<h2 class="wp-block-heading">1.选择优质的主机托管商</h2> 使WordPress站点免受恶意软件攻击的最佳方法是选择一个在服务器级别提供多层安全性的托管服务提供商。 廉价的托管主机总是非常吸引人的,尤其是在您刚刚开始使用时。但是,从长远来看,如果您对网站的建设很认真,就应该选择安全性较高的主机托管商。 好的主机不仅可以提供卓越的安全性,它还带有许多其他好处,例如内置CDN、自动备份、免费迁移以及免费的WordPress安装,可帮助您节省时间并从一开始就优化您的网站。这些类型的托管服务称为托管型主机。 网络上有很多托管型主机,做外贸网站的,建议使用 SiteGround 或 WPEngine。 国内几乎没有什么针对WordPress优化的托管型主机,但是你可以优先考虑 <a href="https://s.click.taobao.com/ClCPjut" target="_blank" rel="noreferrer noopener">阿里云</a>、腾讯云 这样的大厂的产品。 <h2 class="wp-block-heading"><span id="2%E9%81%BF%E5%85%8D%E4%BD%BF%E7%94%A8%E7%9B%97%E7%89%88%E4%B8%BB%E9%A2%98%E5%92%8C%E6%8F%92%E4%BB%B6" class="ez-toc-section"></span>2.避免使用盗版主题和应用</h2> 高级主题和应用具有其他同类产品无法比拟的功能。开发人员发布了高级版本,以确保他们有足够的财力来将来继续开发更好的产品。 为了确保WordPress的安全性,这些应用和主题会不断更新并投放市场。为这些主题付费的个人会将其更新为最新版本。 开发人员确保质量,保障用户的网站安全。 然而,有些人免费寻求高级功能,去下载使用各种盗版破解的WordPress主题和应用。看起来是占了巨大的便宜,其实这是非常愚蠢的做法。 这种盗版主题和应用可能不是最新版,会存在安全漏洞,并且很多网上流传的盗版东西,都有植入恶意代码,你的网站随时都有可能被黑客拿下,甚至一夜之间就被删除! 这可不是危言耸听,可以看下我们之前发布的文章: <ul> <li>再次警告:不要使用WordPress盗版主题和应用,避免受到WP-VCD恶意感染</li> </ul> <h2 class="wp-block-heading"><span id="3%E5%AE%89%E8%A3%85%E4%BD%BF%E7%94%A8%E5%AE%89%E5%85%A8%E6%8F%92%E4%BB%B6" class="ez-toc-section"></span>3.安装使用安全应用</h2> 您可以通过定期检查网站,主题和应用的代码库来检查网站是否存在漏洞。大多数程序员还是会通过安装安全应用来采取简单而自动化的方法。 安全插应用可帮助保护您的网站免受恶意软件攻击和各种形式的黑客攻击。它还可以使您的站点保持24/7全天候运行,并在发生问题时向您发送安全警报。 WordFence在安全插应用方面处于行业领先地位,它提供了多种安全功能,例如恶意软件检测,阻止不可靠的登录名,防火墙,扫描仪,两因素身份验证等等。 除了WordFence之外,您还可以使用Sucuri Security来保护WordPress安装。该插应用具有强大的功能,例如通过内置的缓存工具和CDN提高站点速度,防御DDoS攻击,利用和其他黑客攻击。 我们提到的这两个插应用都带有其高级版本,这些高级版本可为您的WordPress网站带来额外的性能和安全性提升。也就是说,免费版本也非常有用的。 <h2 class="wp-block-heading"><span id="4%E4%BD%BF%E7%94%A8%E5%BC%BA%E5%AF%86%E7%A0%81%E5%92%8C%E7%94%A8%E6%88%B7%E5%90%8D" class="ez-toc-section"></span>4.使用强密码和用户名</h2> <div class="wp-block-image"> <figure class="aligncenter size-large"><img class="wp-image-98583 entered lazyloaded exited" src="https://www.wpdaxue.com/img/2020/07/Password.png" alt="" width="600" height="408" data-lazy-src="https://www.wpdaxue.com/img/2020/07/Password.png" data-ll-status="loaded" /></figure> </div> 强大的密码是保护网站安全的重要工具。通常被忽略,但仍有许多用户喜欢使用“ 123456,password和abc123”之类的密码。 如果您是这些用户之一,请立即更改密码。尽管很容易记住这些密码,但是即使安装了安全插应用,黑客也很容易获得访问您的站点的权限,而不会遇到任何特殊问题。 要使用所有最佳做法设置强密码,您应该选择一个在线密码生成器。我们知道生成器将释放复杂且难以记住的密码。要解决该问题,您可以使用密码管理服务(例如<a href="https://www.lastpass.com/" target="_blank" rel="noreferrer noopener">Lastpass</a>或<a href="https://www.passbolt.com/" target="_blank" rel="noreferrer noopener">Passbolt</a>)。 不要只限于登录密码。为您的托管帐户、FTP和数据库创建强密码。 同样,不要仅仅依靠通用的登录用户名,例如“ Login”或“ admin”。尝试对用户名采取更加个性化的方法,以使黑客无法轻易发现它。此时,您不需要生成器。只需发挥您的想象力,然后找出一个容易记住的用户名即可。 例如,您可以使用喜欢的作者的用户名(例如Ernest Hemingway),并创建一个用户名,例如“ E-Hemmingway”或“ Ernest Hummingbird”。这只是一个有意思的例子。 <h2 class="wp-block-heading"><span id="5%E7%A6%81%E7%94%A8%E6%96%87%E4%BB%B6%E7%BC%96%E8%BE%91%E9%80%89%E9%A1%B9" class="ez-toc-section"></span>5.禁用文件编辑选项</h2> 您可以通过访问仪表盘并通过 <strong>外观>主题编辑器</strong> 、<strong>插应用>插应用编辑器</strong> 来编辑WordPress主题和插应用的代码。 一旦开发人员完成了一些自定义更改(如果有),就应该禁用文件编辑器功能。如果黑客访问您的网站,禁用文件编辑选项也将阻止他们在您的网站上植入恶意代码。 禁用文件编辑功能非常简单。转到您的<strong>wp-config.php</strong>并粘贴以下代码,如下所示; <pre class="pure-highlightjs"><code class="null">define('DISALLOW_FILE_EDIT', true);</code></pre> <h2 class="wp-block-heading"><span id="6%E5%AE%89%E8%A3%85SSL%E8%AF%81%E4%B9%A6" class="ez-toc-section"></span>6.安装SSL证书</h2> <div class="wp-block-image"> <figure class="aligncenter size-large"><img class="wp-image-98589 entered lazyloaded exited" src="https://www.wpdaxue.com/img/2020/07/Security.png" alt="" width="515" height="304" data-lazy-src="https://www.wpdaxue.com/img/2020/07/Security.png" data-ll-status="loaded" /></figure> </div> SSL表示该站点是安全的,并且该站点的交易和付款处理也很安全。 如果您希望在搜索引擎结果页(SERP)中排名靠前,并确保用户的WordPress网站安全,那么您必须安装SSL证书。 SSL证书将 <strong>https://</strong> 而不是普通的旧 <strong>http://</strong>添加到您的站点。它向搜索引擎表明网站是安全的,并且网站内的交易和其他活动也是安全的。结果,当您在网站上发布内容并在诸如Google之类的搜索引擎上对其进行排名时,它会优先于其他非安全网站。 互联网上有很多SSL证书提供程序,而且很多都是免费的 ,比如国内大厂 <a href="https://s.click.taobao.com/ClCPjut" target="_blank" rel="noreferrer noopener">阿里云</a>、腾讯云 都有提供免费SSL证书。 <h2 class="wp-block-heading"><span id="7%E5%B0%86%E2%80%9Cwp-admin%E2%80%9D%E5%90%8E%E5%8F%B0%E7%BD%91%E5%9D%80%E6%9B%B4%E6%94%B9%E4%B8%BA%E5%85%B6%E4%BB%96%E5%86%85%E5%AE%B9" class="ez-toc-section"></span>7.将“wp-admin”后台网址更改为其他内容</h2> 默认的WordPress后台网址为:<code>yoursite.com/wp-admin</code> 如果您拥有强大的用户名和密码,那么您已经对黑客安全了。要进一步限制他们的访问,可以通过将网址<code>wp-admin</code>更改为其他内容来完全删除访问。只需要使用 <a href="https://wordpress.org/plugins/change-wp-admin-login/" target="_blank" rel="noreferrer noopener">Change wp-admin login</a> 插应用即可轻松实现。 更进一步,你还可以添加一个双因素身份验证方法,比如使用 <a href="https://wordpress.org/plugins/two-factor-authentication/" target="_blank" rel="noreferrer noopener">双因素身份验证</a> 插应用即可。同时,您还将阻止安全性插应用报告的登录失败次数最多的IP地址。 <h2 class="wp-block-heading"><span id="8%E9%99%90%E5%88%B6%E7%99%BB%E5%BD%95%E5%B0%9D%E8%AF%95" class="ez-toc-section"></span>8.限制登录尝试</h2> 默认的WordPress登录名允许用户尽可能多地登录。它允许真实用户尝试登录几次,直到他/她可以访问为止。 但是对于黑客来说,它提供了足够的空间来尝试访问您的网站。如果有足够的空间,它们还可以触发DDoS攻击,这可能会在一定程度上损害您网站的声誉。 您可以通过<a href="https://wordpress.org/plugins/limit-login-attempts-reloaded/" target="_blank" rel="noreferrer noopener">Limit Login Attempts Reloaded</a>插应用来限制站点上的登录尝试,该插应用允许您通过转到插应用设置来设置登录尝试次数的限制。 <h2 class="wp-block-heading"><span id="9%E9%9A%90%E8%97%8Fwp-configphp%E5%92%8Chtaccess%E6%96%87%E4%BB%B6" class="ez-toc-section"></span>9.隐藏wp-config.php和.htaccess文件</h2> 虽然这对于一般用户来说有点高级,但是从长远来看,将这些文件隐藏起来可以证明对提高站点的安全性很有帮助。 <strong>警告:</strong>在尝试此操作之前,我们建议您为WordPress安装创建备份。由于编码并不适合所有人,因此万一出现问题,它可能会严重影响您站点的流程。因此,在尝试此操作之前请保持警惕。 备份站点后,您所需要做的就是访问<strong>.htaccess文件</strong>并添加以下代码: <ol class="linenums"> <li class="L0"> <pre class="pure-highlightjs"><code class="null"><Files wp-config.php> order allow,deny deny from all </Files></code></pre> 同样,您需要对<strong>.htaccess文件</strong>执行以下<strong>操作</strong>:</li> <li class="L0"> <pre class="pure-highlightjs"><code class="null"><Files .htaccess> order allow,deny deny from all </Files></code></pre> <code class="language-apacheconf line-numbers" lang="apacheconf"></code><code class="language-apacheconf line-numbers" lang="apacheconf"></code></li> </ol> 即使该过程易于理解和实施,也必须进行备份,以防万一您破坏了网站。同样,编码是留给编码人员的。如果您有开发人员,则应该与他/她一起执行这些操作。 <h2 class="wp-block-heading"><span id="10%E4%BF%9D%E6%8C%81WordPress%E6%9B%B4%E6%96%B0" class="ez-toc-section"></span>10.保持WordPress更新</h2> <div class="wp-block-image"></div> 除了定期更新插应用和主题外,您还应该同时保持WordPress核心的更新。 与插应用和主题相似,WordPress核心开发人员还会在每个新版本中发布新的安全更新。使用较新的更新,可以防止黑客利用公认的漏洞来入侵您的网站。 WordPress会自动安装次要更新。但是,对于主要版本,您可以访问管理控制台以手动安装它们。 <h2 class="wp-block-heading"><span id="11%E7%A6%81%E7%94%A8XML-RPC" class="ez-toc-section"></span>11.禁用XML-RPC</h2> XML-RPC文件自3.5版开始提供默认的WordPress安装,如果您希望将站点与Web和移动应用程序连接起来,则至关重要。 尽管这些文件很有用,但黑客已设法利用此文件来放大您网站上的暴力攻击。 在您通过WordFence或其他安全插应用安装了蛮力保护的情况下,该插应用将阻止通过多个IP地址进行的多次登录尝试。如果黑客尝试入侵您的网站100次,则其IP地址将被阻止100次。 但是,XML-RPC改变了这种情况以支持它们。他们这样做是通过访问<strong>system.multicall</strong>函数来猜测20至50个请求的密码,而不会使其IP被插应用禁止。 <h2 class="wp-block-heading"><span id="12%E6%B3%A8%E9%94%80%E9%97%B2%E7%BD%AE%E6%97%B6%E9%97%B4%E8%BF%87%E9%95%BF%E7%9A%84%E7%94%A8%E6%88%B7" class="ez-toc-section"></span>12.注销闲置时间过长的用户</h2> 每当登录用户(可能是您或您的员工)长时间离开屏幕时,都会对您的网站造成安全风险。可能发生几种方式: <ul> <li>您的WordPress会话可能被恶意软件劫持。</li> <li>有人可以更改您网站的密码,从而禁用您的访问权限。</li> <li>他们拥有您的帐户后,便可以对您的帐户进行恶意更改。</li> </ul> 建议您删除网站上闲置时间过长的用户,以防止此类入侵您的网站。 您可以使用名为<a href="https://wordpress.org/plugins/inactive-logout/" target="_blank" rel="noreferrer noopener">Inactive Logout</a>的插应用来实现。安装插应用后,只需导航至<strong>“设置”>“非活动注销”</strong>即可设置插应用的时间。然后,单击“ <strong>保存更改”</strong>,就完成了。 <h2 class="wp-block-heading"><span id="13%E5%9C%A8%E6%82%A8%E7%9A%84WordPress%E7%99%BB%E5%BD%95%E4%B8%8A%E5%90%AF%E7%94%A8%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98" class="ez-toc-section"></span>13.在您的WordPress登录上启用安全问题</h2> <div class="wp-block-image"></div> 如果仅创建强密码,用户名和更改wp-admin登录网址是不够的,则可以通过引入安全问题来进一步提高WordPress网站的安全性。 WordPress插应用为您的安全增添了价值。使用<a href="https://wordpress.org/plugins/wp-security-questions/" target="_blank" rel="noreferrer noopener">WP Security Question</a>插应用,您可以将安全问题添加到您的站点。 <h2 class="wp-block-heading"><span id="14%E5%AE%9A%E6%9C%9F%E6%89%A7%E8%A1%8C%E5%AE%89%E5%85%A8%E6%A3%80%E6%9F%A5" class="ez-toc-section"></span>14.定期执行安全检查</h2> WordFence和相关的安全性插应用会定期跟踪您的网站访问量,并向您发送任何奇怪情况的报告(如果确实存在)。 如果您发现网站访问量或SERP总体排名突然发生变化,建议您手动扫描您的网站以查找错误和可能的迹象,表明该网站已被黑客入侵。 有很多非WordPress解决方案可以帮助您检测网站上的问题。就是说,其中最有效的是<a href="https://sitecheck.sucuri.net/" target="_blank" rel="noreferrer noopener">Sucuri Site Health Check</a>和<a href="https://www.virustotal.com/gui/home/url" target="_blank" rel="noreferrer noopener">Virustotal</a>。 进行这些扫描相对容易。您所要做的就是输入网站的网址,然后等待扫描完成。这两种扫描仪的搜索都非常彻底,并且会生成详细的报告,以显示您缺乏安全保护的地方以及与您的站点相关的重大问题是什么。 建议您定期执行这些扫描,以在出现问题时保护自己。 <h2 class="wp-block-heading"><span id="15%E5%9C%A8%E7%89%B9%E5%AE%9A%E7%9A%84WordPress%E7%9B%AE%E5%BD%95%E4%B8%AD%E7%A6%81%E7%94%A8PHP%E6%89%A7%E8%A1%8C" class="ez-toc-section"></span>15.在特定的WordPress目录中禁用PHP执行</h2> 您可以用来确保后端安全性的另一种方法是禁用某些目录的PHP文件的执行。在某些目录中,例如<strong>/wp-content/uploads/</strong>,不需要执行php。 与您需要禁用XML-RPC和文件编辑的方式类似,您也可以执行此操作以防止黑客通过它们访问您的网站。 您可以通过打开记事本文档并将以下代码粘贴到该文档上来完成此操作: <pre class="pure-highlightjs"><code class="null"><Files *.php> deny from all </Files></code></pre> 将其另存为<strong>.htaccess</strong>并将其上传到上述目录<strong>/wp-content/uploads/</strong>。与上面提到的<strong>wp-config.php</strong>文件类似,最好在执行此操作之前先进行备份,因为更改可能会导致您的网站损坏。 <h2 class="wp-block-heading"><span id="%E6%80%BB%E7%BB%93" class="ez-toc-section"></span>总结</h2> WordPress安全是必不可少的,您需要积极主动地为您的网站创建几乎牢不可破的墙。完成此操作后,最好保持警惕并花点时间检查网站的安全性。 否则,可能会以SERP黑名单的形式损害您的数字声誉,或者更糟的是,黑客本身提出了赎金要求。 祝您好运,使WordPress网站免受黑客攻击。保持安全,并保持警惕。 Loading... <h2 class="wp-block-heading">1.选择优质的主机托管商</h2> 使WordPress站点免受恶意软件攻击的最佳方法是选择一个在服务器级别提供多层安全性的托管服务提供商。 廉价的托管主机总是非常吸引人的,尤其是在您刚刚开始使用时。但是,从长远来看,如果您对网站的建设很认真,就应该选择安全性较高的主机托管商。 好的主机不仅可以提供卓越的安全性,它还带有许多其他好处,例如内置CDN、自动备份、免费迁移以及免费的WordPress安装,可帮助您节省时间并从一开始就优化您的网站。这些类型的托管服务称为托管型主机。 网络上有很多托管型主机,做外贸网站的,建议使用 SiteGround 或 WPEngine。 国内几乎没有什么针对WordPress优化的托管型主机,但是你可以优先考虑 <a href="https://s.click.taobao.com/ClCPjut" target="_blank" rel="noreferrer noopener">阿里云</a>、腾讯云 这样的大厂的产品。 <h2 class="wp-block-heading"><span id="2%E9%81%BF%E5%85%8D%E4%BD%BF%E7%94%A8%E7%9B%97%E7%89%88%E4%B8%BB%E9%A2%98%E5%92%8C%E6%8F%92%E4%BB%B6" class="ez-toc-section"></span>2.避免使用盗版主题和应用</h2> 高级主题和应用具有其他同类产品无法比拟的功能。开发人员发布了高级版本,以确保他们有足够的财力来将来继续开发更好的产品。 为了确保WordPress的安全性,这些应用和主题会不断更新并投放市场。为这些主题付费的个人会将其更新为最新版本。 开发人员确保质量,保障用户的网站安全。 然而,有些人免费寻求高级功能,去下载使用各种盗版破解的WordPress主题和应用。看起来是占了巨大的便宜,其实这是非常愚蠢的做法。 这种盗版主题和应用可能不是最新版,会存在安全漏洞,并且很多网上流传的盗版东西,都有植入恶意代码,你的网站随时都有可能被黑客拿下,甚至一夜之间就被删除! 这可不是危言耸听,可以看下我们之前发布的文章: <ul> <li>再次警告:不要使用WordPress盗版主题和应用,避免受到WP-VCD恶意感染</li> </ul> <h2 class="wp-block-heading"><span id="3%E5%AE%89%E8%A3%85%E4%BD%BF%E7%94%A8%E5%AE%89%E5%85%A8%E6%8F%92%E4%BB%B6" class="ez-toc-section"></span>3.安装使用安全应用</h2> 您可以通过定期检查网站,主题和应用的代码库来检查网站是否存在漏洞。大多数程序员还是会通过安装安全应用来采取简单而自动化的方法。 安全插应用可帮助保护您的网站免受恶意软件攻击和各种形式的黑客攻击。它还可以使您的站点保持24/7全天候运行,并在发生问题时向您发送安全警报。 WordFence在安全插应用方面处于行业领先地位,它提供了多种安全功能,例如恶意软件检测,阻止不可靠的登录名,防火墙,扫描仪,两因素身份验证等等。 除了WordFence之外,您还可以使用Sucuri Security来保护WordPress安装。该插应用具有强大的功能,例如通过内置的缓存工具和CDN提高站点速度,防御DDoS攻击,利用和其他黑客攻击。 我们提到的这两个插应用都带有其高级版本,这些高级版本可为您的WordPress网站带来额外的性能和安全性提升。也就是说,免费版本也非常有用的。 <h2 class="wp-block-heading"><span id="4%E4%BD%BF%E7%94%A8%E5%BC%BA%E5%AF%86%E7%A0%81%E5%92%8C%E7%94%A8%E6%88%B7%E5%90%8D" class="ez-toc-section"></span>4.使用强密码和用户名</h2> <div class="wp-block-image"> <figure class="aligncenter size-large"><img class="wp-image-98583 entered lazyloaded exited" src="https://www.wpdaxue.com/img/2020/07/Password.png" alt="" width="600" height="408" data-lazy-src="https://www.wpdaxue.com/img/2020/07/Password.png" data-ll-status="loaded" style=""></figure> </div> 强大的密码是保护网站安全的重要工具。通常被忽略,但仍有许多用户喜欢使用“ 123456,password和abc123”之类的密码。 如果您是这些用户之一,请立即更改密码。尽管很容易记住这些密码,但是即使安装了安全插应用,黑客也很容易获得访问您的站点的权限,而不会遇到任何特殊问题。 要使用所有最佳做法设置强密码,您应该选择一个在线密码生成器。我们知道生成器将释放复杂且难以记住的密码。要解决该问题,您可以使用密码管理服务(例如<a href="https://www.lastpass.com/" target="_blank" rel="noreferrer noopener">Lastpass</a>或<a href="https://www.passbolt.com/" target="_blank" rel="noreferrer noopener">Passbolt</a>)。 不要只限于登录密码。为您的托管帐户、FTP和数据库创建强密码。 同样,不要仅仅依靠通用的登录用户名,例如“ Login”或“ admin”。尝试对用户名采取更加个性化的方法,以使黑客无法轻易发现它。此时,您不需要生成器。只需发挥您的想象力,然后找出一个容易记住的用户名即可。 例如,您可以使用喜欢的作者的用户名(例如Ernest Hemingway),并创建一个用户名,例如“ E-Hemmingway”或“ Ernest Hummingbird”。这只是一个有意思的例子。 <h2 class="wp-block-heading"><span id="5%E7%A6%81%E7%94%A8%E6%96%87%E4%BB%B6%E7%BC%96%E8%BE%91%E9%80%89%E9%A1%B9" class="ez-toc-section"></span>5.禁用文件编辑选项</h2> 您可以通过访问仪表盘并通过 <strong>外观>主题编辑器</strong> 、<strong>插应用>插应用编辑器</strong> 来编辑WordPress主题和插应用的代码。 一旦开发人员完成了一些自定义更改(如果有),就应该禁用文件编辑器功能。如果黑客访问您的网站,禁用文件编辑选项也将阻止他们在您的网站上植入恶意代码。 禁用文件编辑功能非常简单。转到您的<strong>wp-config.php</strong>并粘贴以下代码,如下所示; <pre class="pure-highlightjs"><code class="null">define('DISALLOW_FILE_EDIT', true);</code></pre> <h2 class="wp-block-heading"><span id="6%E5%AE%89%E8%A3%85SSL%E8%AF%81%E4%B9%A6" class="ez-toc-section"></span>6.安装SSL证书</h2> <div class="wp-block-image"> <figure class="aligncenter size-large"><img class="wp-image-98589 entered lazyloaded exited" src="https://www.wpdaxue.com/img/2020/07/Security.png" alt="" width="515" height="304" data-lazy-src="https://www.wpdaxue.com/img/2020/07/Security.png" data-ll-status="loaded" style=""></figure> </div> SSL表示该站点是安全的,并且该站点的交易和付款处理也很安全。 如果您希望在搜索引擎结果页(SERP)中排名靠前,并确保用户的WordPress网站安全,那么您必须安装SSL证书。 SSL证书将 <strong>https://</strong> 而不是普通的旧 <strong>http://</strong>添加到您的站点。它向搜索引擎表明网站是安全的,并且网站内的交易和其他活动也是安全的。结果,当您在网站上发布内容并在诸如Google之类的搜索引擎上对其进行排名时,它会优先于其他非安全网站。 互联网上有很多SSL证书提供程序,而且很多都是免费的 ,比如国内大厂 <a href="https://s.click.taobao.com/ClCPjut" target="_blank" rel="noreferrer noopener">阿里云</a>、腾讯云 都有提供免费SSL证书。 <h2 class="wp-block-heading"><span id="7%E5%B0%86%E2%80%9Cwp-admin%E2%80%9D%E5%90%8E%E5%8F%B0%E7%BD%91%E5%9D%80%E6%9B%B4%E6%94%B9%E4%B8%BA%E5%85%B6%E4%BB%96%E5%86%85%E5%AE%B9" class="ez-toc-section"></span>7.将“wp-admin”后台网址更改为其他内容</h2> 默认的WordPress后台网址为:<code>yoursite.com/wp-admin</code> 如果您拥有强大的用户名和密码,那么您已经对黑客安全了。要进一步限制他们的访问,可以通过将网址<code>wp-admin</code>更改为其他内容来完全删除访问。只需要使用 <a href="https://wordpress.org/plugins/change-wp-admin-login/" target="_blank" rel="noreferrer noopener">Change wp-admin login</a> 插应用即可轻松实现。 更进一步,你还可以添加一个双因素身份验证方法,比如使用 <a href="https://wordpress.org/plugins/two-factor-authentication/" target="_blank" rel="noreferrer noopener">双因素身份验证</a> 插应用即可。同时,您还将阻止安全性插应用报告的登录失败次数最多的IP地址。 <h2 class="wp-block-heading"><span id="8%E9%99%90%E5%88%B6%E7%99%BB%E5%BD%95%E5%B0%9D%E8%AF%95" class="ez-toc-section"></span>8.限制登录尝试</h2> 默认的WordPress登录名允许用户尽可能多地登录。它允许真实用户尝试登录几次,直到他/她可以访问为止。 但是对于黑客来说,它提供了足够的空间来尝试访问您的网站。如果有足够的空间,它们还可以触发DDoS攻击,这可能会在一定程度上损害您网站的声誉。 您可以通过<a href="https://wordpress.org/plugins/limit-login-attempts-reloaded/" target="_blank" rel="noreferrer noopener">Limit Login Attempts Reloaded</a>插应用来限制站点上的登录尝试,该插应用允许您通过转到插应用设置来设置登录尝试次数的限制。 <h2 class="wp-block-heading"><span id="9%E9%9A%90%E8%97%8Fwp-configphp%E5%92%8Chtaccess%E6%96%87%E4%BB%B6" class="ez-toc-section"></span>9.隐藏wp-config.php和.htaccess文件</h2> 虽然这对于一般用户来说有点高级,但是从长远来看,将这些文件隐藏起来可以证明对提高站点的安全性很有帮助。 <strong>警告:</strong>在尝试此操作之前,我们建议您为WordPress安装创建备份。由于编码并不适合所有人,因此万一出现问题,它可能会严重影响您站点的流程。因此,在尝试此操作之前请保持警惕。 备份站点后,您所需要做的就是访问<strong>.htaccess文件</strong>并添加以下代码: <ol class="linenums"> <li class="L0"> <pre class="pure-highlightjs"><code class="null"><Files wp-config.php> order allow,deny deny from all </Files></code></pre> 同样,您需要对<strong>.htaccess文件</strong>执行以下<strong>操作</strong>:</li> <li class="L0"> <pre class="pure-highlightjs"><code class="null"><Files .htaccess> order allow,deny deny from all </Files></code></pre> <code class="language-apacheconf line-numbers" lang="apacheconf"></code><code class="language-apacheconf line-numbers" lang="apacheconf"></code></li> </ol> 即使该过程易于理解和实施,也必须进行备份,以防万一您破坏了网站。同样,编码是留给编码人员的。如果您有开发人员,则应该与他/她一起执行这些操作。 <h2 class="wp-block-heading"><span id="10%E4%BF%9D%E6%8C%81WordPress%E6%9B%B4%E6%96%B0" class="ez-toc-section"></span>10.保持WordPress更新</h2> <div class="wp-block-image"></div> 除了定期更新插应用和主题外,您还应该同时保持WordPress核心的更新。 与插应用和主题相似,WordPress核心开发人员还会在每个新版本中发布新的安全更新。使用较新的更新,可以防止黑客利用公认的漏洞来入侵您的网站。 WordPress会自动安装次要更新。但是,对于主要版本,您可以访问管理控制台以手动安装它们。 <h2 class="wp-block-heading"><span id="11%E7%A6%81%E7%94%A8XML-RPC" class="ez-toc-section"></span>11.禁用XML-RPC</h2> XML-RPC文件自3.5版开始提供默认的WordPress安装,如果您希望将站点与Web和移动应用程序连接起来,则至关重要。 尽管这些文件很有用,但黑客已设法利用此文件来放大您网站上的暴力攻击。 在您通过WordFence或其他安全插应用安装了蛮力保护的情况下,该插应用将阻止通过多个IP地址进行的多次登录尝试。如果黑客尝试入侵您的网站100次,则其IP地址将被阻止100次。 但是,XML-RPC改变了这种情况以支持它们。他们这样做是通过访问<strong>system.multicall</strong>函数来猜测20至50个请求的密码,而不会使其IP被插应用禁止。 <h2 class="wp-block-heading"><span id="12%E6%B3%A8%E9%94%80%E9%97%B2%E7%BD%AE%E6%97%B6%E9%97%B4%E8%BF%87%E9%95%BF%E7%9A%84%E7%94%A8%E6%88%B7" class="ez-toc-section"></span>12.注销闲置时间过长的用户</h2> 每当登录用户(可能是您或您的员工)长时间离开屏幕时,都会对您的网站造成安全风险。可能发生几种方式: <ul> <li>您的WordPress会话可能被恶意软件劫持。</li> <li>有人可以更改您网站的密码,从而禁用您的访问权限。</li> <li>他们拥有您的帐户后,便可以对您的帐户进行恶意更改。</li> </ul> 建议您删除网站上闲置时间过长的用户,以防止此类入侵您的网站。 您可以使用名为<a href="https://wordpress.org/plugins/inactive-logout/" target="_blank" rel="noreferrer noopener">Inactive Logout</a>的插应用来实现。安装插应用后,只需导航至<strong>“设置”>“非活动注销”</strong>即可设置插应用的时间。然后,单击“ <strong>保存更改”</strong>,就完成了。 <h2 class="wp-block-heading"><span id="13%E5%9C%A8%E6%82%A8%E7%9A%84WordPress%E7%99%BB%E5%BD%95%E4%B8%8A%E5%90%AF%E7%94%A8%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98" class="ez-toc-section"></span>13.在您的WordPress登录上启用安全问题</h2> <div class="wp-block-image"></div> 如果仅创建强密码,用户名和更改wp-admin登录网址是不够的,则可以通过引入安全问题来进一步提高WordPress网站的安全性。 WordPress插应用为您的安全增添了价值。使用<a href="https://wordpress.org/plugins/wp-security-questions/" target="_blank" rel="noreferrer noopener">WP Security Question</a>插应用,您可以将安全问题添加到您的站点。 <h2 class="wp-block-heading"><span id="14%E5%AE%9A%E6%9C%9F%E6%89%A7%E8%A1%8C%E5%AE%89%E5%85%A8%E6%A3%80%E6%9F%A5" class="ez-toc-section"></span>14.定期执行安全检查</h2> WordFence和相关的安全性插应用会定期跟踪您的网站访问量,并向您发送任何奇怪情况的报告(如果确实存在)。 如果您发现网站访问量或SERP总体排名突然发生变化,建议您手动扫描您的网站以查找错误和可能的迹象,表明该网站已被黑客入侵。 有很多非WordPress解决方案可以帮助您检测网站上的问题。就是说,其中最有效的是<a href="https://sitecheck.sucuri.net/" target="_blank" rel="noreferrer noopener">Sucuri Site Health Check</a>和<a href="https://www.virustotal.com/gui/home/url" target="_blank" rel="noreferrer noopener">Virustotal</a>。 进行这些扫描相对容易。您所要做的就是输入网站的网址,然后等待扫描完成。这两种扫描仪的搜索都非常彻底,并且会生成详细的报告,以显示您缺乏安全保护的地方以及与您的站点相关的重大问题是什么。 建议您定期执行这些扫描,以在出现问题时保护自己。 <h2 class="wp-block-heading"><span id="15%E5%9C%A8%E7%89%B9%E5%AE%9A%E7%9A%84WordPress%E7%9B%AE%E5%BD%95%E4%B8%AD%E7%A6%81%E7%94%A8PHP%E6%89%A7%E8%A1%8C" class="ez-toc-section"></span>15.在特定的WordPress目录中禁用PHP执行</h2> 您可以用来确保后端安全性的另一种方法是禁用某些目录的PHP文件的执行。在某些目录中,例如<strong>/wp-content/uploads/</strong>,不需要执行php。 与您需要禁用XML-RPC和文件编辑的方式类似,您也可以执行此操作以防止黑客通过它们访问您的网站。 您可以通过打开记事本文档并将以下代码粘贴到该文档上来完成此操作: <pre class="pure-highlightjs"><code class="null"><Files *.php> deny from all </Files></code></pre> 将其另存为<strong>.htaccess</strong>并将其上传到上述目录<strong>/wp-content/uploads/</strong>。与上面提到的<strong>wp-config.php</strong>文件类似,最好在执行此操作之前先进行备份,因为更改可能会导致您的网站损坏。 <h2 class="wp-block-heading"><span id="%E6%80%BB%E7%BB%93" class="ez-toc-section"></span>总结</h2> WordPress安全是必不可少的,您需要积极主动地为您的网站创建几乎牢不可破的墙。完成此操作后,最好保持警惕并花点时间检查网站的安全性。 否则,可能会以SERP黑名单的形式损害您的数字声誉,或者更糟的是,黑客本身提出了赎金要求。 祝您好运,使WordPress网站免受黑客攻击。保持安全,并保持警惕。 最后修改:2024 年 04 月 29 日 © 允许规范转载 打赏 赞赏作者 赞 如果觉得我的文章对你有用,请随意赞赏