WordPress 安全检查清单——保护您网站的 17 种方法

您是否正在寻找 WordPress 安全清单来保护您的网站？ 你想知道如何提高 WordPress 的安全性吗？

如果您对上述问题的回答是肯定的，那么这篇文章就是为您准备的。

WordPress 无疑是最好的内容管理系统 (CMS) 之一。 但是，大量 WordPress 网站面临安全问题也是事实。

因此，在本文中，我们创建了一个 WordPress 安全检查表，您可以在您的网站上实施该检查表以防止出现此类问题。

开始吧！

为什么要优先考虑 WordPress 安全性？

WordPress 是一种开源 CMS，任何人都可以使用、修改和分发它。 任何人都可以使用该平台并集成第三方特性或功能，如主题和插件。

但这种自由使该平台容易受到多种安全威胁。

这并不意味着 WordPress 不适合创建网站。 它无疑是人们可以使用的最好的 CMS。

然而，当您创建 WordPress 网站时，有很多事情您应该注意。 安全应该是您的首要任务。

以下是 WordPress 安全性很重要的几个原因：

• 防止攻击者：在您的站点上实施万无一失的安全措施可以阻止攻击者。 这是因为对他们来说，针对易受攻击的网站比那些高度维护安全的网站更容易。
• 保护敏感信息：优先考虑 WordPress 安全性可帮助您保护敏感信息，例如用户的个人数据、付款明细等。
• 维护品牌声誉：数据泄露等安全攻击会导致停机并减少流量。 这最终会损害您的品牌声誉。
• 防止经济损失：安全攻击可能导致经济损失，因为您可能需要节省恢复网站的费用和法律费用。

但是保护您的站点免受网络攻击也很容易。

您不需要大量的编码或技术知识。 您只需要知道您可以做什么并在您的网站上实施这些知识。

因此，让我们进入有助于提高网站安全性的 WordPress 安全指南。

提高 WordPress 安全性的 17 种方法——终极清单

您可以实施以下 17 条技巧来保护您的登录页面、已安装的主题和插件、管理面板等。

保护您的 WordPress 登录页面

1.使用强密码

为了保护您的 WordPress 登录页面，您应该始终使用一个没人能猜到的密码。 更好的是，密码的模式应该是唯一的。

根据 NordPass 的数据，最常见的密码是“password”。 此类密码很容易被猜到，并使您的网站容易受到攻击者的攻击。

因此，请使用至少包含 12 个字符的密码。 此外，您的密码应包括大小写字母、一些数字和特殊字符的组合。

您还可以使用像 Delinea 这样的密码生成器来为您创建强密码。

同时，如果您定期更改密码也会有所帮助。

2.启用双重身份验证

启用双因素身份验证就像添加额外的安全层。

第一次身份验证是您的用户名和密码，而第二次身份验证使用单独的应用程序或设备。

例如，您可以设置您的电子邮件或电话号码进行第二次身份验证。 然后，它会在登录时通过向手机或电子邮件发送安全代码来验证用户身份。

用户只有输入相同的代码才能登录。 为此，您必须安装并激活添加双因素身份验证功能的插件。

此类插件的一些示例是双因素、双因素身份验证等。

3.限制登录尝试

当您设置登录尝试限制时，攻击者在超过限制后将被禁止登录您的 WordPress 站点。

他们无法再通过多次猜测来输入用户名和密码。 它还可以防止暴力攻击，这是攻击任何网站的最简单方法之一。

我们将在下一节中更多地讨论暴力攻击。

当黑客或攻击者多次尝试登录失败时，他们将转移到其他易受攻击的站点。 此外，他们将在未能输入正确的密码后被阻止。

要限制登录尝试，您可以使用类似 Limit Login Attempts Reloaded 的插件，提供该功能。

4. 更改默认登录 URL

攻击者攻击您的 WordPress 网站的最简单方法之一是通过登录 URL。 如果您没有更改默认的 WordPress 登录 URL，则很容易找到它。

任何 WordPress 网站的默认登录 URL 都是domain-name/wp-login或domain-name/wp-admin 。

例如，网站 example.com 的登录 URL 是www.example.com/wp-admin 。

因此，您应该更改登录页面 URL 并使用自定义登录 URL。 攻击者很难找到唯一的登录 URL。

您可以使用用户注册插件更改默认登录 URL。

5.更改默认用户名-admin

像 admin 和 administrator 这样的用户名是通用的，很容易被猜到。 因此，您应该将用户名从 admin 更改为唯一的用户名，这样就没有人可以破解它。

使用电子邮件地址登录甚至比用户名更好。

默认情况下，WordPress 不允许更改用户名。 但是您可以通过创建新管理员并删除旧管理员来更改用户名。

您可以通过导航到Users >> Add New并赋予Administrator角色来创建新用户。

您还可以使用用户名更改器插件，如 Easy Username Updater 或从 phpMyAdmin 更新用户名。

保护您安装的主题和插件

6. 从可信来源下载主题和插件

WordPress 提供了许多令人惊叹的插件和主题，可以为您的网站添加额外的功能。 但是，如果您在选择这些主题和插件时非常小心，那将是最好的。

要使用免费主题和插件，请始终从 WordPress 存储库下载它们。 此外，通过查看他们的用户评论来选择主题或插件。

对于高级主题和插件，您应该从相应主题和插件的官方网站购买。

例如，您可以从其官方网站 zakratheme.com 购买 WordPress 主题的高级版本 – Zakra。

或者，您也可以从 Envato 的 ThemeForest 等知名市场购买主题。

此外，您还可以隐藏您在 WordPress 网站上使用的主题详细信息，以进一步提高安全性。

7.更新主题和插件

随着 WordPress 定期更新其核心，第三方主题和插件也经常发布更新。

因此，您应该在收到新版本通知后立即更新它们。 对于每个新版本，主题和插件都会修复它们的错误和安全漏洞。

此外，它们还兼容新发布的 WordPress 版本。

要检查您是否拥有最新版本的主题和插件，您可以转到仪表板上的更新。

此外，长时间未更新的主题和插件会给您的网站带来安全风险。 因此，如果主题和插件不再更新，请立即更改它们。

您还可以阅读我们关于将 WordPress、主题和插件更新到最新版本的文章。

8. 使用 WordPress 安全插件

为维护网站安全，您应该做的另一件重要事情是使用安全插件。

有很多安全插件可以保护 WordPress 网站的安全。 因此，找到一个值得信赖的安全插件并将其安装在您的网站上。

同时，你应该选择一个最新的、经过验证的、安全的安全插件，比如 Sucuri Security，它可以防止可能的 WordPress 攻击。

我们还有一些优秀的安全插件列表，您可以参考。

9.删除未使用的主题和插件

在运行 WordPress 网站数年或数月之后，您可能已经尝试并测试了许多主题和插件。

而且也很有可能您可能没有删除那些未使用的主题和插件，如下图所示。 除了 Zakra 之外的所有主题都是不活跃的主题。

但是您应该知道您未使用的主题和插件容易受到安全威胁。

由于它们保留在您的站点上而没有任何更新，因此它们可以邀请其他恶意软件访问您的站点。 因此，请确保从您的网站中删除不活动的主题和插件。

这是有关删除您可以遵循的未使用主题的完整指南。

保护您的管理面板

10. 定期更新 WordPress 核心软件

WordPress 在每次更新时都会修复其错误和与安全相关的问题。 未能更新您的核心 WordPress 意味着邀请攻击者。

不过别担心！ 只需单击一下即可轻松更新 WordPress 核心。 为了您的方便，WordPress 会在您的仪表板上通知您每一次重大更新。

因此，让您的 WordPress 保持最新状态以防止任何攻击。 但是，请在更新核心 WordPress 之前创建网站备份。

11.定期创建备份

创建整个网站的备份有助于在发生安全攻击时恢复您的网站。 这样，您就不会因为安全漏洞而丢失任何重要数据。

此外，如果您错误地对您的网站进行了一些更改，这在以后可能是一个巨大的优势。

除了网站，您还应该创建数据库的备份。

好消息是备份您的站点不需要时间。 您可以简单地安装一个备份插件，如 UpdraftPlus，它会处理剩下的事情。

这是您可以选择的备份插件的完整列表。

12.启用Web应用程序防火墙

Web 应用程序防火墙 (WAF) 可以在所有恶意 Web 流量到达您的网站之前阻止它们。

它监视和过滤 Internet 和 Web 应用程序之间的传入和传出流量。 WAF 只允许将真正的流量发送到您的 Web 服务器。

因此，它可以保护 Web 应用程序免受跨站点脚本 (XSS)、SQL 注入等攻击。

要启用 WAF，您可以安装一个良好的安全性 WordPress 插件，如 Wordfence、Sucuri Security 和 Cloudflare。

13. 隐藏 wp-config 文件

wp-config 文件包含与 WordPress 站点配置相关的所有信息。

它具有连接到数据库的参数、安全密钥、密码等等。 如果攻击者从您的网站访问此文件，可能会导致严重问题。

因此，您应该对攻击者隐藏 wp-config 文件。

默认情况下，wp-config 文件位于 public_html 文件夹中。 因此，您可以简单地更改文件的位置。

14. 根据用户角色授予访问权限

WordPress 具有分配用户角色的功能。 默认情况下，WordPress 中有 5 个具有特定权限的用户角色。

因此，您应该根据用户的角色授予用户访问您网站的权限。

例如，如果你有一个博客团队，给他们作者或编辑的角色来发布、编辑和更新文章。 他们不需要管理员权限。

管理是最重要的角色之一，您应该只将其分配给需要它的人。

15.定期扫描网站

如您所知，预防胜于治疗。 因此，您应该定期扫描您的网站。 这可确保您的网站免受恶意软件的侵害。

从我们的最佳安全插件列表中选择并在您的站点上安装任何一个插件。 即使它检测到一些恶意软件，您也可以及时将其删除。

Jetpack 等插件可以自动检测文件中的更改、发现恶意行为并保护您的网站。

它们还会通知您有关关键问题、监控停机时间并自动修复常见威胁。

通过托管获得安全性

16. 选择安全的 WordPress 托管服务

您购买的托管服务是您网站的所在地。 因此，您在选择托管服务时需要有高度的意识。

它们应该提供严格的安全性，同时支持 HTTPS、提供 SSL 证书和管理备份。

许多网络托管服务提供商，例如 Bluehost 和 Hostinger，都提供了托管您的 WordPress 网站的完整解决方案。

17.安装SSL证书

SSL（安全套接字层）或 TLS（安全传输层）是一种用于在计算机网络之间建立加密和认证链接的协议。

它确保重要信息在您的站点和浏览器之间安全传输。 SSL 证书提供由公钥和私钥组成的加密密钥对。

公钥允许 Web 浏览器启动与 Web 服务器的加密通信。

另一方面，私钥保存在服务器上，用于对网页和其他文档进行数字签名。

WordPress 的托管服务提供商提供 SSL 证书，为您处理设置过程。

或者，您也可以添加来自 Cloudflare 和 GoDaddy 等证书颁发机构的 SSL 证书。

常见的 WordPress 安全问题

蛮力攻击

暴力攻击是最常见的 WordPress 安全问题之一。 在暴力攻击的情况下，攻击者通过猜测密码尝试多次登录。

攻击者通常以网站的登录页面为目标，并试图获得未经授权的访问。 他们尝试登录，直到他们猜测的用户名和密码正确为止。

因此，您应该使用强密码、限制登录尝试、使用双因素身份验证并更改默认登录 URL 和用户名。

SQL注入

SQL 注入针对您的 WordPress 站点的数据库。 攻击者试图将恶意 SQL 查询注入数据库以访问未经授权的信息。

当这些脚本被执行时，攻击者可以操纵或删除数据库表的行。

以 WordPress 为例，通过 SQL 注入，攻击者还可以攻击与网站数据库交互的插件和主题。

因此，定期更新插件和主题、使用防火墙并创建网站备份可以降低 WordPress 网站遭受 SQL 注入攻击的风险。

DDoS 攻击

DDoS（分布式拒绝服务）攻击使网站或服务器超载，流量异常大。 因此，用户无法访问该网站。

攻击者通过创建计算机机器人同时向目标网站发送大量流量来执行攻击

为防止此类攻击，请使用 Cloudflare 等内容分发网络 (CDN) 来分发传入流量和 Web 应用程序防火墙。

您还可以定期监控站点的网络流量并使用安全的托管服务。

跨站点脚本 (XSS)

跨站点脚本 (XSS) 是另一种网络攻击，攻击者试图将恶意可执行代码或脚本注入网站。

攻击者可以通过用户生成的内容（如评论、联系表格或用户注册表提交）执行 XSS 攻击。

因此，您应该始终验证用户输入并使用安全联系表单插件（如 Everest Forms）和用户注册插件（如 User Registration）。

除此之外，您还应该遵循其他安全措施。

包起来！

所以，这就是我们在 WordPress 安全清单上的全部内容。 我们希望您非常喜欢阅读这篇文章并了解如何提高 WordPress 的安全性。

简而言之，您的 WordPress 网站的安全应该始终是您的首要任务。 它可以保护您的数据和信息并维护您网站的完整性。

因此，遵循我们的 WordPress 安全检查清单，您可以降低网站被攻击的风险。 我们还建议您谨慎使用其他第三方产品。

如果您还有时间，可以浏览我们的博客页面。 我们有很棒的文章指导您从页脚中删除主题名称、更改链接颜色等。

此外，请在 Twitter 和 Facebook 上关注我们以获取最新更新。