wordpress主题justnews(终极 WordPress 安全指南)

WordPress 安全对于每个网站所有者来说都是一个非常重要的话题如果您认真对待您的网站，那么您需要注意 WordPress 安全最佳实践否则，您可能会成为 Google 每天因恶意软件和网络钓鱼而列入黑名单的 10,000 多个网站之一。

在本指南中，我们将分享最重要的 WordPress 安全提示，以帮助您保护您的网站免受黑客和恶意软件的侵害。

虽然 WordPress 核心软件非常安全，并且由数百名开发人员定期审核，但仍然需要做很多工作来确保您的网站安全在 WPBeginner，我们相信安全不仅仅是消除风险这也与降低风险有关作为网站所有者，即使您不精通技术，您也可以采取很多措施来提高 WordPress 安全性。

在本文中，我们汇总了一系列可操作的步骤，您可以采取这些步骤来保护您的网站免受安全漏洞的影响为什么网站安全很重要被黑的WordPress 网站可能会对您的企业收入和声誉造成严重损害黑客可以窃取用户信息和密码、安装恶意软件，甚至向您的用户分发恶意软件。

最糟糕的是，您可能会发现自己向黑客支付勒索软件只是为了重新获得对您网站的访问权限。

每天，Google 都会警告 12-1400 万用户，他们尝试访问的网站可能包含恶意软件或窃取信息此外，Google 每天都会将大约 10,000 多个恶意软件或网络钓鱼网站列入黑名单正如拥有实际位置的企业主有责任保护其财产一样，在线企业主也需要格外注意 WordPress 的安全性。

保持 WordPress 更新

WordPress 是开源软件，会定期维护和更新默认情况下，WordPress 会自动安装次要更新对于主要版本，您需要手动启动更新WordPress 还附带了数以千计的插件和主题，您可以将它们安装在您的网站上。

这些插件和主题由第三方开发人员维护，并定期发布更新这些 WordPress 更新对于 WordPress 网站的安全性和稳定性至关重要您需要确保您的 WordPress核心、插件和主题是最新的使用强密码和用户权限。

最常见的 WordPress 黑客攻击尝试使用被盗的密码您可以通过使用您网站特有的更强密码来解决这一问题我们不只是谈论 WordPress 管理区域请记住为您的 FTP 帐户、数据库、WordPress 托管帐户以及使用您网站。

域名的自定义电子邮件地址创建强密码许多初学者不喜欢使用强密码，因为它们很难记住好处是您不再需要记住密码，因为您只需使用密码管理器即可请参阅我们有关如何管理 WordPress 密码的指南以了解更多信息降低风险的另一种方法是，除非绝对必要，

否则不要让任何人访问您的 WordPress 管理员帐户如果您有一个大型团队或客座作者，请确保您了解WordPress 中的用户角色和功能，然后再将新的用户帐户和作者添加到您的 WordPress 网站。

了解 WordPress 托管的作用

您的WordPress 托管服务在 WordPress 网站的安全中发挥着最重要的作用Hostinger、Bluehost或SiteGround等优秀的共享托管提供商会采取额外措施来保护其服务器免受常见威胁。

以下是优秀的网络托管公司在后台保护您的网站和数据的几种方法：他们持续监控网络是否存在可疑活动所有优秀的托管公司都有适当的工具来防止大规模DDoS 攻击他们保持服务器软件、PHP 版本和硬件最新，以防止黑客利用旧版本中的已知安全漏洞。

他们有准备部署的灾难恢复和事故计划，使他们能够在发生重大事故时保护您的数据在共享托管计划中，您与许多其他客户共享服务器资源存在跨站点污染的风险，黑客可以使用相邻站点来攻击您的网站相比之下，使用托管 WordPress 托管。

服务可以为您的网站提供更安全的平台托管 WordPress 托管公司提供自动备份、自动 WordPress 更新和更高级的安全配置来保护您的网站我们推荐WP Engine作为我们的首选托管 WordPress 托管提供商。

他们也是业内最受欢迎的提供商只需几个简单步骤即可实现 WordPress 安全（无需编码）我们知道，对于初学者来说，提高 WordPress 安全性可能是一个可怕的想法，特别是如果您不懂技术的话你猜怎么着——你并不孤单。

我们已经帮助数千名 WordPress 用户强化了他们的 WordPress 安全性我们将向您展示如何只需点击几下（无需编码）即可提高 WordPress 安全性如果您可以点击，就可以做到这一点！1.安装WordPress备份解决方案

备份是抵御任何 WordPress 攻击的第一道防线请记住，没有什么是 100% 安全的如果政府网站可以被黑客攻击，那么您的网站也可以备份可让您在发生不良情况时快速恢复 WordPress 网站您可以使用

许多免费和付费的WordPress 备份插件在备份方面，您需要了解的最重要的事情是您必须定期将全站点备份保存到远程位置（而不是您的托管帐户）我们建议将其存储在 Amazon、Dropbox 等云服务或 Stash 等私有云上。

根据您更新网站的频率，理想的设置可能是每天一次或实时备份值得庆幸的是，这可以通过使用Duplicator、UpdraftPlus或BlogVault等插件轻松完成它们都很可靠，最重要的是易于使用（无需编码）。

安装信誉良好的 WordPress 安全插件备份后，我们需要做的下一件事是建立一个审核和监控系统，以跟踪您网站上发生的所有情况这包括文件完整性监控、失败的登录尝试、恶意软件扫描等等值得庆幸的是，您可以通过安装最好的 WordPress 安全插件。

之一（例如 Sucuri）轻松解决此问题您需要安装并激活免费的 Sucuri Security 插件有关更多详细信息，请参阅我们有关如何安装 WordPress 插件的分步指南现在，您可以前往Sucuri Security » 仪表板。

，查看该插件是否发现您的 WordPress 代码存在任何直接问题。

您需要做的下一件事是导航到Sucuri 安全 » 设置页面，然后单击“强化”选项卡。默认设置适用于大多数网站，因此您可以通过单击每个选项的“应用强化”按钮来激活它们。

这可以帮助您锁定黑客在攻击中经常使用的关键区域提示：我们将在本文后面介绍强化网站的更多方法，例如更改数据库前缀和管理员用户名然而，这些技术性更强，可能需要编码知识加固部分之后，插件的其他默认设置对于大多数网站来说已经足够了，不需要任何更改。

我们唯一建议自定义的是电子邮件警报，可以在设置页面的“警报”选项卡中找到它。

默认情况下，您将收到大量电子邮件警报，这些电子邮件警报可能会使您的收件箱变得混乱。我们建议仅针对您希望收到通知的关键操作启用警报，例如插件更改和新用户注册。

这个 WordPress 安全插件非常强大，因此浏览所有选项卡和设置以查看它的所有功能，例如恶意软件扫描、审核日志、失败的登录尝试跟踪等启用 Web 应用程序防火墙 (WAF)保护您的网站并确保 WordPress 安全的最简单方法是使用 Web 应用程序防火墙 (WAF)。

网站防火墙会在所有恶意流量到达您的网站之前将其阻止DNS级网站防火墙通过其云代理服务器路由您的网站流量这使得它只能将真实流量发送到您的网络服务器应用程序级防火墙会在流量到达您的服务器后但在加载大多数 WordPress 脚本之前对其进行检查。

这种方法在降低服务器负载方面不如DNS级防火墙有效

我们在 WPBeginner 上使用Sucuri多年，并且仍然推荐它作为 WordPress 的最佳 Web 应用程序防火墙之一我们最近从 Sucuri 切换到 Cloudflare，因为我们需要一个更大的 CDN 网络，其功能更专注于企业客户。

您可以了解Sucuri 如何帮助我们在一个月内阻止 450,000 次 WordPress 攻击。

Sucuri 防火墙最好的部分是它还具有恶意软件清除和黑名单删除保证这意味着，如果您在他们的监视下遭到黑客攻击，他们保证修复您的网站，无论您有多少页面将您的 WordPress 网站移至 SSL/HTTPS。

SSL（安全套接字层）是一种对网站和用户浏览器之间的数据传输进行加密的协议。这种加密使某人更难嗅探和窃取信息。

启用 SSL 后，您的网站地址将使用HTTPS 而不是 HTTP您还会在浏览器中的网站地址旁边看到一个挂锁或类似的图标标志SSL 证书通常由证书颁发机构颁发，其价格从每年 80 美元到数百美元不等由于成本增加，过去大多数网站所有者选择继续使用不安全的协议。

为了解决这个问题，一个名为 Lets Encrypt 的非营利组织决定向网站所有者提供免费的 SSL 证书他们的项目得到了 Google Chrome、Facebook、Mozilla 和更多公司的支持。

开始为您的所有 WordPress 网站使用 SSL 比以往任何时候都更容易许多托管公司现在为您的 WordPress 网站提供免费的 SSL 证书如果您的托管公司不提供 SSL 证书，那么您可以从Domain.com

购买 SSL 证书他们拥有市场上最好、最可靠的 SSL 交易该证书附有 10,000 美元的安全保证和 TrustLogo 安全印章适合 DIY 用户的 WordPress 安全如果您执行了我们迄今为止提到的所有操作，那么您的状态就非常好。

但与往常一样，您可以采取更多措施来强化 WordPress 安全性请记住，其中一些步骤可能需要编码知识更改默认管理员用户名过去，默认的 WordPress 管理员用户名是“admin”由于用户名占登录凭据的一半，这使得黑客更容易进行暴力攻击。

值得庆幸的是，WordPress 已经改变了这一点，现在要求您在安装 WordPress时选择自定义用户名但是，一些一键式 WordPress 安装程序仍将默认管理员用户名设置为“admin”如果您注意到这种情况，那么切换。

您的网络托管可能是个好主意由于 WordPress 默认不允许您更改用户名，因此您可以使用三种方法来更改用户名创建一个新的管理员用户名并删除旧的用户名使用用户名更改插件从 phpMyAdmin 更新用户名。

我们在有关如何正确更改 WordPress 用户名的详细指南中介绍了所有这三个内容注意：需要明确的是，我们讨论的是更改名为“admin”的用户名，而不是管理员用户角色，有时也称为“admin”禁用文件编辑。

WordPress 附带一个内置代码编辑器，允许您直接从 WordPress 管理区域编辑主题和插件文件。如果落入坏人之手，此功能可能会带来安全风险，因此我们建议将其关闭。

您可以通过将以下代码添加到wp-config.php文件或使用WPCode等代码片段插件（推荐）来轻松完成此操作：12// Disallow file editdefine( DISALLOW_FILE_EDIT

, true );我们在有关如何从 WordPress 管理面板禁用主题和插件编辑器的指南中逐步向您展示了如何执行此操作或者，您可以使用上述免费 Sucuri 插件中的强化功能一键完成此操作禁用某些 WordPress 目录中的 PHP 文件执行。

化 WordPress 安全性的另一种方法是在不需要的目录（例如/wp-content/uploads/.您可以通过打开记事本等文本编辑器并粘贴以下代码来完成此操作：123deny from all

接下来，您需要将此文件另存为.htaccess并使用FTP 客户端/wp-content/uploads/将其上传到您网站上的文件夹有关更详细的说明，请参阅有关如何在某些 WordPress 目录中禁用 PHP 执行的。

指南或者，您可以使用我们上面提到的免费 Sucuri 插件中的强化功能一键完成此操作限制登录尝试默认情况下，WordPress 允许用户尝试登录任意多次这使得您的 WordPress 网站容易受到暴力攻击

这是黑客试图通过尝试使用不同组合登录来破解密码的地方通过限制用户可以进行的失败登录尝试可以轻松解决此问题如果您使用前面提到的 Web 应用程序防火墙，则会自动处理此问题但是，如果您没有设置防火墙，则可以继续使用以下步骤。

首先，您需要安装并激活免费的Limit Login Attempts Reloaded插件有关更多详细信息，请参阅我们有关如何安装 WordPress 插件的分步指南激活后，该插件将开始限制用户可以尝试登录的次数。

默认设置适用于大多数网站，但是，您可以通过访问“设置”»“限制登录尝试”页面并单击顶部的“设置”选项卡来自定义它们。例如，要遵守 GDPR 法律，您可以单击“GDPR 合规性”复选框。

有关详细说明，请参阅我们的指南，了解如何以及为何应限制 WordPress 中的登录尝试添加双因素身份验证 (2FA)双因素身份验证方法需要用户执行 2 个不同的步骤才能登录：第一步是用户名和密码第二步要求您使用黑客无法访问的您拥有的设备或应用程序（例如您的智能手机）中的代码。

大多数顶级在线网站（例如 Google、Facebook 和 Twitter）都允许您为您的帐户启用它您还可以将相同的功能添加到您的 WordPress 网站首先，您需要安装并激活WP 2FA – 双因素身份验证。

插件。有关更多详细信息，请参阅我们有关如何安装 WordPress 插件的分步指南。用户友好的向导将帮助您设置插件，然后您将获得一个二维码。

您需要使用手机上的身份验证器应用程序扫描二维码，例如 Google Authenticator、Authy 和 LastPass Authenticator我们建议使用LastPass Authenticator。

或Authy，因为它们允许您将帐户备份到云这在您的手机丢失、重置或购买新手机时非常有用您的所有帐户登录信息都将轻松恢复这些应用程序中的大多数都以类似的方式工作，如果您使用 Authy，则只需单击身份验证器应用程序中的“+”或“添加帐户”按钮即可。

这样您就可以使用手机的相机扫描计算机上的二维码。您可能首先需要授予应用程序访问相机的权限。为帐户命名后，您可以保存它。下次登录网站时，输入密码后，系统会要求您输入双因素验证码。

只需打开手机上的身份验证器应用程序，您就会看到一个一次性代码。然后，您可以在网站上输入代码来完成登录。

更改 WordPress 数据库前缀默认情况下，WordPress 使用WordPress 数据库wp_中所有表的前缀如果您的 WordPress 站点使用默认数据库前缀，那么黑客就更容易猜测您的表名这就是我们建议更改它的原因。

您可以按照我们有关如何更改 WordPress 数据库前缀以提高安全性的分步教程来更改数据库前缀注意：如果操作不当，更改数据库前缀可能会破坏您的网站仅当您对自己的编码技能感到满意时才执行此操作密码保护 WordPress 管理员和登录页面。

通常，黑客可以不受任何限制地请求您的 wp-admin 文件夹和登录页面这使他们能够尝试黑客技巧或进行 DDoS 攻击您可以在服务器端级别添加额外的密码保护，这将有效阻止这些请求只需按照我们有关如何使用密码保护您的 WordPress 管理 (wp-admin) 目录的。

分步说明进行操作即可。禁用目录索引和浏览

当您在网络浏览器中输入网站文件夹之一的地址时，您将看到所调用的网页（index.html如果存在）如果它不存在，那么您将看到该文件夹中的文件列表这称为目录浏览黑客可以使用目录浏览来查找您是否有任何存在已知漏洞的文件，以便他们可以利用这些文件来获取访问权限。

其他人还可以使用目录浏览来查看您的文件、复制图像、找出您的目录结构和其他信息这就是为什么强烈建议您关闭目录索引和浏览您需要使用 FTP 或托管提供商的文件管理器连接到您的网站接下来，.htaccess在网站的根目录中找到该文件。

如果您在那里看不到它，请参阅我们的指南，了解为什么在 WordPress 中看不到 .htaccess 文件之后，您需要在 .htaccess 文件末尾添加以下行：Options -Indexes不要忘记保存 .htaccess 文件并将其上传回您的网站。

有关此主题的更多信息，请参阅有关如何在 WordPress 中禁用目录浏览的文章在 WordPress 中禁用 XML-RPCXML-RPC 是一个核心 WordPress API，可帮助将您的 WordPress 网站与 Web 和。

移动应用程序连接起来自 WordPress 3.5 起默认启用它然而，由于其强大的性质，XML-RPC 可以显着放大暴力攻击例如，如果黑客传统上想要在您的网站上尝试 500 个不同的密码，那么他们必须进行 500 次单独的登录尝试。

这可以通过限制登录尝试重新加载插件来捕获和阻止但通过 XML-RPC，黑客可以使用该system.multicall功能通过 20 或 50 个请求尝试数千个密码这就是为什么如果您不使用 XML-RPC，那么我们建议您禁用它。

在 WordPress 中禁用 XML-RPC 有 3 种方法，我们在有关如何在 WordPress 中禁用 XML-RPC 的分步教程中介绍了所有这些方法提示： .htaccess 方法是最好的方法，因为它占用的资源最少。

其他方法对于初学者来说更容易或者，如果您使用我们前面提到的 Web 应用程序防火墙 (WAF)，则会自动处理此问题自动注销 WordPress 中的空闲用户登录用户有时可能会离开屏幕，这会带来安全风险有人可以劫持他们的会话、更改密码或更改他们的帐户。

这就是许多银行和金融网站自动注销不活跃用户的原因。您也可以在 WordPress 网站上设置类似的功能。您需要安装并激活非活动注销插件。激活后，访问设置 » 非活动注销页面以自定义注销设置。

只需设置持续时间并添加注销消息即可然后，不要忘记单击页面底部的“保存更改”按钮来存储您的设置有关分步说明，请参阅我们关于如何在 WordPress 中自动注销空闲用户的指南将安全问题添加到 WordPress 登录屏幕。

在 WordPress 登录屏幕上添加安全问题可以让他人更难获得未经授权的访问您可以通过安装双因素身份验证插件来添加安全问题激活后，您需要访问多重身份验证»两因素页面来配置插件的设置这将允许您向站点添加各种类型的双因素身份验证，包括安全问题。

有关更详细的说明，请参阅有关如何向 WordPress 登录屏幕添加安全问题的教程。扫描 WordPress 是否存在恶意软件和漏洞

如果您安装了WordPress 安全插件，那么它会定期检查恶意软件和安全漏洞的迹象但是，如果您发现网站流量或搜索排名突然下降，那么您可能需要手动扫描恶意软件您可以使用 WordPress 安全插件或最好的。

恶意软件和安全扫描程序之一来执行此操作运行这些在线扫描非常简单您只需输入您的网站 URL，他们的爬虫就会浏览您的网站以查找已知的恶意软件和恶意代码现在，请记住，大多数 WordPress 安全扫描程序只能在您的网站包含恶意软件时向您发出警告。

他们无法删除恶意软件或清理被黑的 WordPress 网站这将我们带入下一部分，清理恶意软件和被黑的 WordPress 网站修复被黑的 WordPress 网站许多 WordPress 用户直到网站遭到黑客攻击才意识到备份和网站安全的重要性。

黑客在受影响的网站上安装后门，如果这些后门没有得到正确修复，那么您的网站可能会再次遭到黑客攻击对于喜欢冒险的 DIY 用户，我们编写了一份修复被黑 WordPress 网站的分步指南然而，清理 WordPress 网站可能非常困难且耗时。

我们的建议是让专业人士来处理如果您付费使用我们上面提到的Sucuri安全插件，则被黑网站修复已包含在价格中您还可以使用 WPBeginner Pro Services被黑网站修复服务这需要一次性支付 249 美元，包括高级文件确定、恶意代码删除、软件和安全更新以及清理的站点备份。

我们保证修复您的网站或退款我们还会在修复后的 30 天内保护您的网站，因此，如果您在此期间再次遭到黑客攻击，我们将及时修复十多年来，我们一直致力于清理和保护 WordPress 网站，因此当您使用我们的被黑网站修复服务。

时，您将高枕无忧 。

亲爱的读者们，感谢您花时间阅读本文。如果您对本文有任何疑问或建议，请随时联系我。我非常乐意与您交流。