您的位置:  首页 » PHP » 终极WordPress安全指南 – 一步一步(2018)

WordPress安全性对每个网站所有者来说都是一个非常重要的主题。每周,Google都会将大约20,000个恶意软件网站和大约50,000个网站用于网络钓鱼。如果您认真对待您的网站,那么您需要注意WordPress安全最佳实践。在本指南中,我们将分享所有顶级WordPress安全提示,以帮助您保护您的网站免受黑客和恶意软件的侵害。

改善WordPress安全性

虽然WordPress核心软件非常安全,并且经过数百名开发人员的定期审核,但还有很多工作可以加强您的WordPress网站。

在WPBeginner,我们认为安全不仅仅是消除风险。这也与减少风险有关。作为网站所有者,您可以做很多事情来提高您的WordPress安全性(即使您不是技术娴熟)。

我们有许多可操作的步骤,您可以采取这些步骤来提高WordPress的安全性。

为方便起见,我们创建了一个内容表,以帮助您轻松浏览我们的终极WordPress安全指南。

目录

WordPress安全基础知识

  • 为什么WordPress安全性很重要?
  • 保持WordPress更新
  • 密码用户权限
  • 虚拟主机的角色

简单步骤中的WordPress安全性(无编码)

  • 安装WordPress备份解决方案
  • 最好的WordPress安全插件
  • 启用Web应用程序防火墙(WAF)

DIY用户的WordPress安全性

  • 更改默认“admin”用户名
  • 禁用文件编辑
  • 禁用PHP文件执行
  • 限制登录尝试
  • 更改WordPress数据库前缀
  • 密码保护WP-Admin和登录
  • 禁用目录索引和浏览
  • 在WordPress中禁用XML-RPC
  • 自动注销空闲用户
  • 将安全问题添加到WordPress登录
  • 修复黑客WordPress网站

准备?让我们开始吧。

为什么网站安全很重要?

被黑客入侵的WordPress网站可能会严重损害您的业务收入和声誉。黑客可以窃取用户信息,密码,安装恶意软件,甚至可以向用户分发恶意软件。

最糟糕的是,您可能会发现自己只是为了重新获得对您网站的访问权而向黑客支付勒索软件。

为什么WordPress的安全性很重要

2016年3月,谷歌报告称,超过5000万网站用户被警告他们访问的网站可能包含恶意软件或窃取信息。

此外,谷歌每周约有20,000个恶意软件网站和大约50,000个网络钓鱼网站。

如果您的网站是商家,那么您需要特别注意您的WordPress安全性。

与企业所有者保护其实体店铺建筑的责任类似,作为在线企业所有者,您有责任保护您的企业网站。

[返回顶部↑]

保持WordPress更新

Keeping WordPress Updated

WordPress是一个定期维护和更新的开源软件。默认情况下,WordPress会自动安装次要更新。对于主要版本,您需要手动启动更新。

WordPress还附带了数千个可以在您的网站上安装的插件和主题。这些插件和主题由第三方开发人员维护,这些开发人员也定期发布更新。

这些WordPress更新对于WordPress站点的安全性和稳定性至关重要。您需要确保您的WordPress核心,插件和主题是最新的。

[返回顶部↑]

强密码和用户权限

管理强密码

最常见的WordPress黑客攻击尝试使用被盗密码。您可以使用对您的网站来说唯一的更强密码来解决这个问题。不仅适用于WordPress管理区域,还适用于FTP帐户,数据库,WordPress主机帐户以及您的专业电子邮件地址。

初学者不喜欢使用强密码的首要原因是他们很难记住。好消息是你不再需要记住密码了。您可以使用密码管理器。请参阅我们的指南,了解如何管理WordPress密码。

降低风险的另一种方法是不要让任何人访问您的WordPress管理员帐户,除非您绝对必须这样做。如果您有一个大型团队或访客作者,那么在向WordPress站点添加新用户和作者之前,请确保您了解WordPress中的用户角色和功能。

[返回顶部↑]

WordPress托管的作用

您的WordPress托管服务在您的WordPress网站的安全性中扮演着最重要的角色。 BlueHost或Siteground等优秀的共享托管服务提供商采取额外措施来保护其服务器免受常见威胁。

但是,在共享主机上,您与许多其他客户共享服务器资源。这可能会导致跨站点污染,黑客可以利用邻近站点攻击您的网站。

使用托管的WordPress托管服务可为您的网站提供更安全的平台。托管WordPress托管公司提供自动备份,自动WordPress更新和更高级的安全配置,以保护您的网站

我们建议将WPEngine作为我们首选的托管WordPress托管服务提供商。它们也是业内最受欢迎的产品之一。 (请参阅我们的特殊WPEngine优惠券)。

[返回顶部↑]

WordPress安全轻松步骤(无编码)

我们知道,提高WordPress安全性对于初学者来说可能是一个可怕的想法。特别是如果你不熟练的话。猜猜看 – 你并不孤单。

我们已经帮助数千名W​​ordPress用户加强了他们的WordPress安全性。

我们将向您展示如何只需点击几下即可提高您的WordPress安全性(无需编码)。

如果你可以点击,你可以做到这一点!

安装WordPress备份解决方案

安装WordPress备份解决方案

备份是您抵御任何WordPress攻击的第一道防线。请记住,没有什么是100%安全的。如果政府网站可以被黑客攻击,那么你的网站也可以被黑客攻击

备份允许您快速恢复您的WordPress网站,以防发生不好的事情。

您可以使用许多免费和付费的WordPress备份插件。在备份时,您需要知道的最重要的事情是您必须定期将全站点备份保存到远程位置(而不是您的主机帐户)。

我们建议将其存储在Amazon,Dropbox或私有云(如Stash)等云服务上。

根据您更新网站的频率,理想的设置可能是每天一次或实时备份。

值得庆幸的是,使用VaultPress或BackupBuddy等插件可以轻松完成。它们既可靠又最重要的是易于使用(无需编码)。

[返回顶部↑]

最佳WordPress安全插件

备份之后,我们需要做的下一件事是建立一个审计和监控系统,跟踪您网站上发生的一切。

这包括文件完整性监控,登录尝试失败,恶意软件扫描等。

值得庆幸的是,这可以通过最好的免费WordPress安全插件Sucuri Scanner来完成。

您需要安装并激活免费的Sucuri Security插件。有关详细信息,请参阅有关如何安装WordPress插件的分步指南。

激活后,您需要转到WordPress管理员中的Sucuri菜单。

Sucuri管理员菜单

您要求做的第一件事是生成一个免费的API密钥。这可以启用审核日志记录,完整性检查,电子邮件警报和其他重要功能。

Sucuri生成免费API

接下来,您需要点击Sucuri菜单中的Hardening选项卡。浏览每个选项,然后单击“加固”按钮。

Sucuri硬化

这些选项可帮助您锁定黑客在攻击中经常使用的关键区域。唯一的加强选项是付费升级是Web应用程序防火墙,我们将在下一步中解释,因此暂时跳过它。

对于那些想要在不使用插件的情况下执行此操作或者需要执行其他步骤(例如“数据库前缀更改”或“更改管理员用户名”)的人,我们还在本文后面介绍了许多这些“强化”选项。

在加固部分之后,此插件的大多数默认设置都很好,不需要更改。我们建议自定义的唯一内容是电子邮件提醒。

默认警报设置可能会使您的收件箱与电子邮件混乱。我们建议您接收关键操作的警报,例如插件更改,新用户注册等。您可以通过转到Sucuri设置»警报来配置警报。

Sucuri电子邮件提醒

这个WordPress安全插件非常强大,因此浏览所有选项卡和设置以查看它所做的一切,例如恶意软件扫描,审核日志,失败登录尝试跟踪等。

启用Web应用程序防火墙(WAF)

保护您的网站并对WordPress安全性充满信心的最简单方法是使用Web应用程序防火墙(WAF)。防火墙甚至在到达您的网站之前阻止所有恶意流量。

Sucuri网站应用防火墙

我们使用和推荐Sucuri是WordPress最好的网络应用防火墙。您可以阅读Sucuri如何帮助我们在一个月内阻止450,000次WordPress攻击。

Sucuri攻击区块图

关于Sucuri防火墙最好的部分是它还带有恶意软件清理和黑名单删除保证。基本上如果你被他们的手表黑客攻击,他们保证他们会修复你的网站(无论你有多少页)。

这是一个非常强大的保修,因为修复被黑网站是昂贵的。安全专家通常每小时收费250美元。而您可以每年199美元获得整个Sucuri安全堆栈。

使用Sucuri防火墙改善您的WordPress安全性»

Sucuri不是那里唯一的防火墙提供商。另一个受欢迎的竞争对手是Cloudflare。请参阅我们对Sucuri与Cloudflare的比较(优点和缺点)。

[返回顶部↑]

WordPress安全性为DIY用户

如果你做了我们迄今为止提到的所有事情,那么你的状态就会很好。

但与往常一样,您可以采取更多措施来强化您的WordPress安全性。

其中一些步骤可能需要编码知识。

更改默认“admin”用户名

在过去,默认的WordPress管理员用户名是“admin”。由于用户名占登录凭据的一半,因此黑客更容易进行暴力攻击。

值得庆幸的是,WordPress已经改变了这一点,现在要求您在安装WordPress时选择自定义用户名。

但是,一些单击WordPress安装程序仍然将默认管理员用户名设置为“admin”。如果您注意到这种情况,那么切换您的网络托管可能是个好主意。

由于WordPress默认情况下不允许您更改用户名,因此可以使用三种方法更改用户名。

  1. 创建一个新的管理员用户名并删除旧的用户名。
  2. 使用Username Changer插件
  3. 从phpMyAdmin更新用户名

我们已经详细介绍了如何正确更改WordPress用户名(逐步),我们已经涵盖了所有这三个方面。

注意:我们谈论的是名为“admin”的用户名,而不是管理员角色。

[返回顶部↑]

禁用文件编辑

WordPress附带一个内置的代码编辑器,允许您直接从WordPress管理区域编辑主题和插件文件。在错误的手中,此功能可能存在安全风险,这就是我们建议将其关闭的原因。

禁用文件编辑

您可以通过在wp-config.php文件中添加以下代码轻松完成此操作。

// Disallow file edit
define( "DISALLOW_FILE_EDIT", true );

或者,您可以使用我们上面提到的免费Sucuri插件中的强化功能一键完成此操作。

[返回顶部↑]

在某些WordPress目录中禁用PHP文件执行

另一种强化WordPress安全性的方法是在不需要的目录中禁用PHP文件,例如/ wp-content / uploads /。

您可以通过打开记事本等文本编辑器并粘贴此代码来执行此操作:

<Files *.php>
deny from all
</Files>

接下来,您需要将此文件另存为的.htaccess并使用FTP客户端将其上传到您网站上的/ wp-content / uploads /文件夹。

有关更详细的说明,请参阅我们的指南,了解如何在某些WordPress目录中禁用PHP执行

或者,您可以使用我们上面提到的免费Sucuri插件中的强化功能一键完成此操作。

[返回顶部↑]

限制登录尝试

默认情况下,WordPress允许用户尝试登录他们想要的时间。这使您的WordPress站点容易受到暴力攻击。黑客试图通过尝试使用不同的组合登录来破解密码

通过限制用户可以进行的失败登录尝试,可以轻松解决此问题。如果您正在使用前面提到的Web应用程序防火墙,那么这将自动进行处理。

但是,如果您没有设置防火墙,请继续执行以下步骤。

首先,您需要安装并激活Login LockDown插件。有关更多详细信息,请参阅有关如何安装WordPress插件的分步指南。

激活后,请访问设置»登录锁定页面来设置插件。

登录LockDown设置

有关详细说明,请查看我们的指南,了解如何以及为何限制WordPress中的登录尝试。

[返回顶部↑]

更改WordPress数据库前缀

默认情况下,WordPress使用wp_作为WordPress数据库中所有表的前缀。如果您的WordPress站点使用默认数据库前缀,那么黑客就可以更容易地猜出您的表名是什么。这就是我们建议更改它的原因。

您可以按照我们的分步教程更改数据库前缀,了解如何更改WordPress数据库前缀以提高安全性

注意:如果没有正确完成,这可能会破坏您的网站。如果您对编码技巧感到满意,请继续。

[返回顶部↑]

密码保护WordPress管理员和登录页面

密码保护wp-admin

通常,黑客可以不受任何限制地请求您的wp-admin文件夹和登录页面。这允许黑客尝试他们的黑客技巧或运行DDoS攻击。

您可以在服务器端添加额外的密码保护,这将有效地阻止这些请求。

按照我们关于如何使用密码保护您的WordPress管理员(wp-admin)目录的分步说明进行操作。

[返回顶部↑]

禁用目录索引和浏览

目录浏览

黑客可以使用目录浏览来查明您是否有任何已知漏洞的文件,因此他们可以利用这些文件来获取访问权限。

其他人也可以使用目录浏览来查看文件,复制图像,查找目录结构以及其他信息。这就是强烈建议您关闭目录索引和浏览的原因。

您需要使用FTP或cPanel的文件管理器连接到您的网站。接下来,在您网站的根目录中找到.htaccess文件。如果你在那里看不到它,那么请参阅我们的指南,了解为什么你在WordPress中看不到.htaccess文件。

之后,您需要在.htaccess文件的末尾添加以下行:

选项 - 索引

不要忘记保存并将.htaccess文件上传回您的网站。有关此主题的更多信息,请参阅有关如何在WordPress中禁用目录浏览的文章。

[返回顶部↑]

在WordPress中禁用XML-RPC

默认情况下,WordPress 3.5中启用了XML-RPC,因为它有助于将WordPress站点与Web和移动应用程序连接起来。

然而,由于它的强大性质,XML-RPC可以显着放大暴力攻击。

例如,传统上如果黑客想要在您的网站上尝试500个不同的密码,他们将不得不进行500次单独的登录尝试,这些尝试将被登录锁定插件捕获和阻止。

但是使用XML-RPC,黑客可以使用的system.multicall用20个或50个请求尝试数千个密码的功能。

这就是为什么如果您不使用XML-RPC,我们建议您禁用它。

有三种方法可以在WordPress中禁用XML-RPC,我们在逐步教程中介绍了如何在WordPress中禁用XML-RPC。

提示:.htaccess方法是最好的方法,因为它是资源最少的方法。

如果您正在使用前面提到的Web应用程序防火墙,那么防火墙可以解决这个问题。

[返回顶部↑]

在WordPress中自动注销空闲用户

登录用户有时可能会远离屏幕,这会带来安全风险。有人可以劫持他们的会话,更改密码或更改他们的帐户。

这就是许多银行和金融网站自动注销非活动用户的原因。您也可以在WordPress网站上实现类似的功能。

您需要安装并激活Idle User Logout插件。激活后,请访问设置»空闲用户注销用于配置插件设置的页面。

注销空闲用户

只需设置持续时间并取消选中“在wp admin中禁用”选项旁边的框,以获得更好的安全性。不要忘记单击保存更改按钮来存储您的设置。

有关更详细的说明,请参阅有关如何在WordPress中自动注销空闲用户的指南。

[返回顶部↑]

将安全问题添加到WordPress登录屏幕

登录屏幕上的安全问题

向WordPress登录屏幕添加安全问题会使某人更难获得未经授权的访问。

您可以通过安装WP Security Questions插件来添加安全问题。激活后,您需要访问设置»安全问题页面以配置插件设置。

有关更详细的说明,请参阅有关如何向WordPress登录屏幕添加安全问题的教程。

[返回顶部↑]

修复被黑客攻击的WordPress网站

许多WordPress用户在他们的网站被黑客攻击之前没有意识到备份和网站安全的重要性。

清理WordPress网站可能非常困难且耗时。我们的第一个建议是让专业人士来照顾它。

黑客在受影响的网站上安装后门,如果这些后门没有得到正确修复,那么您的网站可能会再次被黑客入侵。

允许像Sucuri这样的专业安全公司修复您的网站将确保您的网站再次安全使用。它还可以保护您免受任何未来的攻击。

对于冒险和DIY用户,我们已经编制了一个关于修复被黑客入侵的WordPress网站的分步指南。

[返回顶部↑]

这就是全部,我们希望这篇文章能帮助您学习顶级的WordPress安全最佳实践,并为您的网站发现最好的WordPress安全插件。

发表评论

电子邮件地址不会被公开。 必填项已用*标注