WordPress 安全性：保护 WordPress 网站的终极指南

网络犯罪处于历史最高水平，黑客和恶意软件在广阔的网络环境中肆虐。 Google 每周都会将 20,000 多个网站列入黑名单，因为它们存在恶意软件，并将 50,000 多个网站列为潜在的网络钓鱼网站！ 让数字沉入片刻。 因此，出于本次阅读的目的，我们整理了一份综合指南来帮助您提高 WordPress 安全性。

您会看到，如果您的网站未能遵守最佳安全实践，那么您的网站及其所有内容都会遭到黑客攻击。 但是，不仅仅是您的内容在线，因为不安全的网站也会受到谷歌搜索算法的惩罚。

黑客和恶意软件不仅对您的网站内容构成危险，而且对访问您网站的人也构成威胁。 因此，如果您未能遵守基本的安全准则——顺便说一句，这很容易做到——谷歌将在 SERP（搜索引擎结果页面）上将你降级。

幸运的是，WordPress 用户可以访问专用插件和超直观的界面，这可以帮助您大幅提高 WordPress 的安全性。 因此，无需再让您等待，以下是我们提高 WordPress 安全性的 10 多种方法：

提高 WordPress 安全性的 10 多种方法

1.安装备份插件

这里的概念很简单——现在安全好过以后后悔！

通过备份您的在线内容和数据库，即使在不幸成为黑客和恶意软件的牺牲品的情况下，一切也能保持安全。 这使得安装备份插件成为 WordPress 安全 101 的第一章，并将其置于优先级列表的顶部。

像我们的 WPvivid Backup Plugin 这样的备份插件可以对您的整个 WordPress 网站（包括数据库）进行自动常规备份。 您可以将其配置为将备份安排为每周或每天。 备份的数据通常存储在单独的云存储平台中——要么由插件本身提供，要么在不同的现有平台（如 Google Drive、Amazon S3、Dropbox 等）中。

现在，如果稍后您的网站因恶意软件或黑客而中断，您的所有数据仍然可以访问，您可以将备份恢复到您的网站以使其恢复到以前的工作状态。 请记住掩盖黑客或恶意软件用来进入您网站的安全漏洞，以免再次发生。

话虽如此，如果您正在寻找一些关于除了我们的 WPvivid 备份插件之外的备份插件用于提高您的 WordPress 安全性的建议，那么这里有一些选项：

• UpDraftPlus
• BackWPup

2. 安装防火墙插件来监控您的 WordPress 网站

与您在台式机/笔记本电脑上设置的防火墙软件类似，防火墙插件将监控传入流量并阻止常见的安全威胁到达您的 WordPress 网站。

这些插件通常是指由恶意签名和列入黑名单的 IP 地址组成的数据库，以扫描到您网站的潜在威胁，并立即阻止它们。

如您所见，它就像安装 WordPress 插件一样简单，但通过防止黑客、恶意软件、蠕虫和病毒进入您的网站来提高您的 WordPress 安全性。

3.为管理员登录设置一个强密码

当您考虑它时，访问您的 WordPress 后端仪表板并不是什么大不了的事。 这是常识，在 WordPress 站点 URL 的末尾添加“/wp-admin”会将用户带到管理员登录页面。 这里唯一限制访问网站后端的方法就是猜测用户名和密码。

现在，由于用户名“admin”几乎总是与 WordPress 网站相关联，黑客唯一需要做的就是猜测密码，然后他们就可以直接访问您的所有网站内容和数据。 想象一下是不是很可怕？

考虑到所有这些，您可以采用的最明显的 WordPress 安全增强功能是使您的密码极其复杂，即使通过蛮力也难以破译。 这包括创建至少包含 10-12 个字符的较长密码。 还要记住在密码中使用大写字母、小写字母、数字和特殊字符。

为了避免自己最终忘记它，把它写在你知道它会安全可靠的地方。

4.自定义管理员用户名

与更改 WordPress 管理员登录密码类似，您还应该考虑更改易于预测的默认用户名 - admin。 因此，现在黑客需要破译密码以及正确的用户名才能进入您网站的后端，从而成倍地提高您的 WordPress 安全性。

但是话虽如此，更改默认管理员用户名还是有些困难。 首先，您需要登录到您的WordPress 后端 > 用户 > 添加新用户，然后创建一个新用户（使用新用户名），并将用户角色设置为 -管理员。 完成后，使用新用户帐户登录并删除默认的“admin”用户帐户，从而迫使黑客不仅破译正确的密码，还破译您的新用户名。 或者，您可以使用用户角色编辑器插件管理和编辑用户角色。

5.自定义登录网址

到目前为止，我们讨论了如何让黑客难以猜测您的 WordPress 后端登录凭据。 但是，更好的 WordPress 安全策略是完全拒绝黑客访问您的登录屏幕。

如前所述，您网站后端登录页面的默认 URL 包括您的网站 URL，后跟“/wp-admin”。 但是，您是否知道您可以将网站登录 URL 的最后一部分自定义为您可以想象的任何不同的字母数字字符串，例如 – “/zero-hackers-allowed”。

但是，请注意，这不是 CMS（内容管理系统）的默认功能，您需要安装 WordPress 插件（如WPS Hide Login ）来帮助您。 一旦安装并激活，该插件将允许您更改登录 URL，以便黑客无法轻易访问 wp-login.php 页面和 wp-admin 目录。

到目前为止，我们不仅让黑客很难猜出正确的密码和用户名组合来访问我们的网站，而且我们还有效地隐藏了登录页面以防窥探。 正如您可以想象的那样，这大大提高了您的 WordPress 安全性，并使暴力攻击几乎不可能。

6.为数据库用户设置强密码

如果您的网站有多个用户，其中一些用户可以直接访问您的数据库或其他敏感信息，请确保他们为自己的帐户设置了强密码。 黑客同样有可能通过利用您网站上的其他用户来尝试进入您的网站。 考虑到这一点，任何松散的结局都是潜在的漏洞和安全威胁。

您可以按照前面提到的步骤强制用户为其帐户分配强密码。 或者，您可以使用第三方插件强制用户创建强密码以完成他们的帐户创建过程。

7. 启用 SSL（HTTP 到 HTTPS）

SSL 是 Secure Sockets Layer 的缩写，是 Internet 上的标准安全协议，用于在客户端和服务器之间创建加密连接。 激活后，您会注意到 URL 开头的 HTTP 文本已替换为 HTTPS 或 HTTP 安全。 通过启用 SSL 证书，您可以让黑客在服务器和客户端之间传输数据时更难窃取数据。

Google 也非常重视 SSL 认证。 例如，仍然使用 HTTP 的网站在 Google Chrome 浏览器上显示为“不安全”。 此外，他们还受到搜索引擎算法的惩罚。 另一方面，SSL 认证网站的 HTTPS 由搜索引擎授予。 因此，我们将安装 SSL 作为 seo 新 WordPress 博客的第一步。

这两点应该足以让您在您的网站上安装 SSL 证书——尤其是当您认为它不是那么麻烦时。 首先，大多数流行的网络托管服务都包含免费的 SSL 证书。 如果您没有免费获得，您可以使用Let's Encrypt轻松获得。

您甚至可以访问专用的 WordPress SSL 插件 – 真正简单的 SSL 将 HTTP 转换为 HTTPS 并提高您的 WordPress 安全性。

8. 将 wp-config 移至比根目录更高的级别

默认情况下，wp-config.php 位于与您的 WordPress 博客/网站相同的文件夹中。 这可能是一场安全噩梦，因为该文件包含您的 MySQL 数据库用户名、密码、WordPress 身份验证密钥和其他敏感数据。

如果有人掌握了这个文件，那么他们基本上可以完全控制您网站的每一个细节。 这就是为什么即使是WordPress 法典也建议用户将 wp-config.php 从默认根目录移到不具有公共访问权限的更高级别文件夹的原因。

这可以通过在 .htaccess 文件夹中包含以下代码片段来轻松实现：

 <文件 wp-config.php>

命令允许，拒绝

否认一切

</文件>

如您所见，它确实涉及弄乱您的 WordPress 网站的核心文件，因此建议您在继续执行此步骤之前进行备份。

9. 当文件夹没有 index.php 文件时，防止使用 .htaccess 列出目录

目录列表，也称为目录浏览，允许任何用户查看您网站上各个文件夹（目录）的内容。 正如您可以想象的那样，这需要极大的安全问题，因为黑客可以毫不费力地浏览您的所有不同文件并找到潜在的漏洞以侵入您的网站。

现在，为了保护 WordPress CMS，某些目录确实包含一个 index.php 文件，当有人进入该文件夹时，服务器会立即运行/加载该文件。 这可以防止旁观者浏览您的目录并访问您的站点结构。

但是如果 index.php 文件不存在怎么办？

即使这样，通过对 .htaccess 文件进行细微调整也可以轻松解决这些问题。 您只需在 .htaccess 末尾添加以下行并保存即可。

 选项所有索引

完成后，如果用户尝试访问任何缺少 index.php 文件的目录，则会向用户显示 403 访问被禁止或 404 页面未找到错误。

10. 定期更新 WordPress

WordPress 非常受欢迎，为万维网上 30% 以上的网站提供支持。 这使得 CMS 成为黑客和恶意行为者的主要目标。 他们总是忙于在代码中寻找安全漏洞和漏洞，他们可以利用这些漏洞来访问您网站的数据。

同样，WordPress 开发团队也在积极寻找漏洞和安全漏洞，以便在黑客利用它们之前对其进行修补。 因此，升级到最新版本的 WordPress 不仅仅是为了访问新的特性和功能，还要确保代码没有任何黑客可以利用的缺陷。

现在，一旦新的 WordPress 更新发布，包括黑客在内的全世界都可以了解以前版本中存在的安全漏洞。 如果您拖延将您的网站快速升级到最新版本，那么黑客可以利用您网站上现在已知的安全漏洞，使您的 WordPress 安全性比以前弱得多。 此外，由于 WordPress 是使用 PHP 构建的，因此将您的 WordPress 网站升级到最新的 PHP 版本以提高您的网站性能和安全性也很重要。 请记住在进行任何更新之前对您的网站进行完整备份！

11.删除WordPress版本号

尽管您应该始终在新的 CMS 更新发布后立即升级您的 WordPress 网站，但有时，这并不是您可以做出的最佳决定。 延迟站点升级的一些可能原因可能是由于更新错误、当前插件和主题的兼容性问题等等。

但是，正如我们刚刚讨论的那样，推迟升级确实会让您面临大量的安全威胁和黑客攻击。 但是，如果您可以从您的网站中删除 WordPress 版本号，则可以避免这种情况。 这就是为什么黑客不会立即知道您的网站是在旧版本上运行的，这会降低您被新发现的安全漏洞利用的机会。

现在，要从您的网站中删除 WordPress 版本号，您需要转到 functions.php 文件并输入以下代码片段：

 功能 remove_wordpress_version() {
返回 '​​';
}
add_filter('the_generator', 'remove_wordpress_version');

这将从您的头文件和 RSS 提要中删除 WordPress 版本号，确保黑客无法猜测您使用的 WordPress 版本。

综上所述

因此，这些是我们为提高 WordPress 安全性而推荐的一些提示和技巧。 我们希望您发现此阅读内容对您有所帮助，并且它是使您的网站更加安全的有用资源。

如您所见，只需遵循一些基本的一两个步骤并安装一些安全插件，就可以进行许多改进。 现在，您还应该注意一些技术方面。 但是，如果您刚开始使用 WordPress 博客/网站，则无需担心太多。

但是随着您的网站不断增长，请务必意识到黑客会更加努力地闯入并造成麻烦。 因此，请始终了解最新的安全趋势，更不用说涵盖上面讨论的所有技术步骤，例如移动 wp-config 文件和密码保护数据库。

考虑到所有这些，鼓励有经验的用户参与对话并添加他们的个人策略，以确保他们的网站免受黑客和恶意软件的侵害。 您的同行读者将从您的见解中受益匪浅，这可能有助于他们保护他们的网站免受潜在的网络威胁。

如果您也有兴趣，这里是我们关于如何通过博客获利的综合指南。