10 WordPress安全的最佳实践

WordPress网站占网络的40％以上，使其成为网络犯罪分子的主要目标。从小型博客到企业网站，它的受欢迎程度都带有一个陷阱：黑客不断寻求利用它的方法。单一的安全失误可能导致污损的页面，被盗的数据或完整的网站收购，昂贵的时间，金钱和信任。好消息是，确保您的WordPress网站并不一定要复杂。它始于智能和可行的习惯。在这篇文章中，我们将探讨WordPress的最佳安全实践，以保护您的网站和您的安心免受威胁。

让我们开始。

10 WordPress安全的最佳实践

这十种实践的重点清单应对最大的风险，例如过时的软件，较弱的登录和服务器端差距，同时易于实施。这些步骤有助于阻止攻击，最大程度地减少损害，并使您的网站平稳运行，从而为当今最常见的威胁提供平衡的防御。

1。保持WordPress核心，主题和插件已更新

保护您的WordPress网站的最简单步骤之一是将其核心软件，主题和插件保持最新。过时的软件是黑客的操场，使他可以访问您的网站。每个未列出的版本都可以具有黑客可以使用自动脚本利用的已知漏洞。例如，旧插件可能具有允许恶意代码注入的缺陷，而过时的WordPress Core可能会使您的站点暴露于升级攻击。

主题也发挥作用；带有未解决的代码的被忽视的主题可以成为麻烦的切入点。开发人员不仅为新功能发布更新，还可以修补这些安全孔。以Divi这样的主题为例。这是其灵活性和前端视觉构建器的流行选择，但是通常没有引起注意的是我们如何努力地进行更新以解决安全性和性能。坚持使用良好的主题，例如Divi，这意味着您不太可能处理废弃的代码，这是免费或鲜为人知的主题的常见风险。将其与保持WordPress和您的插件的最新状态相结合，您将拥有坚实的基础。

使用网站管理工具进行更新

手动检查更新可能很乏味，尤其是在管理多个站点时。这是站点管理工具派上用场的地方。他们通知您可用的更新，让您单击几下应用它们，甚至可以自动化该过程。

Divi Dash是一个不错的选择，尤其是如果您是Divi用户。此免费工具（随附Divi许可证）提供了一个集中式仪表板，可在无限网站上监视和更新WordPress Core，主题和插件。您甚至可以安排更新以按照您的条款运行，在不大力的情况下确保您的网站安全。

Divi Dash可以通过购买Divi许可证免费在无限网站上免费使用。

获取Divi + Divi Dash

通过在更新之前（无论是通过Divi Dash还是其他工具），您不仅要维护您的网站，还可以强化威胁。这与WordPress的安全性最佳实践完全一致，确保在利用漏洞之前对其进行修补。

2。使用强密码和两因素身份验证（2FA）

密码是您网站的第一道防线，但弱派是对黑客的公开邀请。网络犯罪分子使用蛮力攻击，通过通用密码（例如密码123）骑自行车或从数据泄露到偷窃的凭据到几秒钟内破解弱登录。一个折衷的帐户可以移交您的WordPress网站的完全控制，让攻击者窃取数据，编辑页面或安装恶意软件。使用字母，数字和符号的混合物使猜测或破解密码的成倍困难。放弃默认用户名（例如管理员）同样重要，因为它们是黑客尝试的第一件事。

但是，强密码并非万无一失。您还需要两因素身份验证（2FA）。它通过除了密码以外的内容，例如发送到手机或由应用程序生成的代码来增加第二层安全性。即使他们掌握了您的密码，也没有第二个因素。使用正确的工具，在WordPress上设置2FA非常容易。诸如Solid Security之类的安全插件可以在几分钟之内启用它，并为所有用户使用它来实施它。

选择插件，启用2FA，然后将任何默认用户名交换为独特的东西。这些简单的举动为未经授权访问您的网站造成了强大的障碍，这是WordPress安全性最佳实践的基石。

3。雇用安全的用户角色和权限

每个可以通过恶意，错误或黑客式帐户进行访问的用户都是潜在的切入点。使用安全的用户角色和权限限制访问是降低内部违规风险的强大方法。如果贡献者的帐户被妥协，则只有编辑特权的攻击者无法安装插件或删除页面，但是管理员漏洞可能会造成灾难。不需要访问所有内容的用户还增加了意外损害的几率，从而使受限的访问权限成为防御威胁和错误的保障。

WordPress具有内置的用户角色，使这一简单明了：管理员，编辑，作者，贡献者和订户，每个人的控制水平都降低。根据某人的需求分配最小特权。例如，应该制作博客作者，以便他们可以创建和发布帖子，但不能触摸网站的设置。不管您分配用户的角色是什么，为您自己或真正需要管理插件，主题或核心设置的值得信赖的少数人保留管理帐户。通过收紧权限，您将缩小攻击表面并保持站点的敏感区域锁定。

4。选择一个安全的托管提供商

您的WordPress托管提供商不仅仅是将WordPress网站停放的地方 - 它是您安全策略的基础。即使您已经确定了其他所有最佳练习，也可以揭示不良的主人。托管极大地影响了安全性：它决定了服务器级的保护措施，修补了漏洞的速度以及您的数据是否免受违规或攻击引起的停机时间的安全。廉价或鲜为人知的主人可能会在防火墙，更新或备份上跳过，将您的网站转变为黑客悬挂的水果。另一方面，安全的提供商的行为就像要塞一样，在您知道他们在那里之前，将您的网站避免威胁。

选择WordPress主机时，请确定强大的安全功能。查找免费的SSL证书，以在您的网站和访问者之间加密数据。 Web应用程序防火墙（WAF）是必须的，滤除了SQL注射和跨站点脚本尝试等恶意流量。自动备份可以使您免受勒索软件或意外数据丢失的损失，而DDOS保护在交通洪水期间可在线保持网站。

像Hostinger和Siteground这样的提供商脱颖而出是托管的最佳选择。 Hostinger提供免费的SSL，每天的备份，每日备份和安全性以阻止威胁，所有这些都以预算友好的价格。 Siteground用自定义的WAF，AI驱动的反机器人工具，自动备份等等，以确保您的网站被锁定并燃烧。选择合适的主机是WordPress最佳安全实践的关键部分。

5。安装良好的安全插件

WordPress没有足够强大的内置安全工具来抵御现代威胁，但是良好的安全插件可以弥合该差距。我们已经介绍了一些安全插件如何帮助您使用2FA确保您的网站安全，但是它们通常所做的远远超过了。他们可以实时监视可疑活动和阻止威胁，例如蛮力攻击和恶意软件，并在情况完全失控之前提醒您。如果没有安全插件，您就依靠希望而不是主动防御，将您的网站暴露于可以通过正确的设置阻止冷的风险。

有一些出色的选项可供选择。 WordFence是一个受欢迎的免费选择，提供实时威胁，防火墙和恶意软件扫描，所有这些都以不断更新的威胁数据库为支持。 Sucuri带来了基于云的防火墙和深层恶意软件清理工具，如果您需要保护服务器以外的保护，则非常理想。前面提到的另一个插件（可靠的安全性）专注于易用性，锁定登录以及几下修补常见问题。

6。定期备份您的网站

无论您的WordPress网站有多安全，事情都会出错 - 黑客，服务器崩溃，甚至失败的插件更新都可以立即消除您的辛勤工作。定期备份是您的安全网，通过使您将站点恢复到污点前状态，从而减轻损害。如果攻击者使用恶意软件或勒索软件将您锁定出去，那么最近的备份意味着您可以不付钱或从头开始就回滚。意外失败也是如此，备份将潜在的灾难变成小打ic。没有一个人，您就可以赌博网站的生存。

许多好的托管提供商（例如Cloudways）包括自动备份作为计划的一部分，每天或每周节省快照。但是，并非所有托管提供商都这样做。这就是为什么备份插件至关重要的原因。添加备份解决方案可以使您更加控制和安心。

UpdraftPlus每天，每周或每月备份计划，将它们牢固地存储在Google Cloud，Dropbox和其他选项上。其他人，例如JetPack备份，提供实时保存和一键式还原。这样的插件可确保您拥有可以随时随地访问的网站副本。设置它，忘记它，并知道您的网站准备从任何事物中反弹。这是WordPress最佳安全实践的关键要素。

7。使用HTTPS和SSL证书

由安全套接字层（SSL）证书提供动力的HTTPS在您的网站和访问者之间加密数据，使其免受邪恶演员的安全。没有它，黑客可以通过中间人（MITM）攻击拦截登录，表格或付款详细信息。 SSL还可以阻止内容篡改并提高信任，因为没有SSL的网站被浏览器标记为不安全。当潜在客户遇到这样的错误时，它会吓到他们，可能永远不会返回您的网站。

有几种方法可以获得SSL证书，包括通过托管提供商或从Namecheap这样的提供商购买一张SSL证书（免费选项）（免费选项）。大多数信誉良好的主机捆绑捆绑套件免费SSL证书，有时在注册时自动配置。使用SiteGround，您可以通过站点工具仪表板激活它，并单击几下将其翻转到HTTP。

Siteground还允许您使用内置工具执行HTTP。 SSL处于活动状态后，您可以在服务器级别强制所有流量到HTTP。使用其速度优化器插件，它们还提供了一种简单的方法，可以通过WordPress仪表板执行HTTPS。通过将HTTP链接转换为HTTPS，使HTTPS的HTTPS重定向和自动修复内容混合了内容，从而使您的网站无警告。

8。监视和审核网站活动

尽早发现可疑活动可以阻止违规行为，然后才能达到无回报的地步。在不进行监控的情况下，您对威胁视而不见，直到造成损害。活动日志揭示了谁在做什么以及允许您快速发现危险信号并果断地做出响应。

良好的活动日志插件使此插件毫不费力。 WP活动日志记录用户操作，插件更改和登录尝试，并定期进行评论揭示了危险信号。

对于Divi用户，Divi Dash为其历史工具提供了强大的替代方案。该功能可从优雅的主题成员区域访问，可完整概述所有连接网站上的用户活动和插件更新。您可以通过特定网站，时间范围，操作或类型过滤，从而易于找到信息。

将Divi Dash的历史记录工具与常规检查配对可以使您领先于潜在的威胁，将站点管理和一个直观的软件包融合在一起。监视是WordPress安全最佳实践中通常被忽视的一部分，但对于保持主动是至关重要的。

9。限制访问文件编辑

WordPress的内置代码编辑器使管理员可以直接从仪表板调整主题和插件，但它是一把双刃剑。虽然方便地进行快速编辑，但此工具是一个明显的安全风险。如果攻击者遇到管理员访问权限，他们可以利用编辑器注入恶意代码，例如后门，间谍软件或重定向脚本，所有这些单击几下。即使没有这些不好的演员，精通技术的诚实错误也可能崩溃您的网站或暴露新漏洞。左启用，这是对混乱的公开邀请，将一个折衷的帐户变成了一场成熟的灾难。禁用IT迫使通过更安全的通道（例如FTP或登台站点）进行编辑，您可以在其中短信并保持备份方便。

要锁定网站的文件编辑器，您可以编辑网站的wp-config.php文件。该文件控制关键设置，例如数据库连接，用户凭据等等，使其成为执行范围内的范围规则（例如禁用编辑器）的理想地点。一个简单的片段可确保更换棒在服务器级别，从而保护您的站点免受损害。

您可以使用诸如WPCode之类的插件插入片段或直接编辑WP-Config文件，直接通过在所有内容上方添加一行，请停止编辑注释：

// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

保存片段，编辑从仪表板中消失，以最小的努力封锁了一个危险的入口点。

10。通过禁用不必要的功能来硬化WordPress

WordPress具有默认功能 - 例如XML-RPC，上传中的文件执行和目录浏览 - 在特定情况下可以方便，但通常用作黑客诱饵。禁用这些附加功能，使您的网站的脆弱性修剪，使其成为更艰难的目标，而无需牺牲核心功能。

禁用XML-RPC

以XML-RPC为例。这是一个烤入WordPress的协议，最初旨在让外部应用程序远程与您的网站交谈。它具有pingbacks和Trackbacks之类的功能功能，当有人链接到您的内容时通知您。但是今天，它的实用性已经消失。现代工具改为依靠REST API，而Pingback在很大程度上已经过时（和垃圾邮件）。同时，XML-RPC仍然是安全责任。黑客将其用于蛮力攻击，洪水登录尝试，甚至通过用请求压倒服务器来启动DDOS攻击。除非您使用需要它的旧插件，否则将其禁用会插入攻击者喜欢探测的孔。

您可以通过在functions.php中添加摘要（需要子主题）或使用WPCode将其放入网站而无需触摸主题文件而将其禁用。

 add_filter( 'xmlrpc_enabled', '__return_false' ); 

锁定您的上传文件夹

另一个弱点是上传文件夹中的PHP执行。黑客可以上传伪装成图像的恶意PHP文件，然后将其运行造成破坏。您可以通过将.htaccess文件添加到WP-CONTENT/上传文件夹来停止此操作。使用文本编辑器，创建一个新文件，内部粘贴代码段，然后通过FTP上传新文件：

<Files *.php>
 deny from all
</Files>

目录浏览是第三个风险。如果打开，它可以让任何人窥视您的文件结构。诸如Solid Security或WPCode之类的安全插件可以通过单击几下帮助您禁用所有这些威胁，从而使硬化过程自动化，因此您不必处理代码。通过剥离这些不需要的功能，您将锁定黑客否则就可以踢下来。

加固您的WordPress网站

确保您的WordPress网站意味着分层智能，实用的防御能力，以与WordPress的最佳安全实践保持一致。从及时的更新和强密码到可靠的备份和硬化设置，这些步骤缩小了您的风险并抵御黑客。 Divi Dash，稳定安全和其他工具等工具使您更加容易保持网络威胁。尽管它们不会完全消失，但强化的地点可以承受它们。从一个动作开始，以此为基础，然后观察您的WordPress站点坚固。通过坚持WordPress的安全性最佳实践，您可以确保您的网站仍然是攻击者的艰难目标。