让您的网站更安全的 15 个基本步骤

话不多说，让我们从头开始。

1。选择优质的托管提供商

确保您的网站免受恶意软件侵害的最佳方法是选择在服务器级别提供多层安全性的托管提供商。

廉价的托管总是非常有吸引力，特别是如果您刚刚起步。但是，从长远来看，如果您认真构建网站，则应该选择更安全的托管提供商。

一个好的主机不仅能提供出色的安全性，还具有许多其他优势，例如内置 CDN、自动备份、免费迁移和免费安装，帮助您从一开始就节省时间并优化您的体验。网站。这些类型的托管服务称为托管托管。

互联网上有许多托管主机。对于外贸网站，建议使用SiteGround或WPEngine。

国内几乎没有针对WordPress优化的托管主机，但可以优先考虑阿里云、腾讯云等大厂的产品。

2。避免使用盗版主题和插件

高级主题和插件具有其他同类产品无法比拟的功能。开发者发布高级版本是为了确保他们有财力在未来继续开发更好的产品。

为了保证WordPress的安全，这些插件和主题会不断更新并投放市场。购买这些主题的个人会将其更新到最新版本。

开发人员保证质量并确保网站对用户的安全。

然而，有些人为了寻求高级功能，免费下载各种盗版破解的WordPress主题和插件。看似占了巨大的便宜，但实际上这是一种非常愚蠢的做法。

此类盗版主题和插件可能不是最新版本，并且可能存在安全漏洞。此外，网上流传的许多盗版文章中都嵌入了恶意代码。您的网站随时可能被黑客拿下，甚至是在一夜之间。将会被删除！

这并非危言耸听，您可以阅读我们之前的文章：

• 再次警告：请勿使用WordPress盗版主题和插件，以免被WP-VCD恶意感染

3。安装和使用安全插件

您可以通过定期检查网站的代码库、主题和插件来检查网站是否存在漏洞。大多数程序员仍然会通过安装安全插件来采用简单且自动化的方法。

安全插件有助于保护您的网站免受恶意软件攻击和各种形式的黑客攻击。它还可以让您的网站 24/7 持续运行，并在出现问题时向您发送安全警报。

WordFence 是安全插件领域的行业领导者，提供各种安全功能，例如恶意软件检测、阻止不受信任的登录、防火墙、扫描仪、双因素身份验证等。

除了 WordFence 之外，您还可以使用 Sucuri Security 来保护您的 WordPress 安装。该插件具有强大的功能，例如提高站点速度、通过内置缓存工具和 CDN 防御 DDoS 攻击、漏洞利用和其他黑客攻击。

我们提到的这两个插件都附带其高级版本，可以为您的网站带来额外的性能和安全性提升。也就是说，免费版本也非常有用。

扩展阅读：10 个有用的免费 WordPress 安全插件

4。使用强密码和用户名

强密码是保护网站安全的重要工具。通常会被忽略，但仍然有很多用户使用“123456、密码和abc123”之类的密码。

如果您是这些用户之一，请更改立即输入密码。尽管这些密码很容易记住，但即使安装了安全插件，黑客也很容易访问您的网站，而不会遇到特殊问题。

要使用设置强密码的所有最佳实践，您应该选择在线密码生成器。我们知道生成器会抛出复杂且难以记住的密码。要解决此问题，您可以使用密码管理服务，例如 Lastpass 或 Passbolt。

不要限制自己的登录密码。为您的托管帐户、FTP 和数据库创建强密码。

再次强调，不要仅仅依赖“login”或“admin”等通用登录用户名。尝试对您的用户名采取更加个性化的方法，这样黑客就不会轻易发现它。此时你不需要发电机。只需发挥您的想象力，想出一个易于记住的用户名即可。

例如，您可以采用最喜欢的作者（例如欧内斯特·海明威）的用户名，并创建一个类似“E-Hemmingway”或“Ernest Hummingbird”的用户名。这只是一个有趣的例子。 ？代码。

如果开发人员进行了一些自定义更改（如果有），则应禁用文件编辑器功能。如果黑客访问您的网站，禁用文件编辑选项还可以防止他们在您的网站上植入恶意代码。

禁用文件编辑非常简单。wp-config.php

SSL 意味着网站是安全的，并且网站的交易和支付处理是安全的。

如果您想在搜索引擎结果页面 (SERP) 上排名靠前并确保您的网站对用户安全，您需要安装 SSL 证书。

SSL 证书将 https:// 而不是普通的旧 http:// 添加到您的网站。它向搜索引擎表明该网站是安全的，并且该网站上的交易和其他活动也是安全的。因此，如果您在网站上发布内容并且该内容在 Google 等搜索引擎上排名，那么它将优先于其他不安全的网站。

互联网上有很多SSL证书提供商，而且很多都是免费的。例如国内各大公司阿里云、腾讯云都提供免费的SSL证书。

推荐阅读：什么是SSL？为什么网站要使用SSL？

如果您使用宝塔面板，可以看一下：宝塔面板为WordPress网站添加SSL证书设置，设置https访问

7。将“wp-admin”后台 URL 更改为其他内容

默认 WordPr ess 后端 URL 为：yoursite.com/wp-admin

如果您拥有强大的用户名和密码，您就已经安全了黑客。要进一步限制他们的访问权限，您可以通过将 URL wp-admin 更改为其他内容来完全删除访问权限。您只需要使用 Change wp-admin 登录插件即可轻松实现此目的。

更进一步，添加双因素身份验证方法，例如双因素身份验证插件。同时，您还可以阻止安全插件报告的登录失败次数最多的 IP 地址。

8。限制登录尝试

默认的 WordPress 登录允许用户尽可能多次登录。它允许真实用户多次尝试登录，直到他/她获得访问权限。

但是对于黑客来说，有足够的空间来尝试进入您的网站。如果你获得足够的空间，它们还可以触发DDoS攻击，这会在一定程度上损害你网站的声誉。

您可以通过限制登录尝试重新加载插件来限制站点上的登录尝试，该插件允许您通过转到插件设置来设置登录尝试次数的限制。

9。隐藏 wp-config.php 和 .htaccess 文件

虽然这对于普通用户来说有点高级，但从长远来看，隐藏这些文件有助于提高站点的安全性。

警告： 在尝试此操作之前，我们建议您创建 WordPress 安装的备份。由于编码并不适合所有人，因此如果出现问题，可能会严重影响网站的流量。所以在尝试这个之前要小心。

备份站点后，您所要做的就是转到.htaccess文件并添加以下代码：操作

<Files .htaccess>
order allow,deny
deny from all
</Files>

虽然该过程很容易理解并且实施后，备份是必要的，以防万一您破坏了您的网站。现在编码工作就交给编码人员了。如果您有开发人员，您应该与他/她一起执行这些操作。

以上对于Apache环境的用户是可行的。如需更多安全设置，您可以查看我们的其他教程：

• 网站管理员和 Web 开发人员的 .htaccess 入门
• 15 个有用的 WordPress .htaccess 代码片段
• 10 个提高 WordPrs 安全性的 Nginx 规则 10.保持WordPr更新

  除了定期更新插件和主题之外，您还应该同时保持WordPr核心更新。

  与插件和主题类似，WordPress 核心开发人员也会在每个新版本中发布新的安全更新。通过更新，您可以防止黑客利用已知漏洞来危害您的网站。

  WordPress 会自动安装次要更新。但是，对于主要版本，您可以访问管理控制台来手动安装它们。

  推荐阅读：WordPr ESS 入门：手动更新 WordPr ESS 核心、主题和插件

  11​​。禁用 XML-RPC

  从版本 3.5 开始，XML-RPC 文件随标准 WordPr ess 安装一起提供，如果您想将站点与 Web 和移动应用程序连接起来至关重要。

  虽然这些文件很有用，但黑客已设法利用此文件对您的网站发起暴力攻击。

  如果您通过 WordFence 或其他安全插件安装了暴力保护，该插件将阻止来自多个 IP 地址的多次登录尝试。如果黑客尝试入侵您的网站 100 次，他们的 IP 地址将被阻止 100 次。

  但是，XML-RPC 对此进行了更改以支持它。他们通过访问函数 system.multicall 来猜测 20 到 50 个请求的密码，而不会被插件禁止其 IP。

  因此，为了确保安全免受暴力攻击，建议禁用 XML-RPC 文件。请参阅文章：什么是 XML-RPC，为什么以及如何禁用它？

  12. 注销闲置时间过长的用户

  每当登录用户（可能是您或您的员工）长时间离开屏幕时，您的网站就会出现安全风险。发生这种情况的方式有多种：

  • 您的 WordPress 会话可能被恶意软件劫持。
  • 有人可能会更改您网站的密码，从而禁用您的访问权限。
  • 一旦他们拥有您的帐户，他们就可以对您的帐户进行恶意更改。

  建议您删除在您的网站上长时间不活动的用户，以防止您的网站出现此类入侵。

  您可以使用名为 Inactive Logout 的插件来完成此操作。安装插件后，只需导航至设置>非活动注销即可设置插件的时间。然后点击“保存更改”即可完成。

  13。在您的 WordPress 登录中启用安全问题

  

  如果仅仅创建一个强密码、更改用户名和 wp-admin 登录 URL 还不够，您可以通过引入安全问题来进一步提高您的 WordPress 网站的安全性。

  WordPress 插件为您的安全性增添价值。使用 WP 安全问题插件，您可以向您的网站添加安全问题。

  14。定期进行安全检查

  WordFence 和相关安全插件会定期跟踪您的网站流量，并向您发送有关任何奇怪事件（如果存在）的报告。

  如果您发现网站流量或整体 SERP 排名突然发生变化，建议您手动扫描网站是否有错误以及网站被黑客攻击的可能迹象。

  有许多非 WordPress 解决方案可以帮助您检测网站上的问题。也就是说，其中最有效的是 Sucuri Site Health Check 和 Virustotal。

  进行这些扫描相对容易。您所要做的就是输入网站的 URL 并等待扫描完成。这两种扫描仪的搜索都非常彻底，并生成详细的报告，显示您的安全保护的不足之处以及您的网站存在哪些重大问题。

  建议定期进行这些扫描，以在出现问题时保护自己。

  15。禁用特定目录中的 PHP 执行

  确保后端安全的另一种方法是禁用某些目录中 PHP 文件的执行。在某些目录中，例如/wp-content/uploads/，不需要运行php。

  与禁用 XML-RPC 和文件编辑类似，您也可以这样做以防止黑客通过它们访问您的网站。

  您可以打开一个记事本文档，然后在其上输入以下代码：

  <Files *.php>
  deny from all 
  </Files>

  将其另存为 .htaccess 并将其上传到上述目录 /up -pcontent/up / 。与上面提到的 wp-config.php 文件类似，最好在执行此操作之前进行备份，因为进行更改可能会破坏您的网站。

  摘要

  WordPress 安全至关重要，您需要积极主动地为您的网站创建几乎牢不可破的墙。如果您已经这样做了，那么最好保持警惕并花时间检查您网站的安全性。

  如果不这样做，可能会以 SERP 黑名单的形式损害您的数字声誉，或更糟糕的是，黑客本身会要求赎金。

  祝您好运，确保您的 WordPress 网站免受黑客攻击。保持安全并保持警惕。