如何保护您的 WordPress 网站：终极 WordPress 安全检查清单

WordPress 有多安全？

通过 WordPress，我们指的是核心 WordPress 文件。 如果用户检查所有其他安全参数并遵循所有安全程序，WordPress 是非常安全的。 WordPress 管理员将所有核心文件保持为最新版本，并保持所有主题和插件更新，这一点很重要。

WordPress 安全插件

建议使用受信任的 WP 安全插件，如 Wordfence、Sucuri 或 All in One WordPress Security and Firewall。 这些插件有免费和付费版本。 这些安全插件会密切关注所有可疑活动并阻止攻击。 您可以使用它们各自的仪表板轻松配置这些插件。

WPOven 服务器已经配备了这些安全插件的所有功能，您可以从 WPOven 仪表板进行配置和监控。

2023 年 5 个最佳 WordPress 安全插件

这些插件很便宜。 但在黑色星期五期间可以以更便宜的价格购买。

马尔凯

我们推荐 Malcare，因为它带有即时恶意软件扫描和清理功能。 您可以使用此插件以最简单的步骤自动清除您的网站。 它还提供内置的分期和非常好的支持。 起价仅为每年 99 美元。

现在下载

Sucuri 安全

Sucuri Security 是一个非常有效的 WP Security 插件，其功能包括安全活动审计、文件完整性监控、远程恶意软件扫描和黑名单监控，以及电子邮件通知。 它有免费和付费选项，每月订阅从9.99 美元/月起。

现在下载

iThemes 安全

Itheme Security 是一个非常通用的安全插件，具有恶意软件扫描、用户操作记录和在线文件比较等选项。 此外，此插件还内置了许多其他选项，例如更改 WordPress 仪表板的 URL、删除 RSD 标头信息、更改 wp-content 路径等。它有免费和付费选项，每年订阅从每年99 美元。

现在下载

WordFence 安全

Wordfence 具有最新的恶意软件防火墙规则和恶意 IP 地址列表，具有国家阻止和禁用 2FA 或将 2FA 添加到 XML-RPC 等功能。 它有一个用于多站点的特殊版本，称为 Wordfence Central，是一种在多站点环境中保护多个站点的行之有效的方法。 它有免费和付费选项，年度订阅从每年119 美元起。

现在下载

安全出版社

SecuPress 是一个简单的 WordPress 安全插件，具有恶意软件扫描功能； 阻止机器人程序和可疑 IP。 这是一个简单但有效的 WordPress 安装，并将提供 PDF 安全报告。 它还负责使用安全的用户名和密码，其功能包括设置密码有效期和禁止使用容易被猜到的用户名。 它有免费和付费选项，年度订阅从每年60 欧元起。

现在下载

阅读：保护网站安全的 5 个最佳 WordPress 恶意软件删除插件

后门

• 黑客经常针对 WordPress 中非常规的漏洞点，例如 WordPress 核心包中的漏洞文件、主题或插件文件，以及来自不安全计算机的 FTP 访问。
• 恶意文件可能类似于合法的 WordPress 文件，使它们难以识别和删除。
• 后门文件可用于通过创建非法 WP 用户和窃取用户数据来利用 WordPress 站点。
• 使用 WordFence、SiteCheck 或 Sucuri 等插件定期更新和扫描您的文件可以帮助防止这些类型的攻击并提高 WordPress 的安全性。

拒绝服务

• 使用来自受信任的开发人员的主题和插件对于避免代码中易受攻击的错误很重要。
• 在这种类型的攻击中，黑客利用代码中的弱点通过发出重复请求来增加服务器 RAM 使用率，这可能导致网站停止响应其他访问者。
• 多个系统可以用来占用一个资源，加剧了这个问题，并可能导致巨大的业务损失。
• 遵循安全编码和网站管理的最佳实践和技巧可以减少 WordPress 漏洞。

跨站点脚本 (XSS)：

• 黑客可以在您的 WordPress 安装中注入易受攻击的文件，以窃取网站访问者的数据，包括重要密码。
• 这些攻击通常出现在由新开发者或不受信任的开发者开发的插件中。
• 跨站点脚本 (XSS) 攻击通过 JavaScript 和 CSS 执行，可以通过各种方式危害网站访问者，例如 cookie 盗窃、植入木马、键盘记录、网络钓鱼和身份盗用。
• XSS 攻击的后果可能很严重，因为网站访问者甚至可能没有意识到他们的数据已被泄露。
• 为防止 XSS 攻击，仅使用受信任的插件并将 WordPress 安装和插件更新到最新版本非常重要。

阅读：最常见的 WordPress 错误

恶意重定向

• 黑客可以使用重定向代码将网站访问者重定向到其他网站。
• 此重定向代码通常被注入到文件中，通常是 .htaccess 文件。
• 当访问者尝试访问您的网站或特定页面时，他们将被重定向到恶意网站。
• 这可能会导致您的企业失去潜在客户的信任

暴力登录尝试

• 黑客经常使用自动化脚本来识别弱密码并获得对 WordPress 仪表板的访问权限。
• 暴力攻击是黑客用来访问网站后端的另一种常用方法，这可能导致个人和企业数据被盗、网站文件被删除以及其他形式的损害。
• 可以通过实施限制登录尝试、在登录屏幕上使用验证码以及启用双因素身份验证登录等措施来防止暴力攻击。
• 这些措施对于确保您的 WordPress 网站的安全至关重要。

制药黑客

• 将您的 WordPress 核心文件、主题文件和插件文件更新到最新版本。
• 黑客可以通过注入向访问者显示医药广告的代码来利用过时的文件，这些广告通常会宣传伟哥等非法药物。
• 这些广告可能会出现在页面内或作为弹出窗口出现，从而导致网站访问者失去信任。

网络钓鱼

• 黑客使用网络钓鱼电子邮件诱骗用户点击暴露其密码的链接。 电子邮件看起来像是来自受信任的来源，但事实并非如此。
• 黑客可以使用您的服务器和 WordPress 安装向受害者的电子邮件列表发送恶意电子邮件。
• 很难确定您的网站是否感染了网络钓鱼脚本，但定期扫描可以帮助避免此问题。

25 个最佳 WordPress 安全清单

• 寻找安全、可靠和值得信赖的 WordPress 托管
• 经常备份
• 在服务器上保持最新版本的 PHP
• 强大的用户名和密码
• DDOS防护
• HTTPS SSL证书
• 禁用 XML-RPC
• 禁用 PHP 文件执行
• 非活动用户注销
• 删除未使用的主题和插件文件
• 尽可能少使用插件
• 将验证码或安全问题添加到登录屏幕
• 强大的文件和文件夹权限
• 限制登录尝试
• 双重身份验证
• 更改默认登录 URL
• 保护登录 URL
• 更新数据库前缀
• 禁用文件编辑
• 安全的 wp-config 文件
• 隐藏 WP 版本

1. 寻找安全、可靠和值得信赖的 WordPress 托管

如前所述，选择对安全性非常讲究、遵循高标准安全措施并具有良好支持系统的托管服务提供商非常重要。

一个好的托管服务提供商将始终：

• 警惕黑客的可疑活动，并设置检查点以防止任何类型的攻击。
• 通过持续监控服务器，使用最先进的工具来识别小型和大型攻击。 您也可以在这里免费查看网站监控。
• 所有脚本（包括最新的 PHP 版本）、软件和硬件均采用最新技术并经常更新。
• 用户防火墙和入侵检测系统。
• 保持定期备份，并提供简单和自动的备份和恢复选项。
• 针对恶意软件、勒索软件和其他病毒扫描所有文件。
• 提供 HTTPS 支持。
• 有优秀的支持人员在发生任何事件时采取行动。
• 提供专为满足 WordPress 需求而设计的托管 WordPress 托管计划。

阅读：最佳 WordPress 维护服务和计划 – WPOven

2.保持服务器最新版本的PHP

• 使用最新版本的 PHP 对于保持 WordPress 网站的基础牢固非常重要，因为所有文件都是使用 PHP 代码开发的。
• PHP 版本针对安全问题提供长达 2 年的支持，并在此期间提供必要的安全补丁。
• 低于 PHP 7.0 的版本是不安全的，而最新版本 PHP 7.3 针对速度和安全性进行了优化。
• WPOven 只使用 PHP 7.0 及以上版本，并允许用户选择他们想要使用的 PHP 版本，这减少了 WordPress 漏洞。

3.经常备份

• 建议经常备份您的 WordPress 网站文件和数据库。
• 您可以手动进行备份，也可以使用 UpdraftPlus、VaultPress、BackupBuddy 等 WordPress 插件或任何其他备份插件进行备份。
• 您可以使用这些插件安排自动备份，并确保也有一个简单的恢复选项。
• 为了在服务器出现任何问题时保证备份的安全，最好将它们保存在服务器之外。

WordPress 备份服务：

有一些异地 WordPress 备份服务可用于将备份存储在云中。 一些付费服务如下：

• VaultPress：它是一种基于订阅的备份服务，以及包括定期扫描、垃圾邮件防御系统、正常运行时间监控和其他安全功能在内的整体安全解决方案。
• WPOven ：在他们的服务中，他们将核心文件和数据库备份到 Amazon S3 并具有一键式恢复功能。根据所选的软件包，您可以选择备份频率（甚至每天 2 次），并在美国或欧盟服务器之间进行选择。
• BlogVault：它是 WordPress 备份、迁移、暂存、还原和管理解决方案提供商，具有 100% 的还原率。

WordPress 备份插件：

您也可以使用一些免费且非常值得信赖的插件。 一些插件提供服务器上备份，而一些插件提供服务器外备份，将备份文件存储在服务器外位置，如 AmazonS3、Google Cloud、Dropbox、MS Azure、Rackspace 等。

阅读： 2023 年 10 个最佳 WordPress 备份插件（免费和付费）

4.使用强用户名和密码

• 使用强大且难以猜测的用户名和密码来确保您的 WordPress 网站安全。
• 每隔几个月或几周更改一次密码，以增强 WordPress 网站的安全性。
• 避免使用默认和流行的用户名“admin”作为 WordPress 的用户名。
• 使用一键式安装过程为 WordPress 管理仪表板生成极其安全的登录详细信息。
• 确保与您的 WordPress 网站关联的所有其他密码安全，包括 FTP、CPanel、电子邮件（与 WordPress 用户帐户关联）、数据库密码等。

5.DDOS防护

DDOS 攻击的严酷现实是，即使是最新版本的 WordPress 也无法阻止此类攻击。 它只能通过保护托管服务器来防止。 您可以在 WordPress 网站上安装一些第三方工具来防止它。

注意：如果您使用像WPOven这样可靠且值得信赖的合作伙伴，您可以使用他们的工具来监控网站分析、服务器性能和资源使用数据。

识别资源使用的异常激增并通知您的服务提供商非常重要。

您的提供商可以检查所有必要的日志并采取必要的措施来阻止拒绝服务攻击。

6.HTTPS SSL证书

网站所有者忽视了 SSL 的重要性，他们中的大多数人认为它只是一个标志，只有当您的网站涉及金融交易时才需要。 网站上的 SSL 证书有助于在您的网站和用户浏览器之间建立安全连接。

使用 HTTPS 的另一个额外好处是获得更好的搜索引擎排名。

WPOven 通过一键式 LetsEncrypt 提供免费的 HTTPS 证书，为所有站点安装自动续订。

7.禁用 XML-RPC

• XML-RPC 允许使用单个命令执行多个进程，但可能会被黑客恶意用来入侵网站。
• 防止这种情况的最有效解决方案是为您的 WordPress 网站完全禁用 XML-RPC。
• 您可以使用可用的插件来禁用 XML-RPC，例如免费插件“Disable XML-RPC”或来自“Perfmait”的付费插件。

但是，如果您使用的是WPOven ，则无需担心，因为默认情况下，它已在其所有托管网站的服务器上被禁用。

8. 禁用 PHP 文件执行

WordPress 安装环境中有某些目录不需要执行任何类型的 PHP。 此类目录的一个示例是 wp-content 下的上传子目录。

要禁用该目录，请在该特定目录下创建一个新的 .htaccess 文件并将以下代码粘贴到其中：

<Files *.php> Deny from all </Files>

9. 非活动用户注销

有时，用户可以在未正确注销的情况下关闭浏览器。 黑客可以利用这个机会闯入 WordPress 仪表板并获取用户凭据。 您可以使用插件在设定的持续时间后自动注销非活动用户。 这对您的 wp 安全非常重要。

10.删除未使用的主题和插件文件

• 识别不需要的插件并将其从系统中删除
• 删除默认主题，例如二十十七和二十十九
• 仅保留一个默认主题作为主主题失败时的后备选项
• 确保后备主题定期更新，即使它没有被使用。

11. 最小化插件安装

让我们用一个例子来解释这一点。 许多现代主题和页面构建器（Avia、Thrive、Elementor 等）。 如果您的主题或您正在使用的页面构建器已经具有联系表单元素，则您不需要单独的联系表单插件来处理简单的表单。 除非有特殊需要，否则建议避免使用额外的插件。 人们应该给予 WP 安全应有的重视。

12.将验证码或安全问题添加到登录屏幕

另一种提高 WordPress 安全性的流行方法是在登录屏幕上添加验证码或安全问题的简单方法。 您可以使用可用的插件来执行此操作。

13.强大的文件和文件夹权限

这是防止您的网站受到攻击的一个非常重要的步骤。 基本上有三种类型的文件权限（读、写、执行）。 为了获得最佳和有效的网站性能，了解哪些文件需要什么级别的权限非常重要。 您可以通过文件管理器或使用 FTP 软件设置这些文件和文件夹权限。

但在 WPOven，一体式 wp 安全性通过其仪表板提供单击文件权限。

14.限制登录尝试

黑客不断尝试使用密码猜测登录您的 WordPress。 您可以通过使用插件来限制登录尝试进行控制。

WPOven 的托管 WordPress 托管已经在其所有计划中涵盖了这一点。

15.双因素身份验证

• 启用双因素身份验证以提高登录安全性
• 双因素身份验证在登录前需要额外的 OTP 代码
• 您的手机通过短信或电话接收 OTP 代码
• 使用 Google Authenticator 或 Duo 双因素身份验证等插件
• 这两个插件都有各自的 Android 和 iPhone 应用程序
• 添加双因素身份验证后，登录屏幕将有其他选项来发送身份验证代码
• 正确输入手机收到的生成码即可登录
• 双因素身份验证是防止暴力攻击的好方法。

16.更改默认登录 URL

黑客寻找 WordPress 仪表板的默认登录 URL，即 websitename.com/wp-login.php 或 websitename.com/wp-admin/。 一个明显的解决方案是将登录 URL 更改为其他内容。 您可以使用WPS 隐藏登录插件或高级Perfmatters插件等插件之一来执行此操作。

17.保护登录URL

您可以使用 HTTP 身份验证来保护您的 WordPress 管理员登录 URL。 每当有人试图访问管理 URL 时，他/她将必须使用额外的用户名和密码才能访问此链接。 您可以在此处阅读有关锚链接的更多信息

注意：请勿在电子商务或任何拥有需要登录的会员的网站上使用它。

18.更新数据库前缀：

默认情况下，WordPress 安装使用像 wp_ 这样的表前缀，这使得黑客更容易猜测。 避免这种情况的明显方法是将表前缀更改为其他东西，这不容易被黑客猜到。

您可以在安装时执行此操作：

WPOven 的WordPress 安装为其每个网站生成一个随机表前缀。 这将减少您的 WordPress 安全问题。

19.禁用文件编辑

• WordPress 网站的管理员用户可以通过仪表板中的编辑器访问主题文件。
• 这使得主题文件容易受到无意更改和有意攻击。
• 为防止这种情况，您可以禁用文件编辑。
• 您可以通过将以下代码行添加到 wp-config.php 文件来执行此操作：

define('DISALLOW_FILE_EDIT',true);

WPOven用户可以使用站点锁定功能一键完成此操作。

20.保护 wp-config 文件：

WordPress 安装下的 wp-config.php 文件包含数据库登录详细信息和其他身份验证密钥，以及有关数据库的其他详细信息（如表前缀和数据库主机 URL）。

有多种方法可以保护它，如下所述：

• 更改 wp-config.php 文件的位置
• 在 wp-config 文件中更改默认的 WP 安全密钥
• 通过适当的文件权限拒绝访问 wp-config.php

更改 wp-config 位置：默认情况下，wp-config 文件位于 WordPress 安装的根目录中。您只需创建另一个不在易于访问的位置的 wp-config 文件，并将其用作原始 wp-config 文件中的参考。

更改默认的 WP 安全密钥：每个 wp-config 中有 4 种随机生成的字母数字密钥：AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY和NONCE_KEY。您可以使用此 WP Security Key 工具生成新的随机密钥。

更改文件权限：建议将文件权限更改为 400，这样外部源就无法读取它。或者，如果 400 对 WP 安装正常工作造成某种问题，您可以将其设置为 440。

21.隐藏WP版本

如果攻击者知道您使用的是哪个版本的 WordPress，他就可以利用特定于该版本的漏洞。 因此，建议完全隐藏它。 您可以通过在functions.php文件中添加一小段代码来完成此操作。 这减少了您的 WordPress 漏洞

function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');

除了出现在标题中之外，您还可以通过自述文本文件识别 WordPress 版本。 您可以从安装中删除此文件 (readme.html)。

22.定期扫描：

您可以使用安全插件定期运行扫描并观察原始文件是否有任何更改。 有一些在线工具，您也可以使用它们找到可疑文件。 例如，使用这个名为 WPSec 的免费工具，您可以找出在线安全扫描结果。

23.保持主题和插件更新

• WordPress、主题开发人员和插件开发人员经常发布新版本。
• 建议使用最新版本的 WordPress 安装使所有内容保持最新。
• 较新的版本带有安全补丁，可以抵御新的病毒和恶意软件。
• 过时的版本容易受到攻击并且缺乏开发人员的支持。

WPOven in one wp security Dashboard 提供了一个界面来查看已安装的插件和主题，它们可以直接从仪表板更新：

24.使用可信的主题和插件：

• 在安装任何新主题或插件之前，请检查其评级、评论和安装数量以确保其质量。
• 此外，检查变更日志以查看开发人员更新版本的频率。
• 安装前检查插件或主题是否与您的 WordPress 版本兼容。
• 检查开发人员的历史记录和他们创建的其他产品，以确保他们的体验和产品质量。
• 通过 WPOven 注册，您可以获得免费的高级 WordPress 主题和插件。

25.保护 WordPress 媒体文件

使用 Prevent Direct Access (PDA) Gold，只需单击几下，即可保护 WordPress 媒体文件免受 Google 索引和直接文件 URL 访问。 事实上，该插件为上传到 WordPress 媒体库的任何文件提供批量保护，包括但不限于 PDF、DOCX、PPTX、PNG、JPG、MP4 和 MP3。

PDA Gold 使您能够将直接文件访问限制为仅授权用户。 这意味着文件访问权限可以设置为管理员、登录用户，甚至特定用户和自定义成员资格。

此外，您可以创建无限制的过期下载链接，然后与一组用户和订阅者共享。 这些下载链接将在一段时间或点击后自动失效。

最后但同样重要的是，PDA Gold 提供了一个直观的用户界面来立即保护您的 WordPress 网站：

• 隐藏 WordPress 版本
• 防止图片盗链
• 保护 WordPress 上传文件夹
• 阻止直接访问 WordPress 敏感文件，例如 readme.html 和 license.txt
• 使用文件夹保护功能保护上传和/或根目录下的任何文件

您可以在其他资源中找到有关最近安全问题的详细信息。 他们来了：

• WPScan 漏洞数据库：这是 WordPress、主题、插件和 API 中所有已识别漏洞的目录。 用户可以向此提交他们自己的事件，以使其他用户了解这些问题。
• ThreatPress：这是另一个由其研发团队每天更新的漏洞数据库。

结论：

上面的文章一定让您对如何确保 WordPress 的安全有了很好的了解，但重要的是要了解并认识到一个好的托管服务提供商是您确保网站安全的合作伙伴。 您的网站就是您的业务的代名词，安全的网站可以增强您对潜在客户的信任，这对于业务增长至关重要。

如果您选择 WPOven 作为您的托管合作伙伴，那么您的决定是正确的，如果还没有，请迈出第一步，使用 WPOven 托管您的网站，并使用最先进的技术强化您的网站，这同时非常使用方便。

经常问的问题