忙碌的自由职业者的 WordPress 安全指南 (2024)

尽管 WordPress 的构建是为了安全，但它并不完全安全。它需要定期维护，当您管理客户的 WordPress 时，您的责任会更大。

本 WordPress 安全指南列出了自由职业者和代理机构自动为其客户的 WordPress 网站提供安全保护的有效“一劳永逸”方法。对于您加入的每个新客户，请遵循此清单以防范未来的威胁。

准备好？让我们开始吧。

保护 WordPress 网站的 16 个 WordPress 安全策略

正如 WordPress 安全性在于遵循最佳实践一样，使用可靠、值得信赖的工具也同样重要，您可以设置并忘记。话虽如此，这里是 WordPress 安全策略，以及正确实施这些策略的正确工具和可行步骤。

1.为客户站点选择安全托管

建立坚实的基础至关重要。对于 WordPress 网站，首先要选择安全、针对 WordPress 优化的网络托管。您客户的所有网站数据都将存储在网络托管中，因此使用值得信赖的主机（例如 SiteGround）至关重要。

选择 SiteGround 的 WordPress 优化托管计划是完美的，因为它提供了完整的安全性 - 它将处理我们将在本文中讨论的大部分策略。

例如，通过 SiteGround，您可以免费获得安全优化器和速度优化器插件，因此您无需购买第三方选项。它会自动安装和更新 WordPress 版本以保持最新。最后，它还包括高级缓存解决方案、Web 应用程序防火墙 (WAF)、每日备份以及免费 CDN 和 SSL 证书。

SiteGround 以其屡获殊荣的 24/7 客户支持而闻名，因此您不必 24/7 为您的客户提供服务。当您无法联系时，您可以利用 SiteGround 的支持来回复您的客户。为了简化事情，因为您将管理多个客户端，选择可以为您处理大部分事情的网络托管是明智且合乎逻辑的。

获取站点地面

SiteGround 提供的内容比我们讨论的要多得多。阅读这篇文章，了解 SiteGround 的 WordPress 优化托管功能，以便您可以充分利用它们的潜力。

2.使用值得信赖的WordPress主题

同样，使用信誉良好、安全且值得信赖的 WordPress 主题可以降低可能破坏客户网站的黑客攻击或性能问题的风险。像 Divi 这样的优质主题还可以为您带来许多好处，例如定期更新、HTTPS 安全性、插件兼容性以及漏洞防护。

Divi 是一个安全的 WordPress 主题，受到超过一百万网站所有者的信任。这是一个高度可定制的主题，可让您设计任何网站类型并使用其高级工具套件编辑其每个角落：

• 可视化拖放构建器，通过移动元素来设计网站
• Divi Quick Sites 可在两分钟内生成功能齐全的网站
• Divi AI 让AI为您创建网站
• 还有许多工具，例如内置的对比测试、数千个预先设计的页面布局和数百个内容元素，可以构建独特的网站。

但 Divi 真正脱颖而出的是它对安全的关注。以下是我们如何确保 Divi 是 Divi 用户的安全主题：

• 定期更新：我们更新 Divi 并修复错误，以确保其安全并针对最佳性能进行优化。
• 与安全插件的兼容性： Divi 旨在与流行的 WordPress 安全插件兼容，因此您可以轻松增强客户网站的安全性。
• 全面的文档和支持：您可以访问我们的详细文档和专门支持，以安全地配置主题并解决任何安全问题。
• 用户身份验证和访问控制： Divi 登录表单模块允许您将访问限制为仅授权成员。
• 最大限度地减少第三方依赖性：Divi 通过减少对第三方脚本和库的依赖，最大限度地减少外部代码的潜在安全风险。
• 性能优化：增强的性能降低了拒绝服务 (DoS) 攻击的风险，间接提高了使用 Divi 的网站的整体安全性。

您的客户可能不会，但您知道安全的重要性，因此请为他们的所有网站使用 Divi 等安全主题。 Divi 不仅安全，而且非常适合代理机构和自由职业者。 Divi 的年费为89 美元，您可以无限次下载和安装，因此无需为每个客户购买单独的许可证 - 一个 Divi 会员资格足以管理您的投资组合网站。

获取迪维

3. 在一个仪表板中跟踪所有站点

在没有跟踪工具的情况下手动管理多个 WordPress 网站可能很快就会失控。登录不同的 WordPress 仪表板、记住用户名和密码以及跟踪更新可能会变得令人难以承受。这就是为什么您应该使用像 Divi Dash 这样的 WordPress 站点管理器。

Divi Dash 是一款 WordPress 网站管理器，可让您确保客户的网站始终保持最新状态。您可以在一个仪表板中跟踪客户的 WordPress、插件和主题更新。它还会向您显示站点运行状况、数据库和 WordPress 报告，以便您可以在一处优化所有网站，而无需登录各个站点。您可以使用 Divi Dash 执行以下任务：

• 批量更新WordPress、插件和主题
• 安排插件、主题和 WordPress 的自动更新
• 一键登录客户的 WordPress 仪表板
• 通过删除垃圾评论、垃圾帖子等来优化 WordPress 数据库。
• 提前监控并修复站点健康问题
• 协作并将用户角色分配给团队成员

WordPress 管理仪表板简化了在一处维护多个站点的安全性。借助 Divi Dash，您可以通过自动更新来进一步优化它，以避免忽视的风险，而忽视可能会导致未来的威胁。

最棒的是，只要您拥有 Divi 会员资格，Divi Dash 就完全免费。当您以89 美元购买 Divi 会员资格时，您可以在优雅主题会员区域访问 Divi Dash，因此无需单独支付 WordPress 站点管理器费用。

获取 Divi Dash（Divi 免费）

4. 保持 WordPress、主题和插件更新

不更新 WordPress、插件和主题就像为威胁敞开大门一样。如果不定期更新，您客户的站点就会变得容易受到攻击，因为这些更新通常可以解决关键的安全问题。因此，保护​​客户网站安全最重要的事情就是保持 WordPress、主题和插件处于最新状态。

然而，说起来容易做起来难，尤其是对于管理网站组合的自由职业者和机构而言。这对手动操作来说是一项挑战，但使用 Divi Dash 则不然，它可以让您通过几次点击在一个仪表板中批量更新和安排不同 WordPress 网站的自动更新。

您可以使用“更新”部分右上角的“更新所有内容”按钮来更新所有内容。您可以通过访问网站、主题和插件来查看各个插件、主题或网站。您还可以在特定的日期和时间自动更新，这样您就可以设置它并忘记它。

养成保持 WordPress、主题和插件最新的规则。 Divi Dash（您的 Divi 会员免费）使管理 WordPress 变得轻而易举。您可以批量更新或安排自动更新，以避免跟踪所有内容。

5、以扎实的安全保障强化安全保障

更新 WordPress、插件和主题不足以提高网站安全性。您需要一个专用的 WordPress 安全插件（例如 Solid Security）来启用必要的设置并自动保护客户的网站。

可靠的安全性的主要特点

• 恶意软件扫描
• 暴力攻击预防
• 双因素身份验证 (2FA)
• 限制登录尝试
• 强密码执行
• 文件权限检查
• 禁用 XML-RPC（针对 DDoS 攻击和暴力尝试）
• 更改默认 WordPress 登录 URL
• 禁用目录索引
• wp-admin 的 IP 白名单
• 自动数据库备份
• HTTP 安全标头
• 用户活动记录和监控
• 文件更改检测和警报

通过使用 Solid Security，您可以自动执行许多关键的安全任务，最大限度地降低人为错误的风险，同时确保客户的 WordPress 网站受到持续监控和保护。

本文中提到的许多任务都可以单独使用这个插件来处理！

获得可靠的安全保障

然而，仅仅安装插件是不够的。您需要配置正确的设置才能部署最佳的安全性。这是我们有关配置 Solid Security 的深入教程。

6.启用 2FA 并限制登录尝试

多个用户登录和退出 WordPress 可能会带来安全风险。因此，您需要跟踪 WordPress 用户登录。您可以执行一些操作，例如设置 2FA、限制登录尝试以及隐藏 WordPress 登录 URL。

首先，设置 2FA 仅允许授权用户（例如您的客户、您和团队成员）访问 WordPress。要设置 2FA，您可以安装 Solid Security 插件，该插件仅在用户输入正确的身份验证代码时才允许成功登录。

接下来，您应该限制登录尝试。黑客尝试多种密码组合来获得未经授权的访问。通过设置限制，您可以降低这些攻击的风险并保护敏感数据。 Solid Security 还允许您设置强力保护。

最后，您需要隐藏客户的 WordPress 登录 URL，使黑客难以猜测用户名和密码。使用 Solid Security 的隐藏后端设置来修改登录 URL 并隐藏默认 URL。它是最好的安全插件之一，但您还可以检查 JetPack 了解更多功能。

获得可靠的安全保障

7. 分配所需的用户权限

您还需要确保仅将必要的权限分配给具有特定用户角色的团队成员，以便有限的人员拥有完整的站点访问权限。理想情况下，您的客户应该具有管理员访问权限，但他们可能不会经常管理其网站。对于这些情况，您可以将访问权限分配给受信任的团队成员。

与 WordPress 角色编辑器不同，Divi Dash 和 Divi 角色编辑器允许您轻松地精细管理用户访问。

只需单击一下即可添加更多用户、删除用户以及登录站点。 Divi Teams 还与 Divi Dash 合作，因此您的所有团队成员都可以免费访问 Divi Dash。他们不需要追踪您所有客户的用户名和密码——Divi Dash 会将它们与每个客户和用户个人资料一起存储。

使用Divi 角色编辑器，您可以根据每个客户端的特定请求更改不同用户角色的访问权限。例如，要限制商店经理对 Divi Page Builder 的访问，请禁用商店经理的 Page Builder 设置。

使用 Divi Dash 和 Divi Role Editor 监控用户访问并保护您的客户端站点免受未经授权的访问。通过仅授予团队成员必要的权限，您还可以保护管理员设置等关键页面。

为了提高安全性，您还应该定期监控客户网站上的用户活动。要自动执行此步骤，请安装 WP 活动日志插件，该插件会跟踪并通知您可疑活动。

获取 WP 活动日志

8. 自动阻止垃圾邮件

随着客户网站的发展，垃圾评论和表单提交的风险也会增加。为了避免手动清理垃圾邮件，请使用 Solid Security 进行自动保护：

• 黑名单功能：阻止已知的垃圾邮件 IP 地址或整个范围以防止访问。
• reCAPTCHA 集成：集成 Google reCAPTCHA 以保护电子邮件、评论和联系表单，确保只有真实用户才能提交条目。
• 机器人阻止：防止机器人通过评论部分、联系表格和注册表单发送垃圾邮件。

虽然 Solid Security 提供了强大的一般保护，但您可以通过添加专门的反垃圾邮件插件（例如 CleanTalk）来进一步增强防御，该插件可以跨评论、表单和 WooCommerce 页面提供实时垃圾邮件过滤。

每隔一段时间，您就可以使用 Divi Dash 手动优化客户的 WordPress 数据库。对于客户的网站，滚动到“优化”部分，然后单击“全部删除”。这将清除垃圾评论和垃圾项目。

通过结合 Solid Security、CleanTalk 和 Divi Dash，您可以有效保护客户的网站免受垃圾邮件的侵害，同时简化清理过程。

9. 自动化 WordPress 备份

WordPress网站需要定期备份，以便当黑客危害您的网站时，您可以快速恢复未受损的版本并恢复您的网站。作为自由职业者或代理机构，手动备份每个站点可能具有挑战性，尤其是当您必须每天执行此操作时。

您可以自动执行定期备份，以便每天自动下载客户站点的最新版本并将其存储在云存储中，而无需您的参与。有了 UpdraftPlus，一切皆有可能。

它创建每日备份，将其存储在云存储上，并通过加密来保护存储的数据。

UpdraftPlus 还包括一个易于使用的迁移工具，只需单击几下即可复制整个网站或将其移动到新主机。这使得您的网站更新速度更快，减少了停机时间，并消除了转移网站的常见麻烦。

请阅读我们深入的 UpdraftPlus 评论，以正确配置它并启用更多设置来提高站点安全性。

获取UpdraftPlus

10. 设置自动恶意软件扫描

跳过定期的恶意软件扫描可能会使您客户的网站成为黑客的容易攻击目标。这可能会导致信息被盗、搜索排名下降以及失去客户信任。

但是，手动检查每个站点需要时间，并且您可能会错过一些威胁。为了让事情变得更简单，请使用 JetPack，它会自动扫描安全问题并实时检测威胁，从而保证站点安全，而无需您不断监控它们。

另一个不错的选择是 Solid Security，它还提供强大的恶意软件扫描和自动监控功能。

通过这种方式，您可以自动扫描所有客户端站点的恶意软件，并保护它们免受在线威胁。您不需要手动执行此操作；该插件可以做到这一点。您只会收到任何可疑活动的通知，以便您可以立即采取行动并避免发生事故。

获取喷气背包

11. 使用 CDN 防御 DDoS 攻击

DDoS 是分布式拒绝服务的缩写，攻击意味着垃圾邮件流量淹没您的网站，使其无法被真实用户访问。您的网站越受欢迎，就越容易受到 DDoS 攻击的影响。

如果没有 CDN，WordPress 网站很容易受到 DDoS 攻击，过多的流量可能会导致网站速度变慢甚至崩溃。像 Cloudflare 这样的内容交付网络 (CDN) 通过将流量分散到全球许多服务器来帮助保护您的网站。这可以使网站在高流量期间平稳运行，并使访问者的页面加载速度更快。

如果您使用 Siteground，您将获得 Cloudflare 及其 WordPress 托管计划。由于 Cloudflare 和 Siteground 是集成的，因此在 WordPress 网站上激活 Cloudflare 和配置 DNS 记录变得很容易。

获取 Cloudflare

12.安装SSL证书

客户经常忽略安装 SSL 证书，但他们不知道这会极大地影响他们的站点安全。如果没有 HTTPS 加密，用户和网站之间的数据可能会被篡改，从而可能泄露敏感信息。

如果您使用值得信赖且安全的 WordPress 托管服务，那么这不是问题。像 Siteground 这样的主机可以轻松激活 SSL 证书。转到SSL管理器并输入您想要 HTTPS 加密的域。

获取站点地面

13.删除未使用的主题和插件

您可能想知道保留未使用的主题或插件有什么危害。问题是，如果不更新，这些主题和插件可能会使网站容易受到攻击。

与保持所有内容更新一样重要的是删除未使用的主题和插件。为此，您可以使用 Divi Dash 单独查看每个客户站点。不活动的主题和插件被标记为“不活动”。选择并卸载它们。

这是一次性的做法，但要定期进行练习，以删除不需要的主题和插件，以确保您的网站安全并优化以获得快速性能。

使用 Divi 主题免费获取 Divi Dash

14.自动注销空闲用户

您的一些团队成员在完成当天的工作后仍保持 WordPress 登录状态。这可能会导致黑客在入侵您团队成员的设备后劫持您客户的网站。这就是为什么您需要在 WordPress 用户变得不活动后自动注销。

要解决此问题，请安装 Inactive Logout 插件，该插件会在一段时间后自动注销空闲用户。设置您希望在不活动后注销用户的时间，仅此而已。

15.启用Web应用程序防火墙（WAF）

Web 应用程序防火墙 (WAF) 是一种安全工具，用于监视和过滤传入流量，以保护 WordPress 站点免受 SQL 注入、跨站点脚本 (XSS) 和 DDoS 攻击等恶意攻击。启用 WAF 至关重要，因为它为客户的站点添加了重要的保护层并防止漏洞被利用。

好处是 Cloudflare 提供内置 WAF 作为其服务的一部分，使您可以保护客户的网站免受各种网络威胁，而无需单独配置 WAF 系统。

获取 Cloudflare

16. 客户站点的外包支持

即使一切都正确，您客户的网站也会遇到一些小错误或错误，这可能会给黑客提供进入的机会。这就是为什么您应该定期监控站点并修复出现的任何错误和问题。

问题是，网站很多，你如何跟上？如果您是 Divi 用户并选择了 Divi VIP，您可以为您的客户提供高级支持，无需额外费用。

这意味着您和您的客户都可以获得 24/7 的支持，响应时间为 30 分钟或更短。每当出现问题时，Divi 专家都会在那里解决问题，无需您干预。不要忘记，通过 Divi VIP，您可以在 Divi Marketplace 上获得独家折扣。

从正确的基础开始

客户 WordPress 网站的安全性取决于坚实的基础。借助合适的 WordPress 主机和强大的主题，您可以保护您的客户免受许多威胁。 Siteground 和 Divi 是一个安全的组合，具有不可抗拒的优势：

• Siteground 提供针对WordPress 优化的托管服务，具有 Cloudflare 等内置安全功能、安全插件、每日备份、缓存解决方案以及对站点问题的一流支持。
• Divi 是一款一体化、高度可定制的 WordPress 主题和页面构建器（也适用于第三方主题），具有独特的功能，如拆分测试、条件、主题构建器等，可帮助您构建令人惊叹的网站你的客户。
• Divi 还包括更多内容。例如，访问用于社交媒体和电子邮件选择的高级插件（Bloom 和 Monarch）、在几分钟内生成网站的 Divi Quick Sites、无限制的安装和下载，以及为您提供高效运行客户网站的完整解决方案的高级支持。
• Divi Dash 是免费的，您的 Divi 会员资格只需89 美元/年。您无需支付单独的 WordPress 站点管理器来管理客户端站点的费用。

获取迪维

面向管理客户的自由职业者的 WordPress 安全常见问题解答