最后更新時間為 2024年9月15日

WordPress 網站安全性對于每個網站所有者來說都是一個非常重要的話題。

如果您對自己的網站非常重視，那么您需要注意 WordPress 安全防護。否則，您可能會成為 Google 每天列入惡意軟件和網絡釣魚黑名單的 10,000 多個網站之一。

在本指南中，我們將分享我們最重要的 WordPress 安全提示，以幫助您保護您的網站免受黑客和惡意軟件的攻擊。

雖然 WordPress 核心軟件非常安全并由數百名開發人員定期審核，但仍有很多工作要做才能保證您的網站安全。

在 小獸WordPress，我們認為安全不僅僅是消除風險，它還涉及降低風險。作為網站所有者，即使您不懂技術，也可以做很多事情來提高 WordPress 的安全性。

在本文中，我們整理了一系列可采取的步驟來保護您的網站免受安全漏洞的侵害。

為了方便起見，我們創建了一個目錄來幫助您輕松瀏覽我們的終極 WordPress 安全指南。

WordPress 安全基礎知識

為什么網站安全很重要

被黑客入侵的WordPress 網站可能會嚴重損害您企業的收入和聲譽。黑客可以竊取用戶信息和密碼、安裝惡意軟件，甚至向您的用戶分發惡意軟件。

最糟糕的是，您可能會發現自己向黑客支付勒索軟件只是為了重新獲得對您網站的訪問權限。

每天，谷歌都會向 1200 萬至 1400 萬用戶發出警告，他們試圖訪問的網站可能包含惡意軟件或竊取信息。

此外，Google 每天還會將大約 10,000 多個網站列入惡意軟件或網絡釣魚黑名單。

正如擁有實體店的企業主有責任保護自己的財產一樣，在線企業主也需要格外注意他們的 WordPress 安全。

保持 WordPress 更新

WordPress 是開源軟件，會定期維護和更新。默認情況下，WordPress 會自動安裝小更新。

對于主要版本，您需要手動啟動更新。

WordPress 還附帶了數千個插件和主題，您可以將其安裝在您的網站上。這些插件和主題由第三方開發人員維護，他們也會定期發布更新。

這些 WordPress 更新對于 WordPress 網站的安全性和穩定性至關重要。您需要確保您的 WordPress核心、插件和主題都是最新的。

使用強密碼和用戶權限

最常見的 WordPress 黑客攻擊是使用被盜密碼。您可以使用網站獨有的更強密碼來降低這種攻擊難度。

我們談論的不僅僅是 WordPress 管理區域。請記住為您的 FTP 帳戶、數據庫、WordPress 托管帳戶和使用您網站域名的自定義電子郵件地址創建強密碼。

許多初學者不喜歡使用強密碼，因為這些密碼很難記住。好消息是，您不再需要記住密碼，因為您可以使用密碼管理器。

請參閱有關如何管理 WordPress 密碼的指南以獲取更多信息。

降低風險的另一種方法是，除非絕對必要，否則不要讓任何人訪問您的 WordPress 管理員帳戶。

如果您擁有一個大型團隊或客座作者，那么在向您的 WordPress 網站添加新用戶帳戶和作者之前，請確保您了解WordPress 中的用戶角色和功能。

了解 WordPress 服務器的作用

您的WordPress 服務器服務在 WordPress 網站的安全性中起著最重要的作用。像阿里云、谷歌云或SiteGround這樣的優質共享托管服務提供商會采取額外措施來保護其服務器免受常見威脅。

以下僅列舉了優秀網絡托管公司在后臺保護您的網站和數據的幾種方法：

• 他們持續監控網絡以發現可疑活動。

• 所有好的托管公司都配有工具來防止大規模DDoS 攻擊。

• 他們保持服務器軟件、PHP 版本和硬件保持更新，以防止黑客利用舊版本中已知的安全漏洞。

• 他們有隨時可部署的災難恢復和事故計劃，以便在發生重大事故時保護您的數據。

在共享托管計劃中，您與許多其他客戶共享服務器資源。存在跨站點污染的風險，黑客可以使用鄰近站點攻擊您的網站。

相比之下，使用托管 WordPress 托管服務可以為您的網站提供更安全的平臺。托管 WordPress 托管公司提供自動備份、自動 WordPress 更新和更高級的安全配置來保護您的網站

只需幾個簡單步驟即可實現 WordPress 安全（無需編碼）

我們知道，提高 WordPress 安全性對于初學者來說可能是一件可怕的事情，尤其是如果您不懂技術的話。猜猜看 – 您并不孤單。

我們已經幫助數千名 WordPress 用戶加強了他們的 WordPress 安全性。

我們將向您展示如何只需幾次單擊（無需編碼）即可提高 WordPress 的安全性。

如果您可以點擊，您就可以做到這一點！

1. 安裝 WordPress 備份解決方案

備份是抵御任何 WordPress 攻擊的第一道防線。請記住，沒有什么是 100% 安全的。如果政府網站可能被黑客入侵，那么您的網站也可能被黑客入侵。

如果發生不好的事情，備份可以讓您快速恢復您的 WordPress 網站。

您可以使用許多免費和付費的WordPress 備份插件。關于備份，您需要知道的最重要的事情是，您必須定期將完整站點備份保存到遠程位置（而不是您的托管帳戶）。

我們建議將其存儲在 Amazon、Dropbox 等云服務或 Stash 等私有云上。

根據您更新網站的頻率，理想的設置可能是每天一次或實時備份。

幸運的是，這可以通過使用Duplicator、UpdraftPlus或BlogVault等插件輕松實現。它們都很可靠，最重要的是易于使用（無需編碼）。

有關更多詳細信息，請參閱有關如何備份您的 WordPress 網站的指南。

安裝信譽良好的 WordPress 安全插件

備份后，我們需要做的下一件事是建立一個審計和監控系統，跟蹤您網站上發生的所有事情。

這包括文件完整性監控、登錄嘗試失敗、惡意軟件掃描等。

值得慶幸的是，您可以通過安裝最好的 WordPress 安全插件之一（例如 Wordfence Security）輕松解決此問題。

Wordfence是一個 WordPress 安全插件，可幫助您保護您的網站免受黑客、惡意軟件、DDOS 和暴力攻擊等安全威脅。

它配備了網站應用程序防火墻，可以過濾進入您網站的所有流量并阻止可疑請求。

它有一個惡意軟件掃描程序，可以掃描您的所有 WordPress 核心文件、主題、插件和上傳文件夾以查找更改和可疑代碼。這可以幫助您清理被黑的 WordPress 網站。

基本的 Wordfence 插件是免費的，但它還附帶一個高級版本，讓您可以訪問更高級的功能，例如國家/地區阻止、實時更新的防火墻規則、計劃掃描等。

話雖如此，讓我們看看如何安裝和輕松設置 Wordfence 以獲得最大的安全性。

啟用 Web 應用程序防火墻 (WAF)

保護您的網站并對 WordPress 安全充滿信心的最簡單方法是使用 Web 應用程序防火墻 (WAF)。

網站防火墻會在惡意流量到達您的網站之前將其攔截。

• DNS級網站防火墻通過其云代理服務器路由您的網站流量。這樣它就可以只向您的 Web 服務器發送真正的流量。

• 應用程序級防火墻會在流量到達服務器后但在加載大多數 WordPress 腳本之前對其進行檢查。此方法在減少服務器負載方面不如 DNS 級防火墻有效。

將您的 WordPress 網站遷移到 SSL/HTTPS

SSL（安全套接字層）是一種協議，用于加密您的網站和用戶瀏覽器之間的數據傳輸。這種加密使他人更難嗅探和竊取信息。

一旦啟用 SSL，您的網站地址將使用HTTPS 而不是 HTTP。您還會在瀏覽器中看到網站地址旁邊有一個掛鎖或類似的圖標標志。

SSL 證書通常由證書頒發機構頒發，價格每年從 80 美元到數百美元不等。由于成本增加，過去大多數網站所有者選擇繼續使用不安全的協議。

為了解決這個問題，一個名為 Let’s Encrypt 的非營利組織決定向網站所有者提供免費的 SSL 證書。他們的項目得到了 Google Chrome、Facebook、Mozilla 等多家公司的支持。

現在，對所有 WordPress 網站使用 SSL 比以往更加簡單。

DIY 用戶的 WordPress 安全

如果您按照我們到目前為止提到的方法去做，那么您的狀態就非常好了。

但與往常一樣，您還可以采取更多措施來加強 WordPress 的安全性。

請記住，其中一些步驟可能需要編碼知識。

更改默認管理員用戶名

過去，WordPress 管理員的默認用戶名是“admin”。由于用戶名占登錄憑據的一半，這讓黑客更容易進行暴力攻擊。

值得慶幸的是，WordPress 已經改變了這一點，現在要求您在安裝 WordPress時選擇自定義用戶名。

但是，一些一鍵式 WordPress 安裝程序仍將默認管理員用戶名設置為“admin”。如果您發現這種情況，那么最好切換您的網絡托管。

由于 WordPress 默認不允許您更改用戶名，因此您可以使用三種方法來更改用戶名。

1. 創建一個新的管理員用戶名并刪除舊的。

2. 使用用戶名更改器插件

3. 從 phpMyAdmin 更新用戶名

我們在有關如何正確更改 WordPress 用戶名的詳細指南中介紹了所有這三個內容。

注意：需要明確的是，我們討論的是更改名為“admin”的用戶名，而不是管理員用戶角色（有時也稱為“admin”）。

禁用文件編輯

WordPress 帶有內置代碼編輯器，允許您直接從 WordPress 管理區域編輯主題和插件文件。

如果使用不當，該功能可能會帶來安全風險，因此我們建議將其關閉。

您可以通過將以下代碼添加到您的wp-config.php文件或使用WPCode等代碼片段插件（推薦）輕松完成此操作：

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

在某些 WordPress 目錄中禁用 PHP 文件執行

加強 WordPress 安全性的另一種方法是禁用不需要的目錄中的 PHP 文件執行，例如/wp-content/uploads/。

您可以通過打開記事本等文本編輯器并粘貼以下代碼來執行此操作：

<Files *.php>
deny from all
</Files>

接下來，您需要將此文件保存為.htaccess ，并使用FTP 客戶端將其上傳到/wp-content/uploads/您網站上的文件夾。

有關更詳細的說明，請參閱有關如何在某些 WordPress 目錄中禁用 PHP 執行的指南。

限制登錄嘗試次數

默認情況下，WordPress 允許用戶隨意嘗試登錄。這會使您的 WordPress 網站容易受到暴力攻擊。黑客會嘗試使用不同的組合登錄來破解密碼。

這個問題可以通過限制用戶登錄失敗次數來輕松解決。如果您使用前面提到的 Web 應用程序防火墻，那么這個問題會自動解決。

但是，如果您沒有設置防火墻，那么您可以繼續執行以下步驟。

首先，您需要安裝并激活免費的Limit Login Attempts Reloaded插件。有關更多詳細信息，請參閱有關如何安裝 WordPress 插件的分步指南。

激活后，插件將開始限制用戶的登錄嘗試次數。

默認設置適用于大多數網站，但是，您可以通過訪問“設置?限制登錄嘗試次數”頁面并單擊頂部的“設置”選項卡來自定義設置。例如，為了遵守 GDPR 法律，您可以單擊“GDPR 合規性”復選框。

添加雙因素身份驗證 (2FA)

雙重身份驗證方法要求用戶登錄兩個不同的步驟：

1. 第一步是用戶名和密碼。

2. 第二步要求您使用黑客無法訪問的設備或應用程序（例如您的智能手機）的代碼。

大多數頂級在線網站（例如 Google、Facebook 和 Twitter）都允許您為自己的帳戶啟用此功能。您還可以將相同的功能添加到您的 WordPress 網站。

首先，您需要安裝并激活WP 2FA – 雙因素身份驗證插件。有關更多詳細信息，請參閱有關如何安裝 WordPress 插件的分步指南。

更改 WordPress 數據庫前綴

默認情況下，WordPress 使用作為WordPress 數據庫wp_中所有表的前綴。

如果您的 WordPress 網站使用默認數據庫前綴，那么黑客就更容易猜出您的表名。這就是我們建議更改它的原因。

您可以按照我們的分步教程來更改數據庫前綴，了解如何更改 WordPress 數據庫前綴以提高安全性。

注意：如果操作不當，更改數據庫前綴可能會破壞您的網站。只有當您對自己的編碼技能感到滿意時才可以這樣做。

密碼保護 WordPress 管理員和登錄頁面

通常情況下，黑客可以不受任何限制地請求您的 wp-admin 文件夾和登錄頁面。這讓他們可以嘗試黑客技巧或運行 DDoS 攻擊。

您可以在服務器端添加額外的密碼保護，這將有效地阻止這些請求。

禁用目錄索引和瀏覽

當您在 Web 瀏覽器中輸入某個網站文件夾的地址時，index.html如果該網頁存在，則將顯示該網頁。如果不存在，則將顯示該文件夾中的文件列表。這稱為目錄瀏覽。

黑客可以利用目錄瀏覽來查明您是否擁有任何具有已知漏洞的文件，以便他們可以利用這些文件來獲取訪問權限。

目錄瀏覽功能還可能被其他人用來查看您的文件、復制圖片、找出您的目錄結構和其他信息。因此，我們強烈建議您關閉目錄索引和瀏覽功能。

您需要使用 FTP 或托管服務提供商的文件管理器連接到您的網站。接下來，.htaccess在您網站的根目錄中找到該文件。如果您在那里看不到它，請參閱我們的指南，了解為什么您在 WordPress 中看不到 .htaccess 文件。

之后，您需要在.htaccess 文件末尾添加以下行：

Options -Indexes

不要忘記保存并將 .htaccess 文件上傳回您的網站。

在 WordPress 中禁用 XML-RPC

XML-RPC 是 WordPress 的核心 API，可幫助您將 WordPress 網站與 Web 和移動應用程序連接起來。自 WordPress 3.5 起，它已默認啟用。

然而，由于其強大的特性，XML-RPC 可以顯著放大暴力攻擊。

例如，如果黑客通常想在你的網站上嘗試 500 個不同的密碼，那么他們就必須進行 500 次單獨的登錄嘗試。Limit Login Attempts Reloaded 插件可以捕獲并阻止這種情況。

但是使用 XML-RPC，黑客可以使用該system.multicall函數通過 20 或 50 個請求嘗試數千個密碼。

這就是為什么如果您不使用 XML-RPC，我們建議您禁用它。

提示： .htaccess 方法是最好的方法，因為它占用的資源最少。其他方法對初學者來說更簡單。

或者，如果您使用我們前面提到的 Web 應用程序防火墻 (WAF)，則會自動處理此問題。

在 WordPress 中自動注銷空閑用戶

登錄的用戶有時會離開屏幕，這會帶來安全風險。有人可能會劫持他們的會話、更改密碼或更改他們的帳戶。

這就是許多銀行和金融網站自動注銷不活躍用戶的原因。您也可以在 WordPress 網站上設置類似的功能。

您需要安裝并激活“非活動注銷”插件。激活后，請訪問“設置”?“非活動注銷”頁面以自定義注銷設置。

只需設置時間長度并添加注銷消息即可。然后，不要忘記點擊頁面底部的“保存更改”按鈕來保存您的設置。

將安全問題添加到 WordPress 登錄屏幕

在 WordPress 登錄屏幕添加安全問題可以使他人更難以獲得未經授權的訪問。

您可以通過安裝雙因素身份驗證插件來添加安全問題。激活后，您需要訪問多因素身份驗證?雙因素頁面來配置插件的設置。

這將允許您向您的網站添加各種類型的雙因素身份驗證，包括安全問題。

掃描 WordPress 中的惡意軟件和漏洞

如果您安裝了WordPress 安全插件，那么它會定期檢查惡意軟件和安全漏洞的跡象。

但是，如果您發現網站流量或搜索排名突然下降，則可能需要手動掃描惡意軟件。您可以使用 WordPress 安全插件或最好的惡意軟件和安全掃描程序之一來執行此操作。

運行這些在線掃描非常簡單。您只需輸入您的網站網址，他們的爬蟲就會瀏覽您的網站以查找已知的惡意軟件和惡意代碼。

現在，請記住，大多數 WordPress 安全掃描程序只能在您的網站包含惡意軟件時向您發出警告。它們無法刪除惡意軟件或清理被黑的 WordPress 網站。

這將帶我們進入下一部分，清理惡意軟件和被黑的 WordPress 網站。

修復被黑的WordPress網站

許多 WordPress 用戶直到他們的網站被黑客入侵后才意識到備份和網站安全的重要性。

黑客在受影響的網站上安裝后門，如果這些后門沒有得到正確修復，那么您的網站很可能會再次遭到黑客攻擊。

對于喜歡冒險和 DIY 的用戶，我們編制了有關修復被黑的 WordPress 網站的分步指南。

然而，清理 WordPress 網站可能非常困難且耗時。我們的建議是讓專業人士來處理。

額外提示：聘請 WordPress 維護服務

作為一名忙碌的小企業主，您可能沒有時間監控網站安全并保護其免受漏洞攻擊。因此，為了減輕您的負擔，您可以聘請 WordPress 維護服務進行 24/7 安全監控。

小獸WordPress 以實惠的價格提供全面的WordPress 網站維護。它包括安全監控、常規云備份、WordPress 更新、正常運行時間監控等。

只需選擇適合您需求的每月維護服務包，您將獲得更安全的 WordPress 網站和額外的空閑時間來處理業務的其他方面。

總結

我們希望本文能幫助您了解 WordPress 安全性的最佳實踐，并發現適合您網站的頂級 WordPress 安全插件。