如何使 WordPress 網站安全

現在啟動您自己的 WordPress 網站非常容易。不幸的是，黑客很快就會開始瞄準您的網站。

確保 WordPress 網站安全的最佳方法是了解運行 WordPress 網站時出現的每一個漏洞點。然後安裝適當的安全措施以在每個點阻止黑客。

在本文中，您將了解如何更好地保護您的域、您的 WordPress 登錄以及可用於保護您的 WordPress 站點的工具和插件。

創建私有域

現在很容易找到一個可用的域並以非常便宜的價格購買它。大多數人從不為他們的域購買任何域插件。但是，您應該始終考慮的一個附加組件是隱私保護。

GoDaddy 提供三個基本級別的隱私保護，但這些也與大多數域名提供商的產品相匹配。

• 基本：從 WHOIS 目錄中隱藏您的姓名和聯繫信息。這僅在您的政府允許您隱藏域聯繫信息時可用。
• 完整：用備用電子郵件地址和聯繫信息替換您自己的信息，以掩蓋您的真實身份。
• Ultimate：阻止惡意域掃描的額外安全性，包括對您實際站點的網站安全監控。

通常，將您的域升級到這些安全級別之一隻需要從域列表頁面上的下拉列表中選擇升級。

基本域保護相當便宜（通常約為每年 9.99 美元），更高級別的安全性也不會貴很多。

這是阻止垃圾郵件發送者從 WHOIS 數據庫中抓取您的聯繫信息或其他惡意想要訪問您的聯繫信息的人的絕佳方式。

隱藏 wp-config.php 和 .htaccess 文件

首次安裝 WordPress時，您需要在 wp-config.php 文件中包含 WordPress SQL 數據庫的管理 ID 和密碼。 

安裝後數據會被加密，但您還想阻止黑客編輯此文件並破壞您的網站。為此，請在站點的根文件夾中找到並編輯 .htaccess 文件，然後在文件底部添加以下代碼。

# 保護 wpconfig.php

訂單允許，拒絕
拒絕所有人

為防止更改 .htaccess 本身，請將以下內容也添加到文件底部。

# 保護 .htaccess 文件

訂單允許，拒絕
拒絕所有人

保存文件並退出文件編輯器。

您還可以考慮右鍵單擊每個文件並更改權限以完全刪除每個人的寫訪問權限。

雖然在 wp-config.php 文件上執行此操作不會導致任何問題，但在 .htaccess 上執行此操作可能會導致問題。特別是如果您正在運行任何可能需要為您編輯 .htaccess 文件的安全 WordPress 插件。

如果您確實收到來自 WordPress 的任何錯誤，您始終可以更新權限以再次允許對 .htaccess 文件進行寫訪問。

更改您的 WordPress 登錄 URL

由於每個 WordPress 站點的默認登錄頁面是 yourdomain/wp-admin.php，黑客將使用此 URL 嘗試侵入您的站點。

他們將通過所謂的“強力”攻擊來做到這一點，他們將發送許多人常用的典型用戶名和密碼的變體。黑客希望他們能走運並獲得正確的組合。

您可以通過將您的WordPress 登錄 URL更改為非標準的內容來完全阻止這些攻擊。

有很多 WordPress 插件可以幫助您做到這一點。最常見的一種是WPS 隱藏登錄。

該插件在 WordPress設置下的常規選項卡中添加了一個部分。

在那裡，您可以輸入您想要的任何登錄 URL，然後選擇保存更改以將其激活。下次您想登錄 WordPress 站點時，請使用這個新 URL。

如果有人試圖訪問您的舊 wp-admin URL，他們將被重定向到您網站的 404 頁面。

注意：如果您使用緩存插件，請確保將您的新登錄 URL 添加到不緩存的站點列表中。然後確保在再次登錄 WordPress 站點之前清除緩存。

安裝 WordPress 安全插件

有很多WordPress 安全插件可供選擇。在所有這些工具中，Wordfence是最常下載的工具，這是有充分理由的。

Wordfence 的免費版本包括一個強大的掃描引擎，可以查找後門威脅、插件或站點中的惡意代碼、MySQL 注入威脅等。它還包括一個防火牆，用於阻止 DDOS 攻擊等活動威脅。 

它還可以讓您通過限制登錄嘗試並鎖定進行過多錯誤登錄嘗試的用戶來阻止暴力攻擊。

免費版本中有很多可用的設置。足以保護中小型網站免受大多數攻擊。

還有一個有用的儀表板頁面，您可以查看它來監控最近被阻止的威脅和攻擊。

使用 WordPress 密碼生成器和 2FA

您最不想看到的就是讓黑客輕易猜出您的密碼。不幸的是，太多人使用很容易猜到的非常簡單的密碼。一些示例包括使用網站名稱或用戶自己的姓名作為密碼的一部分，或者不使用任何特殊字符。

如果您已升級到最新版本的 WordPress，則可以使用功能強大的密碼安全工具來保護您的 WordPress 網站。 

提高密碼安全性的第一步是訪問您站點的每個用戶，向下滾動到“帳戶管理”部分，然後選擇“生成密碼”按鈕。

這將生成一個非常安全的長密碼，其中包括字母、數字和特殊字符。將此密碼保存在安全的地方，最好保存在外部驅動器上的文檔中，您可以在在線時將其與計算機斷開連接。

選擇Log Out Everywhere Else以確保關閉所有活動會話。

最後，如果您安裝了 Wordfence 安全插件，您將看到一個激活 2FA按鈕。選擇此選項可為您的用戶登錄啟用雙因素身份驗證。

如果您不使用 Wordfence，則需要安裝任何這些流行的 2FA 插件。

• 谷歌驗證器
• 雙重身份驗證
• Rublon 雙因素身份驗證
• Duo 雙因素身份驗證

其他重要的安全注意事項

您還可以採取一些其他措施來完全保護您的 WordPress 網站。

WordPress 插件和 WordPress 本身的版本都應該隨時更新。黑客經常試圖利用您網站上舊版本代碼中的漏洞。如果您不更新這兩項，您的網站將面臨風險。

1. 定期在您的 WordPress 管理面板中選擇插件和已安裝的插件。查看所有插件的狀態是否有新版本可用。

當您確實看到過時的內容時，請選擇立即更新。您還可以考慮為您的插件選擇啟用自動更新。 

但是，有些人對此持謹慎態度，因為插件更新有時會破壞您的網站或主題。因此，在您的實時站點上啟用插件更新之前，最好先在本地 WordPress 測試站點上測試插件更新。

2. 當您登錄到您的 WordPress 控制面板時，如果您運行的是舊版本，您會看到一條通知，提示您 WordPress 已過時。

同樣，備份站點並將其加載到您自己 PC 上的本地測試站點，以測試 WordPress 更新不會破壞您的站點，然後再將其更新到您的實時網站。

3. 利用虛擬主機的免費安全功能。大多數 Web 主機都為您在其中託管的網站提供各種免費的安全服務。他們這樣做是因為它不僅可以保護您的站點，而且可以保證整個服務器的安全。當您使用共享主機帳戶時，這一點尤其重要，而其他客戶在同一台服務器上擁有網站。

這些通常包括為您的網站免費安裝 SSL 安全軟件、免費備份、阻止惡意 IP 地址的能力，甚至還有一個免費的網站掃描器，它會定期掃描您的網站以查找任何惡意代碼或漏洞。

運行網站絕不僅僅是安裝 WordPress 和發佈內容那麼簡單。使您的 WordPress 網站盡可能安全非常重要。以上所有技巧都可以幫助您輕鬆做到這一點。