You are here:  Home » PHP » 如何执行 WordPress 安全检查(完整清单)

您想执行 WordPress 安全审核以确保您的网站安全吗?

开箱即用的 WordPress 非常安全。但是,如果您怀疑您的网站有问题,那么您可能需要执行完整的安全审核以确保您的网站是安全的。

在本文中,我们将向您展示如何在不关闭您的网站的情况下轻松执行 WordPress 安全审核。

轻松执行完整的 WordPress 安全审核

什么是 WordPress 安全审核?

WordPress 安全审计是检查您的网站是否存在安全漏洞迹象的过程。您可以执行 WordPress 检查以查找可疑活动、恶意代码或异常的性能下降。

基本的 WordPress 安全性包含您可以手动执行的简单步骤。

要进行更彻底的审核,您可以使用 WordPress 安全审核工具自动为您执行检查。

您还可以使用在线 WordPress 安全审计服务来评估您网站的安全性。

如果你发现一些可疑的东西,那么你可以隔离、删除和修复它。

何时执行 WordPress 安全审核?

您应该至少每季度执行一次 WordPress 安全审计。这使您可以掌握一切并在安全漏洞造成任何麻烦之前关闭它们。

但是,如果您发现可疑情况,则应立即执行安全审核。

以下是一些迹象表明您可能需要进行安全审核。

  • 您的网站突然变得太慢和呆滞
  • 您目睹网站流量下降
  • 您的网站上有可疑的新帐户、忘记密码请求或登录尝试
  • 您看到可疑链接出现在您的网站上

话虽如此,让我们看看如何在您的网站上轻松执行 WordPress 安全审计。

WordPress 安全审核清单

以下是您可以在您的网站上执行基本 WordPress 安全审核的一些步骤。

1. 软件更新

WordPress 更新对于您网站的安全性和稳定性非常重要。他们修补安全漏洞、带来新功能并提高性能。

确保您的 WordPress 核心软件、所有插件和主题都是最新的。您可以通过访问WordPress 管理区域内的仪表板 » 更新页面轻松做到这一点。

WordPress 更新

WordPress 将查找是否有可用的更新,然后列出它们以供您安装。如果您需要更多帮助,请参阅我们的指南,了解如何正确更新 WordPress以及如何正确更新 WordPress 插件。

2.检查用户帐户和密码

接下来,您需要通过访问用户»所有用户页面来查看 WordPress 用户帐户。您将寻找不应该存在的可疑用户帐户。

如果您经营在线商店、会员网站或销售在线课程,那么您可能拥有供客户登录的用户帐户。

但是,如果您运行博客或商业网站,那么您应该只能看到您自己或您手动添加的任何其他用户的用户帐户。

WordPress 用户

如果您看到可疑的用户帐户,则需要将其删除。

现在,如果您的网站不需要用户创建帐户,那么您需要访问设置»常规页面并确保未选中“任何人都可以注册”选项旁边的框。

WordPress用户注册

作为额外的预防措施,您需要更改您的 WordPress 管理员密码。我们强烈建议您添加两因素授权以加强您网站的密码安全性。

3. 运行 WordPress 安全扫描

IsItWP 安全扫描程序

下一步是检查您的网站是否存在安全漏洞。幸运的是,您可以使用多种在线安全扫描程序来检查恶意软件。

我们建议使用IsItWP 安全扫描程序来检查您的网站是否存在恶意软件和其他安全漏洞。

这些工具很好,但它们只能扫描您网站的面向公众的页面。我们将在本文后面向您展示如何执行更深入的审计。

4. 检查您的网站分析

网站分析可帮助您跟踪网站流量。它们也是您网站健康状况的一个很好的指标。

如果您的网站已被搜索引擎列入黑名单,那么您的网站流量会突然下降。如果您的网站速度很慢或没有响应,那么您的整体页面浏览量也会下降。

我们建议使用MonsterInsights来跟踪您的网站流量。它不仅显示您的整体网页浏览量,还可以使用它来跟踪注册用户、您的WooCommerce 客户、表单转换等。

5. 检查或设置 WordPress 备份

如果您还没有这样做,那么您需要立即设置一个WordPress 备份插件。这可确保您始终有可用的备份,以防出现任何问题。

另一方面,许多初学者在设置后忘记了他们的 WordPress 备份插件。有时备份插件可能会在没有任何通知的情况下停止工作。确保您的备份插件仍在工作并保存备份是一个好主意。

自动执行 WordPress 安全审计

上面的清单允许您完成安全审计的最重要方面。但是,这不是一个非常彻底的过程,这意味着您的网站可能仍然容易受到攻击。

例如,很难手动记录所有用户活动、文件差异、可疑代码等。这是您需要一个插件来自动进行安全审计并记录所有内容的地方。

您可以借助一些 WordPress 安全和监控插件自动执行此过程。

1. WP活动日志

WP活动日志

WP Activity Log是市场上最好的 WordPress 活动监控插件。

它允许您跟踪网站上的所有用户活动。您可以查看所有用户登录信息、IP 地址以及他们在您的网站上所做的事情。

活动日志查看器

您可以跟踪在您的网站上拥有帐户的 WooCommerce 用户、编辑、作者和其他成员。

您还可以打开要跟踪的事件和关闭不想监视的事件。

在 WP 活动日志中跟踪事件

该插件还向您显示登录到您网站的所有用户的实时视图。如果您看到可疑帐户,则可以立即结束他们的会话并将其锁定。

有关更多详细信息,请参阅我们的指南,了解如何使用 WP 活动日志监控 WordPress 中的用户活动。

2. 苏库里

苏库里

Sucuri是市场上最好的 WordPress 防火墙插件,它也是您可以为您的网站获得的最好的一体化 WordPress 安全解决方案。

它通过阻止可疑活动甚至在它到达您的网站之前提供针对DDoS 攻击的实时保护。这可以减轻您服务器的负载并提高您的网站速度/性能。

它带有一个内置的安全插件,可以检查您的 WordPress 文件中的可疑代码。您还可以详细了解您网站上的用户活动。

最重要的是,Sucuri通过所有付费计划免费提供恶意软件清除。这意味着,即使您的网站已经受到影响,他们的安全专家也会为您清理它。