果您没有最近的备份，如果您的网站被黑客入侵，您可能会失去所有的辛勤工作。 在对站点进行任何重大更改之前进行备份也是一个好主意，以防出现问题。

有许多可用的 WordPress 备份插件，所以没有理由不经常备份。 通过经常进行备份来确保您的站点安全。

让 WordPress 保持最新状态

WordPress 定期发布其软件的新版本，每个新版本都包含安全修复和改进。 WordPress 还在主要版本之间发布安全更新。

这些更新解决了发现的严重漏洞，通常在发现后几天内发布。 WordPress 网站所有者需要尽快安装这些更新，以保护他们的网站免受攻击。

幸运的是，WordPress 可以轻松保持最新状态。 WordPress 仪表板包括一个通知区域，显示哪些更新可用，只需单击几下即可安装它们。

通过使 WordPress 保持最新状态，网站所有者可以放心，他们的网站不会受到最新威胁的影响。

禁用 XML-RPC

XML-RPC 是一种允许在 WordPress 站点上进行远程过程调用或 RCP 的协议。 但是，黑客也可以利用它来发起拒绝服务攻击或接管您的网站。 如果您不使用 XML-RPC，最好禁用它以降低攻击风险。 通过禁用 XML-RPC，您可以帮助确保 WordPress 站点的安全。

您可以通过在 functions.php 文件中添加几行代码或使用插件来完成此操作。 无论哪种方式，禁用 XML-RPC 都是帮助保持 WordPress 站点安全的好方法。

禁用 WordPress 仪表板文件编辑

WordPress 提供的功能之一是能够直接从 WordPress 仪表板编辑文件。 如果您需要快速更改主题或插件，这会很方便。

但是，它也代表着安全风险。 如果攻击者可以访问您的 WordPress 仪表板，他们可以轻松修改您的 WordPress 文件，这可能会危及您的网站。 因此，建议您从仪表板禁用 WordPress 文件编辑。 这可以通过将以下行添加到您的 WordPress 配置文件中来完成：

 Define ( 'DISALLOW_FILE_EDIT', true );

这样做将有助于提高 WordPress 网站的安全性。

隐藏 wp-config.php 文件

WP 配置文件包含有关您的 WordPress 安装的敏感信息，包括您的数据库密码。 通过隐藏此文件，您可以让黑客更难访问您的 WordPress 网站。

有几种方法可以隐藏 wp-config.php 文件。 一种最好的方法是创建一个空白 index.html 文件并将其放在与 wp-config.php 文件相同的目录中。 另一种方法是使用 .htaccess 来限制对 wp-config.php 文件的访问。 无论您选择哪种方法，隐藏 wp-config.php 文件都是一种提高 WordPress 安全性的简单方法。

WordPress 还提供了隐藏文件的内置机制，可以在 WordPress Codex 中找到。 通过采取这个简单的步骤，您可以帮助保护您的 WordPress 网站免受潜在攻击。

包起来

WordPress 安全性绝非易事。 尽管 WordPress 是一个安全平台，但黑客总能找到利用漏洞的方法。 这就是为什么认真对待 WordPress 安全并尽一切可能保护您的网站很重要的原因。

最后，重要的是要记住 WordPress 安全是一个持续的过程，而不是一次性事件。 所以不要等到为时已晚——WordPress 安全应该是每个 WordPress 用户的首要任务。