2023 年如何保护您的 WordPress 网站（详细教程）

WordPress 已成为世界上最受欢迎的内容管理系统 (CMS) 之一，超过 44% 的网站基于其构建。 与任何在线平台一样，安全性应该是您最关心的问题。 在这篇文章中，我们将研究 WordPress 安全问题，并提供有关如何确保 WordPress 网站安全的提示。

让我们深入了解一下。

WordPress 安全吗？

多半是对的。 WordPress 开发人员努力通过定期进行补丁和更新来维护其平台的安全性。 然而，由于 WordPress 是建立在开源框架之上的，黑客可以分析它的构建方式，并经常开发新的方法来控制 WordPress 网站。 因此，WordPress 的安全性至关重要。 了解与使用 WordPress 相关的风险对于更好地了解如何保护您的网站非常重要。

WordPress 安全问题

运营 WordPress 网站时，需要注意一些潜在风险。 最令人担忧的问题之一是黑客。 由于 WordPress 如此受欢迎，它吸引了不法分子的注意，他们试图利用过时的插件或核心文件等漏洞来获得对您网站的未经授权的访问。 他们可以采用后门、发起暴力攻击、药物攻击、拒绝服务 (DoS) 攻击或跨站点脚本 (XSS) 等方法。

如果不解决，可能会造成严重后果，例如恶意软件（旨在窃取您网站访问者信息的恶意代码）、将您的网站转发到完全不同的网站、添加您不知道的内容、可能会损害您的排名的 Google 警告SERP，或者更糟糕的是，无法登录您的网站。

如何保护您的 WordPress 网站

以下部分将探讨增强 WordPress 安全性的最佳实践，以保护您的网站免受潜在威胁。

订阅我们的 YouTube 频道

WordPress 安全：选择好的 WordPress 托管

第一步是与一家优秀的 WordPress 托管公司合作。 由于可用的选择如此之多，因此很难确定如何选择合适的主机。 如果您是初学者，最好选择一个好的托管提供商，例如 SiteGround，它将提供 WordPress 的所有安全更新，同时还维护安装它的服务器。 对于那些更精通技术的人来说，云托管提供商（例如 Cloudways）是一个绝佳的选择。

任一选项都会为您提供确保网站安全所需的所有工具，包括：

• 免费 SSL 证书
• Web 应用程序防火墙 (WAF)
• SFTP访问
• 分布式拒绝服务 (DDoS) 保护
• 恶意软件防护

确保您的 WordPress 登录安全

为了提高 WordPress 安全性，您可以做的另一件简单的事情是锁定您的登录凭据。 这可以通过多种方式完成，包括使用插件将登录 URL 从 /wp-admin 更改为您选择的内容。 您还可以在登录中添加双因素身份验证 (2FA) 并限制登录尝试，这将有助于抵御机器人。

保护您的登录信息的另一种方法是使用 WordPress 的 Google Apps 登录信息将其链接到您的 Google 帐户。 一旦您的登录被锁定，您应该将用户的 IP 地址列入白名单。 这确保只有注册用户才能进入，即使他们已经设法找出您的密码。

使用一套 WordPress 安全插件

您可以做的另一件非常有用的事情是安装一个好的安全插件，例如 iThemes Security。 它将允许您添加 2FA、限制登录尝试、安排备份以及隐藏您的 WordPress 登录信息。

除了 WordPress 安全插件之外，如果您的主机不提供备份，还可以考虑安装一个好的备份插件，例如 UpdraftPlus。 备份插件可以保护您免于丢失网站文件，从而帮助您避免从头开始重建 WordPress。 如果出现问题，您可以轻松地恢复您的网站。 最后，合并像 WP Activity Log 这样的活动日志插件将允许您查明出了什么问题以及何时出现问题。

保持 PHP 更新

WordPress 需要三件事才能正常工作：PHP、MySQL 和 HTTPS 支持。 PHP，即超文本预处理器，是一种用于 Web 开发的流行开源脚本语言，也是 WP 的支柱。 与 WordPress 一样，开源使得恶意行为者有机可乘。 为了避免这些潜在问题，最好保持 PHP 更新。 它不仅有助于提高 WordPress 的安全性，还可以使您的网站保持最佳运行状态。

选择强密码

WordPress 安全性最重要的方面之一是选择强密码进行登录。 弱密码或容易猜到的密码会使您的网站容易受到未经授权的访问，并使您的网站暴露于僵尸网络。 僵尸网络是被恶意软件感染并受到黑客控制的计算机的集合。 它们是互联网上 DDoS 攻击的主要原因，但您可以通过采取正确的预防措施来防止您的网站成为它们的受害者。

例如，您可以通过确保所有用户遵守密码策略来保护您的网站。 一种很好的方法是安装密码策略生成器等插件。

WordPress 安全：保持软件更新

WordPress 安全的另一个简单步骤是保持 WordPress 核心、插件和主题更新。 让软件过时可能会给您的网站带来负面影响，包括安全漏洞、WordPress 白屏死机或任何常见错误。

您可以自行更新或启用自动更新。 什么适合您取决于几个因素，包括时间、专业知识以及您安装的 WordPress 运行的软件类型。 无论您是处理更新还是选择自动更新，您都应该在执行任何更新之前进行备份。

安装 SSL 证书

如果您与优秀的托管提供商合作，随之而来的好处之一就是免费的 SSL 证书。 但是，在某些情况下，您可能需要自己安装一个。 大多数提供商（例如 SiteGround）都提供免费的 SSL，只需几分钟即可安装。 当您阅读本文时，您可能会问：“为什么我需要 SSL 证书？”。 让我们解释一下。

图片由 Valery Brozhinsky 提供 | Shutterstock.com

SSL（安全套接字层）将超文本传输​​协议 (HTTP) 扩展为安全超文本传输​​协议 (HTTPS)，添加了加密和额外的安全层。 例如，通过 HTTP 进行购买的消费者可能面临信用卡信息被利用的风险。 另一方面，如果他们通过 HTTPS 进行相同的购买，他们的信息将受到保护。 如果没有这种安全连接，您的网站及其访问者就会暴露并容易受到攻击。 这就是为什么在任何新网站上安装 SSL 证书至关重要。

进行安全审计

一旦您采取措施保护您的网站，偶尔进行 WordPress 安全审核就很重要。 正如技术每天都在变化一样，黑客的工具库也在不断变化。 恶意软件和其他策略会定期出现，因此保护您的 WordPress 网站并不是一件一劳永逸的事情。 安排定期安全检查，并查找您的网站可能存在问题的迹象。 如果您发现您的网站加载缓慢、流量下降、您发现了未添加的新链接，或者您经历了过多的登录尝试，则可能是时候运行安全扫描以确保您的网站保持安全。

高级 WordPress 安全技术

除了上面列出的步骤之外，还有一些更高级的技术可以合并到您的网站中以增强 WordPress 安全性。

强化 wp-config.php 文件

黑客的一个常见入口点是 WordPress 网站的 wp-config.php 文件。 它包含有关数据库的信息，包括名称、主机、用户名和密码。 让这个重要的文件保持打开状态可能是有害的，因此隐藏它始终是一个好主意。

移动您的 wp-config.php 文件

要移动 wp-config，您可以将其拖到站点的根文件夹（公共 HTML）中，只要对站点进行 ping 操作，WordPress 就会查找它。 但是，如果您网站的文件结构包含 htaccess 文件，您可以使用以下代码添加指令以拒绝对其进行访问，从而进一步保护它：

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

注意：在执行此操作之前，请确保您的托管提供商尚未采取措施为您移动 wp-config 文件。 有些主机（例如 Kinsta）会自动执行此操作以确保您的网站安全。

更改 WordPress 盐键

保护 wp-config 文件的另一种方法是更改​​站点的盐密钥。 这些密钥添加了额外的保护层，同时将密码保存到数据库、登录 cookie 以及其他重要的 WordPress 安全方面。 如果黑客能够获取您的盐密钥，他们就可以访问您网站的数据库和文件，包括存储的信用卡信息、密码和其他重要信息。 因此，建议定期更换。

更改文件权限

默认情况下，根目录中的文件设置为 644，这意味着它们既可读又可写，从而容易受到不良行为者的攻击。 根据 WordPress 的说法，这些不应保留默认权限。 相反，它们应该更改为 440 或 400，以防止同一服务器上的其他人读取它们。 但是，在对文件权限进行任何更改之前，请务必咨询您的托管提供商。 他们可能拥有独特的系统，因此更改权限可能会导致您的网站中断。

禁用 XML-RPC

XML-RPC 是一个 WordPress API，可让您将网站连接到第三方应用程序和工具。 近年来，它被暴力攻击利用，允许访问 WordPress 网站。 它主要用于建立 Zapier 连接或通过应用程序远程访问您的站点。 如果您不使用任何这些连接，则应在服务器上禁用 XML-RPC。

有多种方法可以做到这一点，包括通过 htaccess 禁用它、使用代码片段或使用插件。 最高级的方法 htaccess 对于初学者来说可能很棘手，因此最推荐的方法是使用代码片段。

对于 htaccess 方法，请使用 FTP 客户端访问站点的文件，然后将以下代码添加到 htaccess 文件中：

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

注意：请务必将 IP 123.123.123.123更改为您自己的。

或者，您可以使用 AIOSEO 插件的工具htaccess 选项卡插入代码：

如果您希望使用代码片段禁用 XML-PRC，则可以使用 WPCode 插件轻松完成。 它有一个内置代码片段，您可以使用它来禁用 API。

隐藏 WordPress 版本

在 WordPress 安全方面，这是一个经常被忽视的步骤，但却是一个重要的步骤。 默认情况下，WordPress 会在您网站的代码中留下痕迹，显示安装的版本。 这可能看起来无害，但通过访问网站的源代码，黑客可以确定您正在运行的 WordPress 版本。 如果它已经过时，他们可以使用该信息通过注入恶意软件或恶意脚本来侵入您的网站。

因此，作为额外的 WordPress 安全措施，请隐藏您网站的 WordPress 版本，以使黑客更难控制您的网站。 有一些很好的方法可以做到这一点。 您可以实现一个代码片段插件来删除源代码中的行，也可以创建一个子主题并将其放入您的functions.php 文件中。

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

或者，如果您想删除元标记、数据库查询字符串和RSS 源中的 WP 版本，请使用以下代码：

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

如果您的 WordPress 网站被黑客入侵该怎么办

即使您所做的一切都是正确的，您也可能会发现自己的网站遭到黑客攻击。 值得庆幸的是，您可以采取一些步骤，包括将站点置于恢复模式、从最近的备份恢复或重置密码。 如果其他方法都失败，您的托管提供商可能会提供帮助。

关于 WordPress 安全性的最终想法

通过采取必要的步骤来提高 WordPress 的安全性，您可以确保您的网站继续正常运行，同时对访问者来说是安全的。 虽然 WordPress 提供了巨大的优势和易用性，但了解其缺点也很重要。 值得庆幸的是，有许多 WordPress 安全插件（例如 iThemes）可以帮助保持一切正常。

寻找有关 WordPress 的更多信息？ 查看我们的一些深入文章，它们将立即将您转变为 WordPress 专家：

• 如何安装 WordPress：权威指南
• 2023 年 10 个最佳 WordPress 托管选项（精选）
• 2023 年 31 个最佳 WordPress 插件（您需要的一切）
• 2023 年 10 个最佳 WordPress 主题（比较和排名）

特色图片来自 Pikovit/shutterstock.com