WordPress 安全檢查清單——保護您網站的 17 種方法

您是否正在尋找 WordPress 安全清單來保護您的網站？ 你想知道如何提高 WordPress 的安全性嗎？

如果您對上述問題的回答是肯定的，那麼這篇文章就是為您準備的。

WordPress 無疑是最好的內容管理系統 (CMS) 之一。 但是，大量 WordPress 網站面臨安全問題也是事實。

因此，在本文中，我們創建了一個 WordPress 安全檢查表，您可以在您的網站上實施該檢查表以防止出現此類問題。

開始吧！

為什麼要優先考慮 WordPress 安全性？

WordPress 是一種開源 CMS，任何人都可以使用、修改和分發它。 任何人都可以使用該平台並集成第三方特性或功能，如主題和插件。

但這種自由使該平台容易受到多種安全威脅。

這並不意味著 WordPress 不適合創建網站。 它無疑是人們可以使用的最好的 CMS。

然而，當您創建 WordPress 網站時，有很多事情您應該注意。 安全應該是您的首要任務。

以下是 WordPress 安全性很重要的幾個原因：

• 防止攻擊者：在您的站點上實施萬無一失的安全措施可以阻止攻擊者。 這是因為對他們來說，針對易受攻擊的網站比那些高度維護安全的網站更容易。
• 保護敏感信息：優先考慮 WordPress 安全性可幫助您保護敏感信息，例如用戶的個人數據、付款明細等。
• 維護品牌聲譽：數據洩露等安全攻擊會導致停機並減少流量。 這最終會損害您的品牌聲譽。
• 防止經濟損失：安全攻擊可能導致經濟損失，因為您可能需要節省恢復網站的費用和法律費用。

但是保護您的站點免受網絡攻擊也很容易。

您不需要大量的編碼或技術知識。 您只需要知道您可以做什麼並在您的網站上實施這些知識。

因此，讓我們進入有助於提高網站安全性的 WordPress 安全指南。

提高 WordPress 安全性的 17 種方法——終極清單

您可以實施以下 17 條技巧來保護您的登錄頁面、已安裝的主題和插件、管理面板等。

保護您的 WordPress 登錄頁面

1.使用強密碼

為了保護您的 WordPress 登錄頁面，您應該始終使用一個沒人能猜到的密碼。 更好的是，密碼的模式應該是唯一的。

根據 NordPass 的數據，最常見的密碼是“password”。 此類密碼很容易被猜到，並使您的網站容易受到攻擊者的攻擊。

因此，請使用至少包含 12 個字符的密碼。 此外，您的密碼應包括大小寫字母、一些數字和特殊字符的組合。

您還可以使用像 Delinea 這樣的密碼生成器來為您創建強密碼。

同時，如果您定期更改密碼也會有所幫助。

2.啟用雙重身份驗證

啟用雙因素身份驗證就像添加額外的安全層。

第一次身份驗證是您的用戶名和密碼，而第二次身份驗證使用單獨的應用程序或設備。

例如，您可以設置您的電子郵件或電話號碼進行第二次身份驗證。 然後，它會在登錄時通過向手機或電子郵件發送安全代碼來驗證用戶身份。

用戶只有輸入相同的代碼才能登錄。 為此，您必須安裝並激活添加雙因素身份驗證功能的插件。

此類插件的一些示例是雙因素、雙因素身份驗證等。

3.限制登錄嘗試

當您設置登錄嘗試限制時，攻擊者在超過限制後將被禁止登錄您的 WordPress 站點。

他們無法再通過多次猜測來輸入用戶名和密碼。 它還可以防止暴力攻擊，這是攻擊任何網站的最簡單方法之一。

我們將在下一節中更多地討論暴力攻擊。

當黑客或攻擊者多次嘗試登錄失敗時，他們將轉移到其他易受攻擊的站點。 此外，他們將在未能輸入正確的密碼後被阻止。

要限制登錄嘗試，您可以使用類似 Limit Login Attempts Reloaded 的插件，提供該功能。

4. 更改默認登錄 URL

攻擊者攻擊您的 WordPress 網站的最簡單方法之一是通過登錄 URL。 如果您沒有更改默認的 WordPress 登錄 URL，則很容易找到它。

任何 WordPress 網站的默認登錄 URL 都是domain-name/wp-login或domain-name/wp-admin 。

例如，網站 example.com 的登錄 URL 是www.example.com/wp-admin 。

因此，您應該更改登錄頁面 URL 並使用自定義登錄 URL。 攻擊者很難找到唯一的登錄 URL。

您可以使用用戶註冊插件更改默認登錄 URL。

5.更改默認用戶名-admin

像 admin 和 administrator 這樣的用戶名是通用的，很容易被猜到。 因此，您應該將用戶名從 admin 更改為唯一的用戶名，這樣就沒有人可以破解它。

使用電子郵件地址登錄甚至比用戶名更好。

默認情況下，WordPress 不允許更改用戶名。 但是您可以通過創建新管理員並刪除舊管理員來更改用戶名。

您可以通過導航到Users >> Add New並賦予Administrator角色來創建新用戶。

您還可以使用用戶名更改器插件，如 Easy Username Updater 或從 phpMyAdmin 更新用戶名。

保護您安裝的主題和插件

6. 從可信來源下載主題和插件

WordPress 提供了許多令人驚嘆的插件和主題，可以為您的網站添加額外的功能。 但是，如果您在選擇這些主題和插件時非常小心，那將是最好的。

要使用免費主題和插件，請始終從 WordPress 存儲庫下載它們。 此外，通過查看他們的用戶評論來選擇主題或插件。

對於高級主題和插件，您應該從相應主題和插件的官方網站購買。

例如，您可以從其官方網站 zakratheme.com 購買 WordPress 主題的高級版本 – Zakra。

或者，您也可以從 Envato 的 ThemeForest 等知名市場購買主題。

此外，您還可以隱藏您在 WordPress 網站上使用的主題詳細信息，以進一步提高安全性。

7.更新主題和插件

隨著 WordPress 定期更新其核心，第三方主題和插件也經常發布更新。

因此，您應該在收到新版本通知後立即更新它們。 對於每個新版本，主題和插件都會修復它們的錯誤和安全漏洞。

此外，它們還兼容新發布的 WordPress 版本。

要檢查您是否擁有最新版本的主題和插件，您可以轉到儀表板上的更新。

此外，長時間未更新的主題和插件會給您的網站帶來安全風險。 因此，如果主題和插件不再更新，請立即更改它們。

您還可以閱讀我們關於將 WordPress、主題和插件更新到最新版本的文章。

8. 使用 WordPress 安全插件

為維護網站安全，您應該做的另一件重要事情是使用安全插件。

有很多安全插件可以保護 WordPress 網站的安全。 因此，找到一個值得信賴的安全插件並將其安裝在您的網站上。

同時，你應該選擇一個最新的、經過驗證的、安全的安全插件，比如 Sucuri Security，它可以防止可能的 WordPress 攻擊。

我們還有一些優秀的安全插件列表，您可以參考。

9.刪除未使用的主題和插件

在運行 WordPress 網站數年或數月之後，您可能已經嘗試並測試了許多主題和插件。

而且也很有可能您可能沒有刪除那些未使用的主題和插件，如下圖所示。 除了 Zakra 之外的所有主題都是不活躍的主題。

但是您應該知道您未使用的主題和插件容易受到安全威脅。

由於它們保留在您的站點上而沒有任何更新，因此它們可以邀請其他惡意軟件訪問您的站點。 因此，請確保從您的網站中刪除不活動的主題和插件。

這是有關刪除您可以遵循的未使用主題的完整指南。

保護您的管理面板

10. 定期更新 WordPress 核心軟件

WordPress 在每次更新時都會修復其錯誤和與安全相關的問題。 未能更新您的核心 WordPress 意味著邀請攻擊者。

不過別擔心！ 只需單擊一下即可輕鬆更新 WordPress 核心。 為了您的方便，WordPress 會在您的儀表板上通知您每一次重大更新。

因此，讓您的 WordPress 保持最新狀態以防止任何攻擊。 但是，請在更新核心 WordPress 之前創建網站備份。

11.定期創建備份

創建整個網站的備份有助於在發生安全攻擊時恢復您的網站。 這樣，您就不會因為安全漏洞而丟失任何重要數據。

此外，如果您錯誤地對您的網站進行了一些更改，這在以後可能是一個巨大的優勢。

除了網站，您還應該創建數據庫的備份。

好消息是備份您的站點不需要時間。 您可以簡單地安裝一個備份插件，如 UpdraftPlus，它會處理剩下的事情。

這是您可以選擇的備份插件的完整列表。

12.啟用Web應用程序防火牆

Web 應用程序防火牆 (WAF) 可以在所有惡意 Web 流量到達您的網站之前阻止它們。

它監視和過濾 Internet 和 Web 應用程序之間的傳入和傳出流量。 WAF 只允許將真正的流量發送到您的 Web 服務器。

因此，它可以保護 Web 應用程序免受跨站點腳本 (XSS)、SQL 注入等攻擊。

要啟用 WAF，您可以安裝一個良好的安全性 WordPress 插件，如 Wordfence、Sucuri Security 和 Cloudflare。

13. 隱藏 wp-config 文件

wp-config 文件包含與 WordPress 站點配置相關的所有信息。

它具有連接到數據庫的參數、安全密鑰、密碼等等。 如果攻擊者從您的網站訪問此文件，可能會導致嚴重問題。

因此，您應該對攻擊者隱藏 wp-config 文件。

默認情況下，wp-config 文件位於 public_html 文件夾中。 因此，您可以簡單地更改文件的位置。

14. 根據用戶角色授予訪問權限

WordPress 具有分配用戶角色的功能。 默認情況下，WordPress 中有 5 個具有特定權限的用戶角色。

因此，您應該根據用戶的角色授予用戶訪問您網站的權限。

例如，如果你有一個博客團隊，給他們作者或編輯的角色來發布、編輯和更新文章。 他們不需要管理員權限。

管理是最重要的角色之一，您應該只將其分配給需要它的人。

15.定期掃描網站

如您所知，預防勝於治療。 因此，您應該定期掃描您的網站。 這可確保您的網站免受惡意軟件的侵害。

從我們的最佳安全插件列表中選擇並在您的站點上安裝任何一個插件。 即使它檢測到一些惡意軟件，您也可以及時將其刪除。

Jetpack 等插件可以自動檢測文件中的更改、發現惡意行為並保護您的網站。

它們還會通知您有關關鍵問題、監控停機時間並自動修復常見威脅。

通過託管獲得安全性

16. 選擇安全的 WordPress 託管服務

您購買的託管服務是您網站的所在地。 因此，您在選擇託管服務時需要有高度的意識。

它們應該提供嚴格的安全性，同時支持 HTTPS、提供 SSL 證書和管理備份。

許多網絡託管服務提供商，例如 Bluehost 和 Hostinger，都提供了託管您的 WordPress 網站的完整解決方案。

17.安裝SSL證書

SSL（安全套接字層）或 TLS（安全傳輸層）是一種用於在計算機網絡之間建立加密和認證鏈接的協議。

它確保重要信息在您的站點和瀏覽器之間安全傳輸。 SSL 證書提供由公鑰和私鑰組成的加密密鑰對。

公鑰允許 Web 瀏覽器啟動與 Web 服務器的加密通信。

另一方面，私鑰保存在服務器上，用於對網頁和其他文檔進行數字簽名。

WordPress 的託管服務提供商提供 SSL 證書，為您處理設置過程。

或者，您也可以添加來自 Cloudflare 和 GoDaddy 等證書頒發機構的 SSL 證書。

常見的 WordPress 安全問題

蠻力攻擊

暴力攻擊是最常見的 WordPress 安全問題之一。 在暴力攻擊的情況下，攻擊者通過猜測密碼嘗試多次登錄。

攻擊者通常以網站的登錄頁面為目標，並試圖獲得未經授權的訪問。 他們嘗試登錄，直到他們猜測的用戶名和密碼正確為止。

因此，您應該使用強密碼、限制登錄嘗試、使用雙因素身份驗證並更改默認登錄 URL 和用戶名。

SQL注入

SQL 注入針對您的 WordPress 站點的數據庫。 攻擊者試圖將惡意 SQL 查詢注入數據庫以訪問未經授權的信息。

當這些腳本被執行時，攻擊者可以操縱或刪除數據庫表的行。

以 WordPress 為例，通過 SQL 注入，攻擊者還可以攻擊與網站數據庫交互的插件和主題。

因此，定期更新插件和主題、使用防火牆並創建網站備份可以降低 WordPress 網站遭受 SQL 注入攻擊的風險。

DDoS 攻擊

DDoS（分佈式拒絕服務）攻擊使網站或服務器超載，流量異常大。 因此，用戶無法訪問該網站。

攻擊者通過創建計算機機器人同時向目標網站發送大量流量來執行攻擊

為防止此類攻擊，請使用 Cloudflare 等內容分發網絡 (CDN) 來分發傳入流量和 Web 應用程序防火牆。

您還可以定期監控站點的網絡流量並使用安全的託管服務。

跨站點腳本 (XSS)

跨站點腳本 (XSS) 是另一種網絡攻擊，攻擊者試圖將惡意可執行代碼或腳本注入網站。

攻擊者可以通過用戶生成的內容（如評論、聯繫表格或用戶註冊表提交）執行 XSS 攻擊。

因此，您應該始終驗證用戶輸入並使用安全聯繫表單插件（如 Everest Forms）和用戶註冊插件（如 User Registration）。

除此之外，您還應該遵循其他安全措施。

包起來！

所以，這就是我們在 WordPress 安全清單上的全部內容。 我們希望您非常喜歡閱讀這篇文章並了解如何提高 WordPress 的安全性。

簡而言之，您的 WordPress 網站的安全應該始終是您的首要任務。 它可以保護您的數據和信息並維護您網站的完整性。

因此，遵循我們的 WordPress 安全檢查清單，您可以降低網站被攻擊的風險。 我們還建議您謹慎使用其他第三方產品。

如果您還有時間，可以瀏覽我們的博客頁面。 我們有很棒的文章指導您從頁腳中刪除主題名稱、更改鏈接顏色等。

此外，請在 Twitter 和 Facebook 上關注我們以獲取最新更新。