我们认识的每个 WordPress 网站所有者都曾有过那种意识到自己的网站可能存在安全漏洞,容易受到黑客攻击时的恐慌时刻。我们自己也曾在创业初期就深刻体会到这一点,亲眼目睹了安全漏洞对企业造成的严重影响。
因此,多年来,我们通过使用最好的安全插件并遵循 WordPress 安全最佳实践,成功地保护了 WPBeginner 免受反复攻击。
WordPress 安全不必复杂或昂贵。大多数网站所有者认为他们需要聘请专家或花费数千美元购买安全工具,但事实并非如此。只要方法得当,策略成熟,您就能像我们保护自己的网站一样保护您的网站。
我们多年来一直致力于测试安全插件、实施最佳实践,并帮助成千上万的 WordPress 用户保护他们的网站。在本指南中,我们将逐步介绍我们保护网站安全的每一个步骤,让您安心入睡,因为您的 WordPress 网站已得到妥善保护。
虽然 WordPress 核心软件非常安全,并且定期接受数百名开发人员的审核,但要确保网站安全,仍然有很多工作要做。
在 WPBeginner,我们认为安全不仅仅是消除风险,更重要的是降低风险。作为网站所有者,即使您不精通技术,也可以采取很多措施来提高 WordPress 的安全性。
因此,我们整理了一份 WordPress 安全检查清单,其中包含您可以采取的切实可行的步骤,以保护您的网站免受安全漏洞的侵害。
为了方便起见,我们创建了一个目录,帮助您轻松浏览我们全面的 WordPress 安全指南。
为什么网站安全如此重要
WordPress网站一旦被黑客入侵,可能会对您的企业收入和声誉造成严重损害。黑客可以窃取用户信息和密码,安装恶意软件,甚至向您的用户传播恶意软件。
最糟糕的情况是,你可能不得不向黑客支付赎金才能重新获得对网站的访问权限。
谷歌每天会警告 1200 万至 1400 万用户,他们尝试访问的网站可能包含恶意软件或窃取信息。
此外,谷歌每天还会将超过 10,000 个网站列入恶意软件或网络钓鱼黑名单。
就像拥有实体店面的企业主有责任保护自己的财产一样,在线企业主也需要格外注意 WordPress 的安全。
保持 WordPress 更新
WordPress是开源软件,并定期维护和更新。默认情况下,WordPress会自动安装小版本更新。
对于重大版本更新,您需要手动启动更新。
WordPress 还自带数千款插件和主题,您可以将其安装到您的网站上。这些插件和主题由第三方开发者维护,他们也会定期发布更新。
这些 WordPress 更新对于 WordPress 网站的安全性和稳定性至关重要。您需要确保 WordPress核心程序、插件和主题都是最新版本。
使用强密码和用户权限
最常见的 WordPress 黑客攻击手段是使用窃取的密码。但是,您可以通过为您的网站设置更强、独一无二的密码来增加这种攻击的难度。
我们说的不仅仅是WordPress管理后台。请记住为您的FTP账户、数据库、WordPress主机账户以及使用您网站域名的自定义电子邮件地址创建强密码。
很多新手不喜欢使用强密码,因为很难记住。好消息是,你现在不需要再记住密码了,因为你可以使用密码管理器。
另一种降低风险的方法是,除非绝对必要,否则不要给任何人访问你的 WordPress 管理员帐户的权限。
如果您拥有庞大的团队或客座作者,那么在向 WordPress 网站添加新用户帐户和作者之前,请务必了解WordPress 中的用户角色和权限。
了解 WordPress 主机的作用
WordPress主机服务在保障 WordPress 网站安全方面起着至关重要的作用。像Hostinger、Bluehost或SiteGround这样优秀的共享主机服务商会采取额外的措施来保护服务器免受常见威胁。
以下是一些优秀的网站托管公司在后台保护您的网站和数据的方法:
1.他们会持续监控网络,以发现可疑活动。
2.所有优秀的托管公司都配备了相应的工具来防止大规模DDoS攻击。
3.他们会及时更新服务器软件、PHP 版本和硬件,以防止黑客利用旧版本中已知的安全漏洞。
4.他们拥有随时可部署的灾难恢复和事故应急预案,以便在发生重大事故时保护您的数据。
在共享主机方案中,您将与其他许多客户共享服务器资源。这存在跨站攻击的风险,黑客可能利用邻近的网站攻击您的网站。
相比之下,使用托管式 WordPress 主机服务可以为您的网站提供更安全的平台。托管式 WordPress 主机公司提供自动备份、自动 WordPress 更新以及更高级的安全配置来保护您的网站。
我们推荐SiteGround作为我们首选的 WordPress 托管服务提供商。他们拥有响应迅速的技术支持、快速的服务器和卓越的可靠性。
几个简单步骤即可实现 WordPress 安全防护(无需编码)
我们知道,对于新手来说,尤其是不擅长技术的人来说,提高 WordPress 安全性可能是一件令人头疼的事。但别担心——你并不孤单。
我们已帮助数千名 WordPress 用户加强了 WordPress 的安全性。
我们将向您展示如何通过几次点击来提高 WordPress 的安全性(无需编码)。
1. 安装 WordPress 备份解决方案
备份是抵御 WordPress 攻击的第一道防线。记住,没有绝对安全的东西。政府网站都能被黑客攻击,你的网站也一样。
备份功能可以让您在发生意外情况时快速恢复 WordPress 网站。
有很多免费和付费的WordPress 备份插件可供使用。关于备份,最重要的一点是必须定期将整个网站备份保存到远程位置(而不是您的主机账户)。
我们建议将其存储在亚马逊云服务、Dropbox 或 Stash 等私有云上。
根据您更新网站的频率,理想的设置可能是每天一次备份或实时备份。
幸运的是,使用Duplicator、UpdraftPlus或BlogVault等插件可以轻松实现这一点。它们既可靠,最重要的是易于使用(无需编码)。
安装一款信誉良好的 WordPress 安全插件
备份完成后,接下来我们需要做的就是建立一个审计和监控系统,用来跟踪您网站上发生的一切。
这包括文件完整性监控、登录失败尝试、恶意软件扫描等等。
幸运的是,您可以通过安装一款优秀的 WordPress 安全插件(例如 Sucuri)轻松解决这个问题。
您需要安装并激活免费的 Sucuri Security 插件。更多详情,请参阅我们的WordPress 插件安装分步指南。
现在,您可以前往Sucuri Security » 控制面板,查看该插件是否发现您的 WordPress 代码存在任何直接问题。
接下来,您需要导航至Sucuri Security » 设置页面,然后点击“加固”选项卡。
默认设置对大多数网站都适用,因此您可以点击每个选项的“应用强化”按钮来激活它们。
这有助于你锁定黑客在攻击中经常使用的关键区域。
提示:本文稍后将介绍更多加固网站的方法,例如更改数据库前缀和管理员用户名。不过,这些方法技术性较强,可能需要一定的编程知识。
完成强化部分后,该插件的其他默认设置对于大多数网站来说已经足够好了,不需要任何更改。
我们唯一建议自定义的是电子邮件提醒,可以在设置页面的“提醒”选项卡中找到。
默认情况下,您会收到大量电子邮件提醒,这些提醒可能会让您的收件箱变得杂乱不堪。
我们建议仅对您希望收到通知的关键操作启用提醒,例如插件更改和新用户注册。
这款 WordPress 安全插件功能非常强大,请浏览所有选项卡和设置,了解它的所有功能,例如恶意软件扫描、审计日志、失败登录尝试跟踪等等。
启用 Web 应用程序防火墙 (WAF)
使用 Web 应用程序防火墙 (WAF) 是保护您的网站并确保 WordPress 安全性的最简单方法。
网站防火墙会在恶意流量到达您的网站之前将其拦截。
1.DNS层网站防火墙会将您的网站流量路由到其云代理服务器。这样一来,它就能确保只有合法流量才能发送到您的 Web 服务器。
2.应用层防火墙会在流量到达服务器后、加载大多数 WordPress 脚本之前对其进行检查。这种方法在降低服务器负载方面不如 DNS 层防火墙有效。
了解更多信息,请参阅我们的最佳 WordPress 防火墙插件列表。
多年来,我们一直在 WPBeginner 上使用Sucuri ,至今仍将其推荐为 WordPress 最佳 Web 应用防火墙之一。最近,我们从 Sucuri 切换到了 Cloudflare,因为我们需要一个规模更大、功能更侧重于企业客户的 CDN 网络。
您可以阅读有关Sucuri 如何帮助我们在一个月内阻止 450,000 次 WordPress 攻击的文章。
Sucuri防火墙最棒的地方在于它还提供恶意软件清理和黑名单移除保证。这意味着,如果您的网站在他们的监控下遭到黑客攻击,无论您的网站有多少页面,他们都保证会修复您的网站。
这项保障力度相当大,因为修复被黑网站的费用很高。安全专家通常每小时收费超过 250 美元,而您只需 199 美元即可获得 Sucuri 全套安全解决方案,有效期长达一年。
话虽如此,Sucuri并非市面上唯一的DNS级防火墙提供商。另一个热门竞争对手是Cloudflare。
将您的 WordPress 网站迁移到 SSL/HTTPS
SSL(安全套接层)是一种协议,用于加密您的网站和用户浏览器之间的数据传输。这种加密方式使得他人更难窥探和窃取信息。
启用 SSL 后,您的网站地址将使用HTTPS 而不是 HTTP。您还会在浏览器中看到网站地址旁边有一个挂锁或类似的图标。
SSL证书通常由证书颁发机构颁发,价格从每年80美元到数百美元不等。由于成本较高,过去大多数网站所有者选择继续使用不安全的协议。
为了解决这个问题,一个名为 Let’s Encrypt 的非营利组织决定向网站所有者提供免费的 SSL 证书。他们的项目得到了谷歌 Chrome、Facebook、Mozilla 以及许多其他公司的支持。
现在,为所有 WordPress 网站启用 SSL 比以往任何时候都更加容易。许多主机公司现在都提供免费的 WordPress 网站 SSL 证书。
如果您的主机服务商不提供 SSL 证书,您可以从Domain.com购买。他们提供市面上最好、最可靠的 SSL 证书。该证书附带 10,000 美元的安全保障和 TrustLogo 安全认证标志。
WordPress 安全 DIY 用户指南
如果你按照我们目前提到的所有方法去做,那么你的状态就相当不错了。
但和以往一样,你还可以采取更多措施来加强 WordPress 的安全性。
请注意,其中一些步骤可能需要编程知识。
更改默认管理员用户名
过去,WordPress 的默认管理员用户名是“admin”。由于用户名占登录凭据的一半,这使得黑客更容易进行暴力破解攻击。
值得庆幸的是,WordPress 后来更改了这一点,现在要求您在安装 WordPress时选择自定义用户名。
然而,有些一键式 WordPress 安装程序仍然会将默认管理员用户名设置为“admin”。如果您发现这种情况,那么更换您的网站托管服务商可能是一个好主意。
由于 WordPress 默认情况下不允许您更改用户名,因此您可以使用以下三种方法来更改用户名。
1.创建一个新的管理员用户名,并删除旧的用户名。
2.使用用户名更改器插件
3.通过 phpMyAdmin 更新用户名
我们在关于如何正确更改 WordPress 用户名的详细指南中涵盖了这三点。
注意:需要明确的是,我们讨论的是更改名为“admin”的用户名,而不是管理员用户角色(有时也称为“admin”)。
禁用文件编辑
WordPress 自带一个内置代码编辑器,允许您直接在 WordPress 管理区域编辑主题和插件文件。
如果落入不法分子手中,此功能可能存在安全隐患,因此我们建议将其关闭。
您可以通过将以下代码添加到wp-config.php文件中,或者使用像WPCode这样的代码片段插件(推荐)轻松完成此操作:
|
1
2
|
// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true ); |
我们在关于如何从 WordPress 管理面板禁用主题和插件编辑器的指南中,一步一步地向您展示如何操作。
禁用特定 WordPress 目录中的 PHP 文件执行
加强 WordPress 安全性的另一种方法是禁用不需要执行 PHP 文件的目录中的 PHP 文件执行,例如/wp-content/uploads/。
你可以打开类似记事本之类的文本编辑器,然后粘贴以下代码来完成此操作:
|
1
2
3
|
<Files *.php>deny from all</Files> |
接下来,你需要将此文件另存为.htaccess ,并使用FTP 客户端将其上传到/wp-content/uploads/你网站上的文件夹中。
有关更详细的说明,请参阅我们关于如何禁用某些 WordPress 目录中的 PHP 执行的指南。
限制登录尝试次数
默认情况下,WordPress 允许用户尝试登录任意次数。这使得您的 WordPress 网站很容易受到暴力破解攻击。黑客会尝试使用不同的密码组合登录,以此来破解密码。
这个问题可以通过限制用户登录失败次数轻松解决。如果您使用的是前面提到的 Web 应用程序防火墙,则会自动处理此问题。
但是,如果您还没有设置防火墙,那么您可以按照以下步骤继续操作。
首先,您需要安装并激活免费的Limit Login Attempts Reloaded插件。
激活后,该插件将开始限制用户可以进行的登录尝试次数。
默认设置适用于大多数网站。不过,您也可以通过访问“设置”»“限制登录尝试次数”页面并点击顶部的“设置”选项卡来自定义设置。例如,为了遵守 GDPR 法规,您可以勾选“GDPR 合规性”复选框。
添加双因素认证(2FA)
双因素身份验证方法要求用户完成两个不同的步骤才能登录:
1.第一步是输入用户名和密码。
2.第二步需要你使用黑客无法访问的设备或应用程序(例如你的智能手机)中的代码。
大多数主流网站,例如 Google、Facebook 和 Twitter,都允许您在帐户中启用此功能。您也可以将相同的功能添加到您的 WordPress 网站。
首先,您需要安装并激活WP 2FA – 双因素身份验证插件。
一个用户友好的向导将帮助您设置插件,然后您将获得一个二维码。
您需要使用手机上的身份验证器应用程序(例如 Google Authenticator、Authy 或 LastPass Authenticator)扫描二维码。
我们推荐使用LastPass Authenticator或Authy,因为它们允许您将帐户备份到云端。这在手机丢失、重置或购买新手机时非常有用。所有帐户登录信息都可以轻松恢复。
这些应用程序大多以类似的方式工作,如果您使用的是 Authy,则只需点击身份验证器应用程序中的“+”或“添加帐户”按钮即可。
这样您就可以使用手机摄像头扫描电脑上的二维码。您可能需要先授予该应用访问摄像头的权限。
给账户命名后,就可以保存了。
下次您登录网站时,输入密码后系统会要求您输入双因素身份验证码。
只需打开手机上的身份验证器应用程序,即可看到一次性验证码。
然后您可以在网站上输入验证码以完成登录。
更改 WordPress 数据库前缀
默认情况下,WordPress 使用作为WordPress 数据库wp_中所有表的前缀。
如果您的 WordPress 网站使用的是默认数据库前缀,那么黑客更容易猜到您的表名。因此,我们建议您更改它。
您可以按照我们的分步教程更改数据库前缀,以提高 WordPress 数据库的安全性。
注意:更改数据库前缀如果操作不当,可能会导致网站崩溃。请仅在您对自己的编码技能有十足把握的情况下进行此操作。
为 WordPress 管理员和登录页面设置密码保护
通常情况下,黑客可以不受任何限制地请求访问您的 wp-admin 文件夹和登录页面。这使得他们可以尝试各种黑客攻击手段或发起 DDoS 攻击。
您可以在服务器端添加额外的密码保护,这将有效地阻止这些请求。
只需按照我们的分步说明操作,即可为您的 WordPress 管理 (wp-admin) 目录设置密码保护。
禁用目录索引和浏览
当你在浏览器中输入网站某个文件夹的地址时,index.html如果该文件夹存在,则会显示相应的网页。如果该文件夹不存在,则会显示该文件夹中的文件列表。这称为目录浏览。
黑客可以利用目录浏览来查找你是否有任何存在已知漏洞的文件,从而利用这些文件获取访问权限。
目录浏览功能也可能被他人用来查看您的文件、复制图像、了解您的目录结构以及其他信息。因此,强烈建议您关闭目录索引和浏览功能。
您需要使用 FTP 或主机提供商的文件管理器连接到您的网站。接下来,.htaccess在网站根目录中找到该文件。如果您在那里找不到它,请参阅我们关于为什么在 WordPress 中看不到 .htaccess 文件的指南。
之后,您需要在 .htaccess 文件末尾添加以下行:
Options -Indexes
别忘了保存 .htaccess 文件并将其上传回您的网站。
在 WordPress 中禁用 XML-RPC
XML-RPC 是 WordPress 的核心 API,它可以帮助您将 WordPress 网站与 Web 和移动应用程序连接起来。自 WordPress 3.5 版本起,它已默认启用。
然而,由于其强大的特性,XML-RPC 可以显著放大暴力破解攻击。
例如,如果黑客想要尝试使用您网站上的 500 个不同的密码,他们就必须进行 500 次单独的登录尝试。“限制登录尝试次数”插件可以捕获并阻止这种行为。
但是,使用 XML-RPC,黑客可以利用该system.multicall功能,通过 20 或 50 次请求来尝试数千个密码。
因此,如果您不使用 XML-RPC,我们建议您禁用它。
在 WordPress 中禁用 XML-RPC 有 3 种方法,我们在关于如何在 WordPress 中禁用 XML-RPC 的分步教程中涵盖了所有这些方法。
提示:使用 .htaccess 文件是最佳选择,因为它占用资源最少。其他方法对初学者来说更容易上手。
在 WordPress 中自动注销闲置用户
已登录用户有时会离开屏幕,这会带来安全风险。其他人可以劫持他们的会话、更改密码或修改他们的帐户。
这就是为什么许多银行和金融网站会自动注销不活跃用户的原因。您也可以在 WordPress 网站上设置类似的功能。
您需要安装并激活“非活动注销”插件。激活后,请访问“设置”»“非活动注销”页面,自定义注销设置。
只需设置退出时间并添加退出消息。然后,别忘了点击页面底部的“保存更改”按钮来保存您的设置。
向 WordPress 登录屏幕添加安全问题
在 WordPress 登录界面添加安全问题,可以进一步防止他人未经授权的访问。
您可以通过安装双因素身份验证插件来添加安全问题。激活后,您需要访问“多因素身份验证 » 双因素”页面来配置插件设置。
这将允许您向您的网站添加各种类型的双因素身份验证,包括安全问题。
扫描 WordPress 是否存在恶意软件和漏洞
如果您安装了WordPress 安全插件,它将定期检查恶意软件和安全漏洞迹象。
但是,如果您发现网站流量或搜索排名突然下降,则可能需要手动扫描恶意软件。您可以使用 WordPress 安全插件或一些优秀的恶意软件和安全扫描程序来完成此操作。
运行这些在线扫描非常简单。您只需输入网站网址,他们的爬虫程序就会浏览您的网站,查找已知的恶意软件和恶意代码。
请注意,大多数 WordPress 安全扫描器只能在您的网站包含恶意软件时发出警告,但它们无法清除恶意软件或清理被黑的 WordPress 网站。
修复被黑的 WordPress 网站
许多 WordPress 用户直到网站被黑客攻击后才意识到备份和网站安全的重要性。
黑客会在受影响的网站上安装后门,如果这些后门没有得到妥善修复,那么你的网站很可能会再次被黑客攻击。
对于喜欢冒险和自己动手的用户,我们整理了一份关于修复被黑 WordPress 网站的分步指南。
然而,清理 WordPress 网站可能非常困难且耗时。我们的建议是交给专业人士来处理。
如果您付费使用我们上面提到的Sucuri安全插件,那么网站被黑后的修复费用已经包含在价格中。
或者,您可以查看我们推荐的最佳 WordPress 支持机构,找到可以帮您修复被黑网站的专业人士。
WordPress 安全常见问题解答
由于 WordPress 安全性至关重要,我们经常收到相关问题。以下是关于如何保护 WordPress 网站免受攻击的常见问题解答。
WordPress 使用安全吗?
WordPress 的设计本身就很安全,尤其是在定期更新的情况下。然而,由于它非常流行,黑客经常将 WordPress 网站作为攻击目标。
不过别担心。只要遵循本文中介绍的这些简单的安全提示,就能大大降低网站被黑客攻击的风险。
哪些因素会使我的WordPress网站面临风险?
黑客入侵网站的方式多种多样。一些常见的威胁包括猜测密码、安装恶意软件以及寻找网站代码中的漏洞来窃取信息或控制网站。
我的WordPress网站应该多久更新一次?
保持 WordPress 网站、主题和插件的更新至关重要。新版本通常会修复安全问题。建议您至少每周检查一次更新,或启用自动更新并及时安装。
我需要安装专门的安全插件吗?
您并非必须使用安全插件,但它们可以大大提高您网站的安全性。安全插件就像您网站的额外卫士,保护您免受黑客和恶意软件的侵害。
如何判断我的网站是否被黑客入侵?
如果您发现网站出现异常情况,这可能是您的网站已被黑客入侵的迹象。这些异常情况可能包括:出现您未创建的新用户或文件、网站将访客重定向到其他网站、网站运行缓慢,或者收到来自谷歌或网站托管服务商的警告。
如果我的网站被黑客攻击了,我该怎么办?
如果您怀疑自己的网站遭到黑客攻击,请不要惊慌,但要迅速采取行动。您可以联系您的网站托管公司寻求帮助。您也可以使用安全插件或请安全专家清理您的网站。
如果您有网站备份,请从备份中恢复。务必更改所有密码,包括 WordPress 管理后台、数据库和 FTP 的密码。
