WordPress 安全性：保護 WordPress 網站的終極指南

網絡犯罪處於歷史最高水平，黑客和惡意軟件在廣闊的網絡環境中肆虐。 Google 每週都會將 20,000 多個網站列入黑名單，因為它們存在​​惡意軟件，並將 50,000 多個網站列為潛在的網絡釣魚網站！ 讓數字沉入片刻。 因此，出於本次閱讀的目的，我們整理了一份綜合指南來幫助您提高 WordPress 安全性。

您會看到，如果您的網站未能遵守最佳安全實踐，那麼您的網站及其所有內容都會遭到黑客攻擊。 但是，不僅僅是您的內容在線，因為不安全的網站也會受到谷歌搜索算法的懲罰。

黑客和惡意軟件不僅對您的網站內容構成危險，而且對訪問您網站的人也構成威脅。 因此，如果您未能遵守基本的安全準則——順便說一句，這很容易做到——谷歌將在 SERP（搜索引擎結果頁面）上將你降級。

幸運的是，WordPress 用戶可以訪問專用插件和超直觀的界面，這可以幫助您大幅提高 WordPress 的安全性。 因此，無需再讓您等待，以下是我們提高 WordPress 安全性的 10 多種方法：

提高 WordPress 安全性的 10 多種方法

1.安裝備份插件

這裡的概念很簡單——現在安全好過以後後悔！

通過備份您的在線內容和數據庫，即使在不幸成為黑客和惡意軟件的犧牲品的情況下，一切也能保持安全。 這使得安裝備份插件成為 WordPress 安全 101 的第一章，並將其置於優先級列表的頂部。

像我們的 WPvivid Backup Plugin 這樣的備份插件可以對您的整個 WordPress 網站（包括數據庫）進行自動常規備份。 您可以將其配置為將備份安排為每週或每天。 備份的數據通常存儲在單獨的雲存儲平台中——要么由插件本身提供，要么在不同的現有平台（如 Google Drive、Amazon S3、Dropbox 等）中。

現在，如果稍後您的網站因惡意軟件或黑客而中斷，您的所有數據仍然可以訪問，您可以將備份恢復到您的網站以使其恢復到以前的工作狀態。 請記住掩蓋黑客或惡意軟件用來進入您網站的安全漏洞，以免再次發生。

話雖如此，如果您正在尋找一些關於除了我們的 WPvivid 備份插件之外的備份插件用於提高您的 WordPress 安全性的建議，那麼這裡有一些選項：

• UpDraftPlus
• BackWPup

2. 安裝防火牆插件來監控您的 WordPress 網站

與您在台式機/筆記本電腦上設置的防火牆軟件類似，防火牆插件將監控傳入流量並阻止常見的安全威脅到達您的 WordPress 網站。

這些插件通常是指由惡意簽名和列入黑名單的 IP 地址組成的數據庫，以掃描到您網站的潛在威脅，並立即阻止它們。

如您所見，它就像安裝 WordPress 插件一樣簡單，但通過防止黑客、惡意軟件、蠕蟲和病毒進入您的網站來提高您的 WordPress 安全性。

3.為管理員登錄設置一個強密碼

當您考慮它時，訪問您的 WordPress 後端儀表板並不是什麼大不了的事。 這是常識，在 WordPress 站點 URL 的末尾添加“/wp-admin”會將用戶帶到管理員登錄頁面。 這裡唯一限制訪問網站後端的方法就是猜測用戶名和密碼。

現在，由於用戶名“admin”幾乎總是與 WordPress 網站相關聯，黑客唯一需要做的就是猜測密碼，然後他們就可以直接訪問您的所有網站內容和數據。 想像一下是不是很可怕？

考慮到所有這些，您可以採用的最明顯的 WordPress 安全增強功能是使您的密碼極其複雜，即使通過蠻力也難以破譯。 這包括創建至少包含 10-12 個字符的較長密碼。 還要記住在密碼中使用大寫字母、小寫字母、數字和特殊字符。

為了避免自己最終忘記它，把它寫在你知道它會安全可靠的地方。

4.自定義管理員用戶名

與更改 WordPress 管理員登錄密碼類似，您還應該考慮更改易於預測的默認用戶名 - admin。 因此，現在黑客需要破譯密碼以及正確的用戶名才能進入您網站的後端，從而成倍地提高您的 WordPress 安全性。

但是話雖如此，更改默認管理員用戶名還是有些困難。 首先，您需要登錄到您的WordPress 後端 > 用戶 > 添加新用戶，然後創建一個新用戶（使用新用戶名），並將用戶角色設置為 -管理員。 完成後，使用新用戶帳戶登錄並刪除默認的“admin”用戶帳戶，從而迫使黑客不僅破譯正確的密碼，還破譯您的新用戶名。 或者，您可以使用用戶角色編輯器插件管理和編輯用戶角色。

5.自定義登錄網址

到目前為止，我們討論瞭如何讓黑客難以猜測您的 WordPress 後端登錄憑據。 但是，更好的 WordPress 安全策略是完全拒絕黑客訪問您的登錄屏幕。

如前所述，您網站後端登錄頁面的默認 URL 包括您的網站 URL，後跟“/wp-admin”。 但是，您是否知道您可以將網站登錄 URL 的最後一部分自定義為您可以想像的任何不同的字母數字字符串，例如 – “/zero-hackers-allowed”。

但是，請注意，這不是 CMS（內容管理系統）的默認功能，您需要安裝 WordPress 插件（如WPS Hide Login ）來幫助您。 一旦安裝並激活，該插件將允許您更改登錄 URL，以便黑客無法輕易訪問 wp-login.php 頁面和 wp-admin 目錄。

到目前為止，我們不僅讓黑客很難猜出正確的密碼和用戶名組合來訪問我們的網站，而且我們還有效地隱藏了登錄頁面以防窺探。 正如您可以想像的那樣，這大大提高了您的 WordPress 安全性，並使暴力攻擊幾乎不可能。

6.為數據庫用戶設置強密碼

如果您的網站有多個用戶，其中一些用戶可以直接訪問您的數據庫或其他敏感信息，請確保他們為自己的帳戶設置了強密碼。 黑客同樣有可能通過利用您網站上的其他用戶來嘗試進入您的網站。 考慮到這一點，任何鬆散的結局都是潛在的漏洞和安全威脅。

您可以按照前面提到的步驟強制用戶為其帳戶分配強密碼。 或者，您可以使用第三方插件強制用戶創建強密碼以完成他們的帳戶創建過程。

7. 啟用 SSL（HTTP 到 HTTPS）

SSL 是 Secure Sockets Layer 的縮寫，是 Internet 上的標準安全協議，用於在客戶端和服務器之間創建加密連接。 激活後，您會注意到 URL 開頭的 HTTP 文本已替換為 HTTPS 或 HTTP 安全。 通過啟用 SSL 證書，您可以讓黑客在服務器和客戶端之間傳輸數據時更難竊取數據。

Google 也非常重視 SSL 認證。 例如，仍然使用 HTTP 的網站在 Google Chrome 瀏覽器上顯示為“不安全”。 此外，他們還受到搜索引擎算法的懲罰。 另一方面，SSL 認證網站的 HTTPS 由搜索引擎授予。 因此，我們將安裝 SSL 作為 seo 新 WordPress 博客的第一步。

這兩點應該足以讓您在您的網站上安裝 SSL 證書——尤其是當您認為它不是那麼麻煩時。 首先，大多數流行的網絡託管服務都包含免費的 SSL 證書。 如果您沒有免費獲得，您可以使用Let's Encrypt輕鬆獲得。

您甚至可以訪問專用的 WordPress SSL 插件 – 真正簡單的 SSL 將 HTTP 轉換為 HTTPS 並提高您的 WordPress 安全性。

8. 將 wp-config 移至比根目錄更高的級別

默認情況下，wp-config.php 位於與您的 WordPress 博客/網站相同的文件夾中。 這可能是一場安全噩夢，因為該文件包含您的 MySQL 數據庫用戶名、密碼、WordPress 身份驗證密鑰和其他敏感數據。

如果有人掌握了這個文件，那麼他們基本上可以完全控制您網站的每一個細節。 這就是為什麼即使是WordPress 法典也建議用戶將 wp-config.php 從默認根目錄移到不具有公共訪問權限的更高級別文件夾的原因。

這可以通過在 .htaccess 文件夾中包含以下代碼片段來輕鬆實現：

 <文件 wp-config.php>

命令允許，拒絕

否認一切

</文件>

如您所見，它確實涉及弄亂您的 WordPress 網站的核心文件，因此建議您在繼續執行此步驟之前進行備份。

9. 當文件夾沒有 index.php 文件時，防止使用 .htaccess 列出目錄

目錄列表，也稱為目錄瀏覽，允許任何用戶查看您網站上各個文件夾（目錄）的內容。 正如您可以想像的那樣，這需要極大的安全問題，因為黑客可以毫不費力地瀏覽您的所有不同文件並找到潛在的漏洞以侵入您的網站。

現在，為了保護 WordPress CMS，某些目錄確實包含一個 index.php 文件，當有人進入該文件夾時，服務器會立即運行/加載該文件。 這可以防止旁觀者瀏覽您的目錄並訪問您的站點結構。

但是如果 index.php 文件不存在怎麼辦？

即使這樣，通過對 .htaccess 文件進行細微調整也可以輕鬆解決這些問題。 您只需在 .htaccess 末尾添加以下行並保存即可。

 選項所有索引

完成後，如果用戶嘗試訪問任何缺少 index.php 文件的目錄，則會向用戶顯示 403 訪問被禁止或 404 頁面未找到錯誤。

10. 定期更新 WordPress

WordPress 非常受歡迎，為萬維網上 30% 以上的網站提供支持。 這使得 CMS 成為黑客和惡意行為者的主要目標。 他們總是忙於在代碼中尋找安全漏洞和漏洞，他們可以利用這些漏洞來訪問您網站的數據。

同樣，WordPress 開發團隊也在積極尋找漏洞和安全漏洞，以便在黑客利用它們之前對其進行修補。 因此，升級到最新版本的 WordPress 不僅僅是為了訪問新的特性和功能，還要確保代碼沒有任何黑客可以利用的缺陷。

現在，一旦新的 WordPress 更新發布，包括黑客在內的全世界都可以了解以前版本中存在的安全漏洞。 如果您拖延將您的網站快速升級到最新版本，那麼黑客可以利用您網站上現在已知的安全漏洞，使您的 WordPress 安全性比以前弱得多。 此外，由於 WordPress 是使用 PHP 構建的，因此將您的 WordPress 網站升級到最新的 PHP 版本以提高您的網站性能和安全性也很重要。 請記住在進行任何更新之前對您的網站進行完整備份！

11.刪除WordPress版本號

儘管您應該始終在新的 CMS 更新發布後立即升級您的 WordPress 網站，但有時，這並不是您可以做出的最佳決定。 延遲站點升級的一些可能原因可能是由於更新錯誤、當前插件和主題的兼容性問題等等。

但是，正如我們剛剛討論的那樣，推遲升級確實會讓您面臨大量的安全威脅和黑客攻擊。 但是，如果您可以從您的網站中刪除 WordPress 版本號，則可以避免這種情況。 這就是為什麼黑客不會立即知道您的網站是在舊版本上運行的，這會降低您被新發現的安全漏洞利用的機會。

現在，要從您的網站中刪除 WordPress 版本號，您需要轉到 functions.php 文件並輸入以下代碼片段：

 功能 remove_wordpress_version() {
返回 '​​';
}
add_filter('the_generator', 'remove_wordpress_version');

這將從您的頭文件和 RSS 提要中刪除 WordPress 版本號，確保黑客無法猜測您使用的 WordPress 版本。

綜上所述

因此，這些是我們為提高 WordPress 安全性而推薦的一些提示和技巧。 我們希望您發現此閱讀內容對您有所幫助，並且它是使您的網站更加安全的有用資源。

如您所見，只需遵循一些基本的一兩個步驟並安裝一些安全插件，就可以進行許多改進。 現在，您還應該注意一些技術方面。 但是，如果您剛開始使用 WordPress 博客/網站，則無需擔心太多。

但是隨著您的網站不斷增長，請務必意識到黑客會更加努力地闖入並造成麻煩。 因此，請始終了解最新的安全趨勢，更不用說涵蓋上面討論的所有技術步驟，例如移動 wp-config 文件和密碼保護數據庫。

考慮到所有這些，鼓勵有經驗的用戶參與對話並添加他們的個人策略，以確保他們的網站免受黑客和惡意軟件的侵害。 您的同行讀者將從您的見解中受益匪淺，這可能有助於他們保護他們的網站免受潛在的網絡威脅。

如果您也有興趣，這裡是我們關於如何通過博客獲利的綜合指南。