如何保護您的 WordPress 網站：終極 WordPress 安全檢查清單

WordPress 有多安全？

通過 WordPress，我們指的是核心 WordPress 文件。 如果用戶檢查所有其他安全參數並遵循所有安全程序，WordPress 是非常安全的。 WordPress 管理員將所有核心文件保持為最新版本，並保持所有主題和插件更新，這一點很重要。

WordPress 安全插件

建議使用受信任的 WP 安全插件，如 Wordfence、Sucuri 或 All in One WordPress Security and Firewall。 這些插件有免費和付費版本​​。 這些安全插件會密切關注所有可疑活動並阻止攻擊。 您可以使用它們各自的儀表板輕鬆配置這些插件。

WPOven 服務器已經配備了這些安全插件的所有功能，您可以從 WPOven 儀表板進行配置和監控。

2023 年 5 個最佳 WordPress 安全插件

這些插件很便宜。 但在黑色星期五期間可以以更便宜的價格購買。

馬爾凱

我們推薦 Malcare，因為它帶有即時惡意軟件掃描和清理功能。 您可以使用此插件以最簡單的步驟自動清除您的網站。 它還提供內置的分期和非常好的支持。 起價僅為每年 99 美元。

現在下載

Sucuri 安全

Sucuri Security 是一個非常有效的 WP Security 插件，其功能包括安全活動審計、文件完整性監控、遠程惡意軟件掃描和黑名單監控，以及電子郵件通知。 它有免費和付費選項，每月訂閱從9.99 美元/月起。

現在下載

iThemes 安全

Itheme Security 是一個非常通用的安全插件，具有惡意軟件掃描、用戶操作記錄和在線文件比較等選項。 此外，此插件還內置了許多其他選項，例如更改 WordPress 儀表板的 URL、刪除 RSD 標頭信息、更改 wp-content 路徑等。它有免費和付費選項，每年訂閱從每年99 美元。

現在下載

WordFence 安全

Wordfence 具有最新的惡意軟件防火牆規則和惡意 IP 地址列表，具有國家阻止和禁用 2FA 或將 2FA 添加到 XML-RPC 等功能。 它有一個用於多站點的特殊版本，稱為 Wordfence Central，是一種在多站點環境中保護多個站點的行之有效的方法。 它有免費和付費選項，年度訂閱從每年119 美元起。

現在下載

安全出版社

SecuPress 是一個簡單的 WordPress 安全插件，具有惡意軟件掃描功能； 阻止機器人程序和可疑 IP。 這是一個簡單但有效的 WordPress 安裝，並將提供 PDF 安全報告。 它還負責使用安全的用戶名和密碼，其功能包括設置密碼有效期和禁止使用容易被猜到的用戶名。 它有免費和付費選項，年度訂閱從每年60 歐元起。

現在下載

閱讀：保護網站安全的 5 個最佳 WordPress 惡意軟件刪除插件

後門

• 黑客經常針對 WordPress 中非常規的漏洞點，例如 WordPress 核心包中的漏洞文件、主題或插件文件，以及來自不安全計算機的 FTP 訪問。
• 惡意文件可能類似於合法的 WordPress 文件，使它們難以識別和刪除。
• 後門文件可用於通過創建非法 WP 用戶和竊取用戶數據來利用 WordPress 站點。
• 使用 WordFence、SiteCheck 或 Sucuri 等插件定期更新和掃描您的文件可以幫助防止這些類型的攻擊並提高 WordPress 的安全性。

拒絕服務

• 使用來自受信任的開發人員的主題和插件對於避免代碼中易受攻擊的錯誤很重要。
• 在這種類型的攻擊中，黑客利用代碼中的弱點通過發出重複請求來增加服務器 RAM 使用率，這可能導致網站停止響應其他訪問者。
• 多個系統可以用來佔用一個資源，加劇了這個問題，並可能導致巨大的業務損失。
• 遵循安全編碼和網站管理的最佳實踐和技巧可以減少 WordPress 漏洞。

跨站點腳本 (XSS)：

• 黑客可以在您的 WordPress 安裝中註入易受攻擊的文件，以竊取網站訪問者的數據，包括重要密碼。
• 這些攻擊通常出現在由新開發者或不受信任的開發者開發的插件中。
• 跨站點腳本 (XSS) 攻擊通過 JavaScript 和 CSS 執行，可以通過各種方式危害網站訪問者，例如 cookie 盜竊、植入木馬、鍵盤記錄、網絡釣魚和身份盜用。
• XSS 攻擊的後果可能很嚴重，因為網站訪問者甚至可能沒有意識到他們的數據已被洩露。
• 為防止 XSS 攻擊，僅使用受信任的插件並將 WordPress 安裝和插件更新到最新版本非常重要。

閱讀：最常見的 WordPress 錯誤

惡意重定向

• 黑客可以使用重定向代碼將網站訪問者重定向到其他網站。
• 此重定向代碼通常被注入到文件中，通常是 .htaccess 文件。
• 當訪問者嘗試訪問您的網站或特定頁面時，他們將被重定向到惡意網站。
• 這可能會導致您的企業失去潛在客戶的信任

暴力登錄嘗試

• 黑客經常使用自動化腳本來識別弱密碼並獲得對 WordPress 儀表板的訪問權限。
• 暴力攻擊是黑客用來訪問網站後端的另一種常用方法，這可能導致個人和企業數據被盜、網站文件被刪除以及其他形式的損害。
• 可以通過實施限制登錄嘗試、在登錄屏幕上使用驗證碼以及啟用雙因素身份驗證登錄等措施來防止暴力攻擊。
• 這些措施對於確保您的 WordPress 網站的安全至關重要。

製藥黑客

• 將您的 WordPress 核心文件、主題文件和插件文件更新到最新版本。
• 黑客可以通過注入向訪問者顯示醫藥廣告的代碼來利用過時的文件，這些廣告通常會宣傳偉哥等非法藥物。
• 這些廣告可能會出現在頁面內或作為彈出窗口出現，從而導致網站訪問者失去信任。

網絡釣魚

• 黑客使用網絡釣魚電子郵件誘騙用戶點擊暴露其密碼的鏈接。 電子郵件看起來像是來自受信任的來源，但事實並非如此。
• 黑客可以使用您的服務器和 WordPress 安裝向受害者的電子郵件列表發送惡意電子郵件。
• 很難確定您的網站是否感染了網絡釣魚腳本，但定期掃描可以幫助避免此問題。

25 個最佳 WordPress 安全清單

• 尋找安全、可靠和值得信賴的 WordPress 託管
• 經常備份
• 在服務器上保持最新版本的 PHP
• 強大的用戶名和密碼
• DDOS防護
• HTTPS SSL證書
• 禁用 XML-RPC
• 禁用 PHP 文件執行
• 非活動用戶註銷
• 刪除未使用的主題和插件文件
• 盡可能少使用插件
• 將驗證碼或安全問題添加到登錄屏幕
• 強大的文件和文件夾權限
• 限制登錄嘗試
• 雙重身份驗證
• 更改默認登錄 URL
• 保護登錄 URL
• 更新數據庫前綴
• 禁用文件編輯
• 安全的 wp-config 文件
• 隱藏 WP 版本

1. 尋找安全、可靠和值得信賴的 WordPress 託管

如前所述，選擇對安全性非常講究、遵循高標準安全措施並具有良好支持系統的託管服務提供商非常重要。

一個好的託管服務提供商將始終：

• 警惕黑客的可疑活動，並設置檢查點以防止任何類型的攻擊。
• 通過持續監控服務器，使用最先進的工具來識別小型和大型攻擊。 您也可以在這裡免費查看網站監控。
• 所有腳本（包括最新的 PHP 版本）、軟件和硬件均採用最新技術並經常更新。
• 用戶防火牆和入侵檢測系統。
• 保持定期備份，並提供簡單和自動的備份和恢復選項。
• 針對惡意軟件、勒索軟件和其他病毒掃描所有文件。
• 提供 HTTPS 支持。
• 有優秀的支持人員在發生任何事件時採取行動。
• 提供專為滿足 WordPress 需求而設計的託管 WordPress 託管計劃。

閱讀：最佳 WordPress 維護服務和計劃 – WPOven

2.保持服務器最新版本的PHP

• 使用最新版本的 PHP 對於保持 WordPress 網站的基礎牢固非常重要，因為所有文件都是使用 PHP 代碼開發的。
• PHP 版本針對安全問題提供長達 2 年的支持，並在此期間提供必要的安全補丁。
• 低於 PHP 7.0 的版本是不安全的，而最新版本 PHP 7.3 針對速度和安全性進行了優化。
• WPOven 只使用 PHP 7.0 及以上版本，並允許用戶選擇他們想要使用的 PHP 版本，這減少了 WordPress 漏洞。

3.經常備份

• 建議經常備份您的 WordPress 網站文件和數據庫。
• 您可以手動進行備份，也可以使用 UpdraftPlus、VaultPress、BackupBuddy 等 WordPress 插件或任何其他備份插件進行備份。
• 您可以使用這些插件安排自動備份，並確保也有一個簡單的恢復選項。
• 為了在服務器出現任何問題時保證備份的安全，最好將它們保存在服務器之外。

WordPress 備份服務：

有一些異地 WordPress 備份服務可用於將備份存儲在雲中。 一些付費服務如下：

• VaultPress：它是一種基於訂閱的備份服務，以及包括定期掃描、垃圾郵件防禦系統、正常運行時間監控和其他安全功能在內的整體安全解決方案。
• WPOven ：在他們的服務中，他們將核心文件和數據庫備份到 Amazon S3 並具有一鍵式恢復功能。根據所選的軟件包，您可以選擇備份頻率（甚至每天 2 次），並在美國或歐盟服務器之間進行選擇。
• BlogVault：它是 WordPress 備份、遷移、暫存、還原和管理解決方案提供商，具有 100% 的還原率。

WordPress 備份插件：

您也可以使用一些免費且非常值得信賴的插件。 一些插件提供服務器上備份，而一些插件提供服務器外備份，將備份文件存儲在服務器外位置，如 AmazonS3、Google Cloud、Dropbox、MS Azure、Rackspace 等。

閱讀： 2023 年 10 個最佳 WordPress 備份插件（免費和付費）

4.使用強用戶名和密碼

• 使用強大且難以猜測的用戶名和密碼來確保您的 WordPress 網站安全。
• 每隔幾個月或幾週更改一次密碼，以增強 WordPress 網站的安全性。
• 避免使用默認和流行的用戶名“admin”作為 WordPress 的用戶名。
• 使用一鍵式安裝過程為 WordPress 管理儀表板生成極其安全的登錄詳細信息。
• 確保與您的 WordPress 網站關聯的所有其他密碼安全，包括 FTP、CPanel、電子郵件（與 WordPress 用戶帳戶關聯）、數據庫密碼等。

5.DDOS防護

DDOS 攻擊的嚴酷現實是，即使是最新版本的 WordPress 也無法阻止此類攻擊。 它只能通過保護託管服務器來防止。 您可以在 WordPress 網站上安裝一些第三方工具來防止它。

注意：如果您使用像WPOven這樣可靠且值得信賴的合作夥伴，您可以使用他們的工具來監控網站分析、服務器性能和資源使用數據。

識別資源使用的異常激增並通知您的服務提供商非常重要。

您的提供商可以檢查所有必要的日誌並採取必要的措施來阻止拒絕服務攻擊。

6.HTTPS SSL證書

網站所有者忽視了 SSL 的重要性，他們中的大多數人認為它只是一個標誌，只有當您的網站涉及金融交易時才需要。 網站上的 SSL 證書有助於在您的網站和用戶瀏覽器之間建立安全連接。

使用 HTTPS 的另一個額外好處是獲得更好的搜索引擎排名。

WPOven 通過一鍵式 LetsEncrypt 提供免費的 HTTPS 證書，為所有站點安裝自動續訂。

7.禁用 XML-RPC

• XML-RPC 允許使用單個命令執行多個進程，但可能會被黑客惡意用來入侵網站。
• 防止這種情況的最有效解決方案是為您的 WordPress 網站完全禁用 XML-RPC。
• 您可以使用可用的插件來禁用 XML-RPC，例如免費插件“Disable XML-RPC”或來自“Perfmait”的付費插件。

但是，如果您使用的是WPOven ，則無需擔心，因為默認情況下，它已在其所有託管網站的服務器上被禁用。

8. 禁用 PHP 文件執行

WordPress 安裝環境中有某些目錄不需要執行任何類型的 PHP。 此類目錄的一個示例是 wp-content 下的上傳子目錄。

要禁用該目錄，請在該特定目錄下創建一個新的 .htaccess 文件並將以下代碼粘貼到其中：

<Files *.php> Deny from all </Files>

9. 非活動用戶註銷

有時，用戶可以在未正確註銷的情況下關閉瀏覽器。 黑客可以利用這個機會闖入 WordPress 儀表板並獲取用戶憑據。 您可以使用插件在設定的持續時間後自動註銷非活動用戶。 這對您的 wp 安全非常重要。

10.刪除未使用的主題和插件文件

• 識別不需要的插件並將其從系統中刪除
• 刪除默認主題，例如二十十七和二十十九
• 僅保留一個默認主題作為主主題失敗時的後備選項
• 確保後備主題定期更新，即使它沒有被使用。

11. 最小化插件安裝

讓我們用一個例子來解釋這一點。 許多現代主題和頁面構建器（Avia、Thrive、Elementor 等）。 如果您的主題或您正在使用的頁面構建器已經具有聯繫表單元素，則您不需要單獨的聯繫表單插件來處理簡單的表單。 除非有特殊需要，否則建議避免使用額外的插件。 人們應該給予 WP 安全應有的重視。

12.將驗證碼或安全問題添加到登錄屏幕

另一種提高 WordPress 安全性的流行方法是在登錄屏幕上添加驗證碼或安全問題的簡單方法。 您可以使用可用的插件來執行此操作。

13.強大的文件和文件夾權限

這是防止您的網站受到攻擊的一個非常重要的步驟。 基本上有三種類型的文件權限（讀、寫、執行）。 為了獲得最佳和有效的網站性能，了解哪些文件需要什麼級別的權限非常重要。 您可以通過文件管理器或使用 FTP 軟件設置這些文件和文件夾權限。

但在 WPOven，一體式 wp 安全性通過其儀表板提供單擊文件權限。

14.限制登錄嘗試

黑客不斷嘗試使用密碼猜測登錄您的 WordPress。 您可以通過使用插件來限制登錄嘗試進行控制。

WPOven 的託管 WordPress 託管已經在其所有計劃中涵蓋了這一點。

15.雙因素身份驗證

• 啟用雙因素身份驗證以提高登錄安全性
• 雙因素身份驗證在登錄前需要額外的 OTP 代碼
• 您的手機通過短信或電話接收 OTP 代碼
• 使用 Google Authenticator 或 Duo 雙因素身份驗證等插件
• 這兩個插件都有各自的 Android 和 iPhone 應用程序
• 添加雙因素身份驗證後，登錄屏幕將有其他選項來發送身份驗證代碼
• 正確輸入手機收到的生成碼即可登錄
• 雙因素身份驗證是防止暴力攻擊的好方法。

16.更改默認登錄 URL

黑客尋找 WordPress 儀表板的默認登錄 URL，即 websitename.com/wp-login.php 或 websitename.com/wp-admin/。 一個明顯的解決方案是將登錄 URL 更改為其他內容。 您可以使用WPS 隱藏登錄插件或高級Perfmatters插件等插件之一來執行此操作。

17.保護登錄URL

您可以使用 HTTP 身份驗證來保護您的 WordPress 管理員登錄 URL。 每當有人試圖訪問管理 URL 時，他/她將必須使用額外的用戶名和密碼才能訪問此鏈接。 您可以在此處閱讀有關錨鏈接的更多信息

注意：請勿在電子商務或任何擁有需要登錄的會員的網站上使用它。

18.更新數據庫前綴：

默認情況下，WordPress 安裝使用像 wp_ 這樣的表前綴，這使得黑客更容易猜測。 避免這種情況的明顯方法是將表前綴更改為其他東西，這不容易被黑客猜到。

您可以在安裝時執行此操作：

WPOven 的WordPress 安裝為其每個網站生成一個隨機表前綴。 這將減少您的 WordPress 安全問題。

19.禁用文件編輯

• WordPress 網站的管理員用戶可以通過儀表板中的編輯器訪問主題文件。
• 這使得主題文件容易受到無意更改和有意攻擊。
• 為防止這種情況，您可以禁用文件編輯。
• 您可以通過將以下代碼行添加到 wp-config.php 文件來執行此操作：

define('DISALLOW_FILE_EDIT',true);

WPOven用戶可以使用站點鎖定功能一鍵完成此操作。

20.保護 wp-config 文件：

WordPress 安裝下的 wp-config.php 文件包含數據庫登錄詳細信息和其他身份驗證密鑰，以及有關數據庫的其他詳細信息（如表前綴和數據庫主機 URL）。

有多種方法可以保護它，如下所述：

• 更改 wp-config.php 文件的位置
• 在 wp-config 文件中更改默認的 WP 安全密鑰
• 通過適當的文件權限拒絕訪問 wp-config.php

更改 wp-config 位置：默認情況下，wp-config 文件位於 WordPress 安裝的根目錄中。您只需創建另一個不在易於訪問的位置的 wp-config 文件，並將其用作原始 wp-config 文件中的參考。

更改默認的 WP 安全密鑰：每個 wp-config 中有 4 種隨機生成的字母數字密鑰：AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY和NONCE_KEY。您可以使用此 WP Security Key 工俱生成新的隨機密鑰。

更改文件權限：建議將文件權限更改為 400，這樣外部源就無法讀取它。或者，如果 400 對 WP 安裝正常工作造成某種問題，您可以將其設置為 440。

21.隱藏WP版本

如果攻擊者知道您使用的是哪個版本的 WordPress，他就可以利用特定於該版本的漏洞。 因此，建議完全隱藏它。 您可以通過在functions.php文件中添加一小段代碼來完成此操作。 這減少了您的 WordPress 漏洞

function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');

除了出現在標題中之外，您還可以通過自述文本文件識別 WordPress 版本。 您可以從安裝中刪除此文件 (readme.html)。

22.定期掃描：

您可以使用安全插件定期運行掃描並觀察原始文件是否有任何更改。 有一些在線工具，您也可以使用它們找到可疑文件。 例如，使用這個名為 WPSec 的免費工具，您可以找出在線安全掃描結果。

23.保持主題和插件更新

• WordPress、主題開發人員和插件開發人員經常發布新版本。
• 建議使用最新版本的 WordPress 安裝使所有內容保持最新。
• 較新的版本帶有安全補丁，可以抵禦新的病毒和惡意軟件。
• 過時的版本容易受到攻擊並且缺乏開發人員的支持。

WPOven in one wp security Dashboard 提供了一個界面來查看已安裝的插件和主題，它們可以直接從儀表板更新：

24.使用可信的主題和插件：

• 在安裝任何新主題或插件之前，請檢查其評級、評論和安裝數量以確保其質量。
• 此外，檢查變更日誌以查看開發人員更新版本的頻率。
• 安裝前檢查插件或主題是否與您的 WordPress 版本兼容。
• 檢查開發人員的歷史記錄和他們創建的其他產品，以確保他們的體驗和產品質量。
• 通過 WPOven 註冊，您可以獲得免費的高級 WordPress 主題和插件。

25.保護 WordPress 媒體文件

使用 Prevent Direct Access (PDA) Gold，只需單擊幾下，即可保護 WordPress 媒體文件免受 Google 索引和直接文件 URL 訪問。 事實上，該插件為上傳到 WordPress 媒體庫的任何文件提供批量保護，包括但不限於 PDF、DOCX、PPTX、PNG、JPG、MP4 和 MP3。

PDA Gold 使您能夠將直接文件訪問限制為僅授權用戶。 這意味著文件訪問權限可以設置為管理員、登錄用戶，甚至特定用戶和自定義成員資格。

此外，您可以創建無限制的過期下載鏈接，然後與一組用戶和訂閱者共享。 這些下載鏈接將在一段時間或點擊後自動失效。

最後但同樣重要的是，PDA Gold 提供了一個直觀的用戶界面來立即保護您的 WordPress 網站：

• 隱藏 WordPress 版本
• 防止圖片盜鏈
• 保護 WordPress 上傳文件夾
• 阻止直接訪問 WordPress 敏感文件，例如 readme.html 和 license.txt
• 使用文件夾保護功能保護上傳和/或根目錄下的任何文件

您可以在其他資源中找到有關最近安全問題的詳細信息。 他們來了：

• WPScan 漏洞數據庫：這是 WordPress、主題、插件和 API 中所有已識別漏洞的目錄。 用戶可以向此提交他們自己的事件，以使其他用戶了解這些問題。
• ThreatPress：這是另一個由其研發團隊每天更新的漏洞數據庫。

結論：

上面的文章一定讓您對如何確保 WordPress 的安全有了很好的了解，但重要的是要了解並認識到一個好的託管服務提供商是您確保網站安全的合作夥伴。 您的網站就是您的業務的代名詞，安全的網站可以增強您對潛在客戶的信任，這對於業務增長至關重要。

如果您選擇 WPOven 作為您的託管合作夥伴，那麼您的決定是正確的，如果還沒有，請邁出第一步，使用 WPOven 託管您的網站，並使用最先進的技術強化您的網站，這同時非常使用方便。

經常問的問題