如何保护您的 WordPress 网站免受黑客/特洛伊木马攻击

没有任何网站安全系统能够 100% 防黑客，但是您可以采取许多措施来防止黑客及其带来的破坏性后果。

您可以关闭漏洞点并保护常见目标区域，以便黑客很难攻击您的网站。

我们向您展示增强 WordPress 网站的最简单方法。我们还将为您提供最佳实践，以避免您的网站容易受到攻击。

强化 WordPress 网站的最简单方法

WordPress 强化措施包括一次性步骤以及需要定期检查的步骤。

一些强化步骤还需要大量 WordPress 技术技能。如果您不懂技术，我们建议您使用 WordPress 强大插件。

这些插件允许您通过单击按钮来应用安全增强措施。这意味着您无需亲自接触任何代码或更改任何文件。

我们最喜欢的安全插件是 Sucuri。它具有强大的防火墙和强大的扫描仪来监控您的网站并阻止黑客。

Sucuri 还配备了内置的强化措施，您可以直接从 WordPress 仪表板使用。我们将在下面向您展示如何执行此操作。

第 1 步：安装 Sucuri

Sucuri 是一款适用于所有 WordPress 用户的免费 WordPress 安全插件。 ？文件完整性监控

如果您想安装包括 Sucuri 防火墙在内的完整安全系统，则需要注册，费用为 9 美元起，价格为 19.9 美元。年的高级订阅。

安装并激活插件后，您可以直接从 WordPress 仪表板访问和操作安全设置。

第 2 步：生成 API 密钥

从 WordPress 仪表板，导航至 Sucuri » 仪表板 选项卡。在此页面上，您将看到 “生成 API 密钥” 按钮。

这将打开一个弹出窗口，其中预先填充了您的 WordPress 网站和管理员电子邮件。如果您愿意，可以更改它。

之后，选中复选框以接受使用条款和隐私政策。然后选择 “提交” 按钮以生成 API 密钥。

您将看到一个弹出窗口，表明您的网站已注册。现在您可以转到Sucuri仪表板。

这将激活您网站上的安全扫描仪。它将显示您的网站是否干净以及您是否位于任何阻止列表中。

第 3 步：启用强化

在 Sucuri 仪表板中，您将找到完整的强化列表，只需单击按钮即可将其添加到您的站点。

导航至 Sucuri » 设置 » 加强 选项卡。

您将在此处看到所有可用选项：

• 站点防火墙保护：防火墙是阻止黑客和恶意机器人的第一道防线。如果您注册了专业版，则可以连接到您的防火墙帐户以查看 WordPress 中的统计信息。
• 验证 WordPress 版本：检查您的 WordPress 安装、主题和插件何时未更新。您将看到更新到最新版本的提示，以避免软件漏洞。
• 验证 PHP 版本： 确保您的服务器正在运行最新版本的 PHP。
• 删除 WordPress 版本： 允许您删除公开显示的 CMS 版本，以便黑客无法查看您的 WordPress 版本是否已过期。
• 阻止上传目录中的 PHP 文件： 您的上传目录存储 PHP 运行不需要的文件。这将禁止执行上传文件夹中的 PHP 文件。请记住，有些插件使用 PHP，因此在添加之前测试此计算。
• 阻止 WP-CONTENT 目录中的 PHP 文件： 在 wp-content 中放置 .htaccess 文件以阻止外部访问。
• 阻止 WP-INCLUDES 目录中的 PHP 文件： 将 .htaccess 文件放入 wp-includes 中以阻止外部访问。
• 信息泄漏：在您的网站上查找包含 WordPress 版本网站的任何 readme.html 文件并将其删除。
• 标准管理员帐户： 检查主帐户是否使用“admin”作为用户名。通过更改此名称，您可以防止黑客找出哪个帐户拥有最多的权限。
• 插件和主题编辑器：如果黑客闯入您的网站，这是访问您网站代码的一个非常常见的目标。启用此选项将禁用插件和主题编辑器。这样，其他用户就无法通过您的 WordPress 管理员访问和修改敏感文件。
• 启用自动密钥更新： 更新安全密钥将注销所有用户并删除现有 cookie。这将减少黑客滥用您的浏览会话的机会。

要激活某个选项，请选择其旁边的“应用增强功能”按钮。如果您想撤消它或删除增强功能，请单击现在显示“恢复增强功能”的同一按钮。

在此列表下方，您还会看到一个允许阻止 PHP 文件的选项。

有时插件和主题需要访问您已阻止的某些文件和文件夹。这将允许您有选择地添加允许的文件路径，以便您可以维护安全性并只允许访问受信任的来源。

这就是使用 Sucuri 运行您的 WordPress 网站是多么容易。

现在，除了Sucuri提供的措施之外，您还应该自行采取某些步骤来确保您的网站安全。

强化 WordPress 网站的最佳实践

保护网站所需采取的最重要步骤是安装安全插件。这些插件会定期扫描和监控您的网站，以便在发现任何可疑内容时通知您。

除此之外，您可以遵循以下一些步骤来确保您的网站始终安全。

1。选择安全的网络主机

您的网站驻留在由您的网络主机运营的服务器上。如果您的主机没有很好地保护其服务器，黑客就可以找到进入您网站的方法。

新手网站所有者倾向于选择廉价的共享主机计划来开始，很少关注主机采取的安全措施。

我们建议从一开始就使用安全的托管平台，因为黑客可以攻击大大小小的网站。他们找到恶意的方式来使用他们入侵的任何网站。

国内网站建议使用阿里云或腾讯云，外贸网站建议使用Siteground。

这些主机拥有强大的基础设施，并始终监控网络是否存在威胁。它们还提供针对 DDoS 攻击的保护，因此您可以确保阻止黑客攻击您的服务器。

2。安装 SSL 证书

您的网站不断在浏览器和服务器之间来回发送数据。黑客试图拦截传输中的数据并将其窃取。

防止此安全问题的最佳方法是使用 SSL 证书。 SSL（安全套接字层）将启用加密连接。这意味着两个系统之间发送的所有数据都无法被任何人读取或更改。

使用 SSL 时，您会看到您的网站地址栏中有一个挂锁，并且 HTTPS 而不是 HTTP：

您可以通过您的网络主机获取 SSL 证书。

3。保护您的登录页面

黑客最简单的入口点之一是网站登录页面。用户名和密码通常不足以阻止他们。黑客使用一种称为暴力攻击的方法来猜测您的凭据并简单地登录。

这就是为什么这是最重要的安全区域之一。您可以执行以下操作：

• 始终强制使用安全凭据： 确保您使用的用户名不是“admin”或您自己的名字，因为黑客很容易猜到它们。当涉及到密码时，我们建议使用包含字母、数字和符号的密码，以使其难以破解。当您输入密码时，WordPress 会告诉您密码是弱、中还是强，以便您知道是否需要提高密码强度。
• 定期使您的密码过期：您应该定期更改您的密码，但我们知道我们经常忘记这样做。解决此问题的一个简单方法是安装“使用户密码过期”插件。它会自动强制您网站上的每个用户在再次登录之前定期更改密码。
• 限制登录尝试： 在暴力攻击中，黑客会向您的网站发送机器人，尝试数千种登录组合，直到找到正确的组合。如果您限制登录尝试，则登录尝试必须在 3 次尝试后停止。您可以使用 Sucuri 和 MalCare 等安全插件来启用此功能，也可以使用网站上的限制登录尝试重新加载插件。
• 使用两步验证：这会为您的登录添加两步验证过程，要求您输入通过短信、电子邮件或身份验证器应用程序实时发送给您的一次性密码。这意味着用户必须实时进行身份验证，从而使黑客难以获得访问权限。
• 限制对登录页面的访问：您只能允许受信任的用户访问您的 wp-admin URL。所有其他用户将被自动阻止查看此页面，更不用说尝试登录了。如果您使用 Sucuri，则可以在仪表板上的访问控制选项卡下添加列入白名单的 IP 地址。通过选中此框，Sucuri将自动仅允许您信任的用户访问登录页面。

4。使用安全表单

不安全的表单很容易成为黑客的目标。他们只是在您的表单字段中输入恶意代码。

提交表格后，代码将发送到您的网站数据库进行处理。这将使黑客能够感染您的网站或进入您的数据库并从那里造成严重破坏。

您可以使用安全的在线表格来确保这种情况不会发生。 WPForms 是排名第一的 WordPress 表单生成器，具有内置安全性，因此您无需执行任何操作。

您创建的每个表单都启用了反垃圾邮件保护。

如果您想添加额外的保护层，WPForms 允许您在表单上启用 reCAPTCHA（不适用于国内网站）。

这意味着用户必须解决一个小难题或勾选一个框才能证明他们是人类。

5。设置用户角色权限

如果您有多个用户在您的 WordPress 网站上工作，您可以根据他们的角色限制他们拥有的权限。

这并不意味着您不信任您的团队，而只是意味着如果黑客获得其帐户的访问权限，他们的行动将受到限制。

WordPress 允许您为以下角色创建角色：

• 超级管理员
• 管理员
• 编辑者
• 作者❀贡献者❀拥有所有访问权限的最强大角色是超级管理员和管理员。我们建议管理员数量尽可能少。

  6。自动注销不活动的用户

  黑客使用的另一个技巧是劫持浏览会话并窃取cookie。这允许他们在您不知情的情况下通过活动用户帐户访问您的网站。

  解决此问题的最佳方法是定期注销不活动的用户。

  许多安全插件都具有会话的非活动注销功能，或者您可以使用非活动注销插件。

  7。定期更新您的网站

  插件、主题甚至您的 WordPress 安装都会定期更新。当它们可用时，您将在 WordPress 仪表板中看到它们：

  更新通常包括错误修复、新功能和软件改进。有时它们会附带安全更新。

  这意味着在软件中发现了漏洞，黑客可以利用该漏洞来攻击您的网站。当开发人员发现这些漏洞时，他们会修复它们并发布消除该漏洞的新版本。

  您所需要做的就是最后更新它。您可以通过查看更新的详细信息来了解更新是否包含安全更新。

  如果您发现有安全更新，请立即运行以避免风险。

  如果您担心更新可能会破坏您的网站，您可以在临时网站上测试更新，然后在实时网站上运行它。

  至此，您已经了解了可以添加到网站的所有强化措施。

  尽管采取了最严格的安全措施，但仍可能出现问题，包括人为错误。最好的准备方法是保留网站的备份。