如何進行 WordPress 安全審計

保護您的 WordPress 網站並非一勞永逸。 無論您多麼信任您的安全插件，或者您在網站加固方面做得多麼徹底，今天的安全網站並不能成為明天的安全網站。 為了阻止黑客，您必須定期進行 WordPress 安全審核並填補您發現的安全漏洞。

網站黑客策略一直在進步，隨之而來的是確保網站安全的預防措施。 把它想像成一個循環。 網站越安全，黑客就必須越有創意才能進入，這意味著您的網站必須變得更加安全，等等。

目標是至少每三個月進行一次 WordPress 安全審計。 每個月都更好，每週（甚至每天，取決於您的網站的敏感程度）最好。 當然，如果您覺得您的網站有問題，請立即進行安全審核。 以下任何一項都應該引發危險信號：

• 您的網站突然變得緩慢而緩慢。
• 網站流量無緣無故大幅下降。
• 有新帳戶、登錄嘗試或“忘記密碼”請求。
• 您未添加的新鏈接位於您的網站上。

以下步驟是使您的網站在安全方面保持最佳狀態的必備步驟。 手頭有一份清單，您將簡化審核而不是壓倒一切。

WordPress 安全審計概述

在某一時刻，幾乎每個 WordPress 網站都會遇到某種類型的安全問題。 一個常見的問題是插件或主題受到漏洞的困擾，允許黑客直接進入您的網站。 一旦您的網站被黑客入侵，可能會發生許多事情：

• 客戶個人資料被盜
• 顯示的非法廣告和內容
• 交通轉移到別處
• WordPress 數據加密、刪除或出售

這不僅僅是幾個小時的頭痛或倒塌的網站。 黑客可以持有您的數據以勒索贖金。 您網站上的信息可以在暗網上出售。 Google 可以將您的網站列入黑名單，以便在網頁上顯示垃圾郵件。 如果他們的信用卡信息被盜，客戶可以起訴您。 一旦黑客訪問了您的網站，其他網站就可能被感染。

WordPress 安全審計會識別這些漏洞，因此您可以立即修補它們——在黑客發現之前需要更多的保護。

評估您正在使用的安全插件

您的 WordPress 安全插件是保護您的網站的最重要工具之一。 確保您的安全插件仍以下列方式運行：

• 活動日誌：這會跟踪您站點的用戶，包括登錄者和登錄時間、登錄嘗試失敗和站點更改。
• 防火牆：這將阻止試圖進入您網站的機器人、黑客和 IP 地址。
• 登錄嘗試：質量安全插件將強制使用強密碼，需要雙重身份驗證並限制登錄嘗試。
• 登錄保護：這可以阻止暴力攻擊，即黑客嘗試不同的用戶名和密碼組合登錄。
• 惡意軟件掃描和清理：這應該每天運行，深度掃描您網站的數據庫、文件和文件夾中的惡意軟件，並清除發現的任何內容。
• 實時警報：如果您的網站出現任何可疑情況，該插件應立即通知您。

還沒有安全插件？ 考慮讓一個作為您在 WordPress 安全審核中的第一步。 我們收集了 6 個最佳 WordPress 安全插件可供選擇。

測試您的網站備份解決方案

如果您的網站出現無法修復或過於復雜而無法修復的問題，擁有 WordPress 備份意味著您可以將網站從問題發生之前恢復到之前的狀態。 但是，如果您的備份失敗，那麼您將無法恢復任何內容，這意味著您可能會被受感染或出現故障的站點卡住。 理想情況下，您將使用允許您測試備份的備份解決方案（無論是由您的主機提供的還是您使用的插件），例如 BlogVault。 您可能還想閱讀我們的文章，其中包含 6 個最佳 WordPress 備份插件。

檢查您的 WordPress 管理員和 FTP 設置

使用 WordPress，您可以讓多個人登錄以處理各種項目，但這並不意味著每個登錄的人都應該擁有對您網站的完全訪問權限。 當涉及到您的 FTP 客戶端時，允許多人訪問意味著他們可以更改您網站的……嗯，一切。

當您在 WordPress 中添加新用戶時，您會為他們分配一個角色（您也可以編輯他們的個人資料以更改他們的角色）：

不同的角色有不同的能力。 例如，管理員可以訪問網站的所有管理工具（例如更改主題或安裝插件），但貢獻者只能編寫和管理自己的帖子。 以下是對不同角色及其能力的全面細分。

對於您的 WordPress 安全審核，請執行以下操作：

• 查看哪些 WordPress 用戶具有管理員級別的訪問權限。
• 確定是否所有這些用戶都需要該級別的訪問權限（以及其他訪問權限受限的用戶是否應該是管理員）。
• 通過更新這些個人的用戶角色來降低權限並限制訪問。
• 如果您無法識別儀表板中的用戶，請將其刪除——他們可能是黑客創建的帳戶。
• 任何用戶名都只是“管理員”嗎？ 這是一個非常常見的用戶名，黑客經常嘗試使用它來訪問您的網站。 為該人創建一個新用戶帳戶並刪除舊帳戶。
• 刪除不需要高級別訪問權限的用戶的 FTP 帳戶。

最後，如果您的網站允許成員，您要確保他們在註冊時必須實際創建一個帳戶，並且他們的默認角色不允許管理員訪問。 轉到設置>常規。 取消選中任何人都可以註冊旁邊的框。 然後，在New User Default Role下選擇適當的選項。

確保 WordPress 是最新的

您可能會自動運行此程序，但仍然需要仔細檢查 WordPress 是否已更新到其最新版本。 更新不只是修補安全漏洞——它們還可以提高性能並添加功能。 轉到儀表板>更新以查看是否已準備好。

清理你的插件和主題

插件可以擴展您網站的功能，但它們也容易受到攻擊，特別是如果它們沒有更新太久。 可靠的開發人員將始終關注其插件的漏洞並發布帶有補丁的更新。 在您的 WordPress 安全更新期間，前往您的插件列表並執行以下操作：

• 停用並卸載您不再使用或不認識的任何插件。
• 更新任何已準備好更新的剩餘插件。
• 如果您使用的插件尚未從開發人員那裡收到更新，請考慮使用另一個具有相同功能的插件——過時的插件太容易受到安全問題的影響。

即使您每個月左右進行一次 WordPress 安全審核，最好定期檢查您的插件以根據需要更新它們。 此外，刪除您當前未使用或預計不需要的任何主題。 就像插件一樣，主題會帶來安全漏洞的風險，因此最好讓您的網站盡可能地整潔。

在外面保持安全！

您不會停止在業務的其他部分上工作——推出新產品或服務、營銷它們、銷售等等。您的網站安全應該不會有任何不同。 如果您不及時發現一個小問題，可能會很快導致危及業務的黑客攻擊，但如果不知道問題區域在哪裡，您將不知道要實施哪些修復。

確保您的網站安全是一個持續的過程，擁有一個首選的 WordPress 安全審核清單可以讓您省去試圖記住每個月要做什麼的麻煩。 另外，您可以使用安全插件自動化的越多越好。 如果您要做的大部分工作是仔細檢查插件是否仍然正常運行，那麼您的 WordPress 安全審核清單可能會小得多。 我們對兩個領先的安全插件 Sucuri 和 Wordfence 的評論進行了深入的概述。