2023 年如何保護您的 WordPress 網站（詳細教程）

WordPress 已成為世界上最受歡迎的內容管理系統 (CMS) 之一，超過 44% 的網站基於其構建。 與任何在線平台一樣，安全性應該是您最關心的問題。 在這篇文章中，我們將研究 WordPress 安全問題，並提供有關如何確保 WordPress 網站安全的提示。

讓我們深入了解一下。

WordPress 安全嗎？

多半是對的。 WordPress 開發人員努力通過定期進行補丁和更新來維護其平台的安全性。 然而，由於 WordPress 是建立在開源框架之上的，黑客可以分析它的構建方式，並經常開發新的方法來控制 WordPress 網站。 因此，WordPress 的安全性至關重要。 了解與使用 WordPress 相關的風險對於更好地了解如何保護您的網站非常重要。

WordPress 安全問題

運營 WordPress 網站時，需要注意一些潛在風險。 最令人擔憂的問題之一是黑客。 由於 WordPress 如此受歡迎，它吸引了不法分子的注意，他們試圖利用過時的插件或核心文件等漏洞來獲得對您網站的未經授權的訪問。 他們可以採用後門、發起暴力攻擊、藥物攻擊、拒絕服務 (DoS) 攻擊或跨站點腳本 (XSS) 等方法。

如果不解決，可能會造成嚴重後果，例如惡意軟件（旨在竊取您網站訪問者信息的惡意代碼）、將您的網站轉發到完全不同的網站、添加您不知道的內容、可能會損害您的排名的 Google 警告SERP，或者更糟糕的是，無法登錄您的網​​站。

如何保護您的 WordPress 網站

以下部分將探討增強 WordPress 安全性的最佳實踐，以保護您的網站免受潛在威脅。

訂閱我們的 YouTube 頻道

WordPress 安全：選擇好的 WordPress 託管

第一步是與一家優秀的 WordPress 託管公司合作。 由於可用的選擇如此之多，因此很難確定如何選擇合適的主機。 如果您是初學者，最好選擇一個好的託管提供商，例如 SiteGround，它將提供 WordPress 的所有安全更新，同時還維護安裝它的服務器。 對於那些更精通技術的人來說，雲託管提供商（例如 Cloudways）是一個絕佳的選擇。

任一選項都會為您提供確保網站安全所需的所有工具，包括：

• 免費 SSL 證書
• Web 應用程序防火牆 (WAF)
• SFTP訪問
• 分佈式拒絕服務 (DDoS) 保護
• 惡意軟件防護

確保您的 WordPress 登錄安全

為了提高 WordPress 安全性，您可以做的另一件簡單的事情是鎖定您的登錄憑據。 這可以通過多種方式完成，包括使用插件將登錄 URL 從 /wp-admin 更改為您選擇的內容。 您還可以在登錄中添加雙因素身份驗證 (2FA) 並限制登錄嘗試，這將有助於抵禦機器人。

保護您的登錄信息的另一種方法是使用 WordPress 的 Google Apps 登錄信息將其鏈接到您的 Google 帳戶。 一旦您的登錄被鎖定，您應該將用戶的 IP 地址列入白名單。 這確保只有註冊用戶才能進入，即使他們已經設法找出您的密碼。

使用一套 WordPress 安全插件

您可以做的另一件非常有用的事情是安裝一個好的安全插件，例如 iThemes Security。 它將允許您添加 2FA、限制登錄嘗試、安排備份以及隱藏您的 WordPress 登錄信息。

除了 WordPress 安全插件之外，如果您的主機不提供備份，還可以考慮安裝一個好的備份插件，例如 UpdraftPlus。 備份插件可以保護您免於丟失網站文件，從而幫助您避免從頭開始重建 WordPress。 如果出現問題，您可以輕鬆地恢復您的網站。 最後，合併像 WP Activity Log 這樣的活動日誌插件將允許您查明出了什麼問題以及何時出現問題。

保持 PHP 更新

WordPress 需要三件事才能正常工作：PHP、MySQL 和 HTTPS 支持。 PHP，即超文本預處理器，是一種用於 Web 開發的流行開源腳本語言，也是 WP 的支柱。 與 WordPress 一樣，開源使得惡意行為者有機可乘。 為了避免這些潛在問題，最好保持 PHP 更新。 它不僅有助於提高 WordPress 的安全性，還可以使您的網站保持最佳運行狀態。

選擇強密碼

WordPress 安全性最重要的方面之一是選擇強密碼進行登錄。 弱密碼或容易猜到的密碼會使您的網站容易受到未經授權的訪問，並使您的網站暴露於殭屍網絡。 殭屍網絡是被惡意軟件感染並受到黑客控制的計算機的集合。 它們是互聯網上 DDoS 攻擊的主要原因，但您可以通過採取正確的預防措施來防止您的網站成為它們的受害者。

例如，您可以通過確保所有用戶遵守密碼策略來保護您的網站。 一種很好的方法是安裝密碼策略生成器等插件。

WordPress 安全：保持軟件更新

WordPress 安全的另一個簡單步驟是保持 WordPress 核心、插件和主題更新。 讓軟件過時可能會給您的網站帶來負面影響，包括安全漏洞、WordPress 白屏死機或任何常見錯誤。

您可以自行更新或啟用自動更新。 什麼適合您取決於幾個因素，包括時間、專業知識以及您安裝的 WordPress 運行的軟件類型。 無論您是處理更新還是選擇自動更新，您都應該在執行任何更新之前進行備份。

安裝 SSL 證書

如果您與優秀的託管提供商合作，隨之而來的好處之一就是免費的 SSL 證書。 但是，在某些情況下，您可能需要自己安裝一個。 大多數提供商（例如 SiteGround）都提供免費的 SSL，只需幾分鐘即可安裝。 當您閱讀本文時，您可能會問：“為什麼我需要 SSL 證書？”。 讓我們解釋一下。

圖片由 Valery Brozhinsky 提供 | Shutterstock.com

SSL（安全套接字層）將超文本傳輸協議 (HTTP) 擴展為安全超文本傳輸協議 (HTTPS)，添加了加密和額外的安全層。 例如，通過 HTTP 進行購買的消費者可能面臨信用卡信息被利用的風險。 另一方面，如果他們通過 HTTPS 進行相同的購買，他們的信息將受到保護。 如果沒有這種安全連接，您的網站及其訪問者就會暴露並容易受到攻擊。 這就是為什麼在任何新網站上安裝 SSL 證書至關重要。

進行安全審計

一旦您採取措施保護您的網站，偶爾進行 WordPress 安全審核就很重要。 正如技術每天都在變化一樣，黑客的工具庫也在不斷變化。 惡意軟件和其他策略會定期出現，因此保護您的 WordPress 網站並不是一件一勞永逸的事情。 安排定期安全檢查，並查找您的網站可能存在問題的跡象。 如果您發現您的網站加載緩慢、流量下降、您發現了未添加的新鏈接，或者您經歷了過多的登錄嘗試，則可能是時候運行安全掃描以確保您的網站保持安全。

高級 WordPress 安全技術

除了上面列出的步驟之外，還有一些更高級的技術可以合併到您的網站中以增強 WordPress 安全性。

強化 wp-config.php 文件

黑客的一個常見入口點是 WordPress 網站的 wp-config.php 文件。 它包含有關數據庫的信息，包括名稱、主機、用戶名和密碼。 讓這個重要的文件保持打開狀態可能是有害的，因此隱藏它始終是一個好主意。

移動您的 wp-config.php 文件

要移動 wp-config，您可以將其拖到站點的根文件夾（公共 HTML）中，只要對站點進行 ping 操作，WordPress 就會查找它。 但是，如果您網站的文件結構包含 htaccess 文件，您可以使用以下代碼添加指令以拒絕對其進行訪問，從而進一步保護它：

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

注意：在執行此操作之前，請確保您的託管提供商尚未採取措施為您移動 wp-config 文件。 有些主機（例如 Kinsta）會自動執行此操作以確保您的網站安全。

更改 WordPress 鹽鍵

保護 wp-config 文件的另一種方法是更改​​站點的鹽密鑰。 這些密鑰添加了額外的保護層，同時將密碼保存到數據庫、登錄 cookie 以及其他重要的 WordPress 安全方面。 如果黑客能夠獲取您的鹽密鑰，他們就可以訪問您網站的數據庫和文件，包括存儲的信用卡信息、密碼和其他重要信息。 因此，建議定期更換。

更改文件權限

默認情況下，根目錄中的文件設置為 644，這意味著它們既可讀又可寫，從而容易受到不良行為者的攻擊。 根據 WordPress 的說法，這些不應保留默認權限。 相反，它們應該更改為 440 或 400，以防止同一服務器上的其他人讀取它們。 但是，在對文件權限進行任何更改之前，請務必諮詢您的託管提供商。 他們可能擁有獨特的系統，因此更改權限可能會導致您的網站中斷。

禁用 XML-RPC

XML-RPC 是一個 WordPress API，可讓您將網站連接到第三方應用程序和工具。 近年來，它被暴力攻擊利用，允許訪問 WordPress 網站。 它主要用於建立 Zapier 連接或通過應用程序遠程訪問您的站點。 如果您不使用任何這些連接，則應在服務器上禁用 XML-RPC。

有多種方法可以做到這一點，包括通過 htaccess 禁用它、使用代碼片段或使用插件。 最高級的方法 htaccess 對於初學者來說可能很棘手，因此最推薦的方法是使用代碼片段。

對於 htaccess 方法，請使用 FTP 客戶端訪問站點的文件，然後將以下代碼添加到 htaccess 文件中：

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

注意：請務必將 IP 123.123.123.123更改為您自己的。

或者，您可以使用 AIOSEO 插件的工具htaccess 選項卡插入代碼：

如果您希望使用代碼片段禁用 XML-PRC，則可以使用 WPCode 插件輕鬆完成。 它有一個內置代碼片段，您可以使用它來禁用 API。

隱藏 WordPress 版本

在 WordPress 安全方面，這是一個經常被忽視的步驟，但卻是一個重要的步驟。 默認情況下，WordPress 會在您網站的代碼中留下痕跡，顯示安裝的版本。 這可能看起來無害，但通過訪問網站的源代碼，黑客可以確定您正在運行的 WordPress 版本。 如果它已經過時，他們可以使用該信息通過注入惡意軟件或惡意腳本來侵入您的網站。

因此，作為額外的 WordPress 安全措施，請隱藏您網站的 WordPress 版本，以使黑客更難控制您的網站。 有一些很好的方法可以做到這一點。 您可以實現一個代碼片段插件來刪除源代碼中的行，也可以創建一個子主題並將其放入您的functions.php 文件中。

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

或者，如果您想刪除元標記、數據庫查詢字符串和RSS 源中的 WP 版本，請使用以下代碼：

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

如果您的 WordPress 網站被黑客入侵該怎麼辦

即使您所做的一切都是正確的，您也可能會發現自己的網站遭到黑客攻擊。 值得慶幸的是，您可以採取一些步驟，包括將站點置於恢復模式、從最近的備份恢復或重置密碼。 如果其他方法都失敗，您的託管提供商可能會提供幫助。

關於 WordPress 安全性的最終想法

通過採取必要的步驟來提高 WordPress 的安全性，您可以確保您的網站繼續正常運行，同時對訪問者來說是安全的。 雖然 WordPress 提供了巨大的優勢和易用性，但了解其缺點也很重要。 值得慶幸的是，有許多 WordPress 安全插件（例如 iThemes）可以幫助保持一切正常。

尋找有關 WordPress 的更多信息？ 查看我們的一些深入文章，它們將立即將您轉變為 WordPress 專家：

• 如何安裝 WordPress：權威指南
• 2023 年 10 個最佳 WordPress 託管選項（精選）
• 2023 年 31 個最佳 WordPress 插件（您需要的一切）
• 2023 年 10 個最佳 WordPress 主題（比較和排名）

特色圖片來自 Pikovit/shutterstock.com