如何强化您的 WordPress 网站以防止黑客入侵

您想让您的网站如此安全，以至于黑客无法入侵吗？

虽然没有网站安全系统是 100% 防黑客入侵的，但您可以采取大量措施来防止黑客入侵以及随之而来的破坏性后果。

您可以关闭易受攻击的点并保护常见的目标区域，这样黑客就会发现攻击您的网站非常困难。

我们将向您展示强化 WordPress 网站的最简单方法。我们还将为您提供最佳实践，以避免使您的网站易受攻击。

强化 WordPress 网站的最简单方法

WordPress 强化措施包括一次性步骤以及需要定期检查的措施。

一些强化步骤还需要 WordPress 中的大量技术技能。如果您不精通技术，那么我们强烈建议您使用 WordPress 强化插件。

这些插件让您只需单击一个按钮即可应用安全强化措施。这意味着您永远不必自己接触任何代码或修改任何文件。

我们最喜欢的安全插件是Sucuri。它有一个强大的防火墙和一个强大的扫描仪来监控你的网站并阻止黑客。

Sucuri 还带有内置的强化措施，您可以直接在 WordPress 仪表板中应用这些措施。我们将在下面向您展示如何做到这一点。

第 1 步：安装 Sucuri

Sucuri 为所有 WordPress 用户免费提供WordPress 安全插件。

Sucuri 下载地址：https://wordpress.org/plugins/sucuri-scanner/

您将可以访问：

• 内置安全加固
• 安全活动日志
• 黑名单监控
• 文件完整性监控
• 远程恶意软件扫描
• 安全通知
• 黑客攻击后的安全措施

如果您想安装包含 Sucuri 防火墙的完整安全系统，那么您需要注册一个每年 199.99 美元起的高级计划。

安装并激活插件后，您可以直接从 WordPress 仪表板访问和操作安全设置。

第 2 步：生成 API 密钥

从您的 WordPress 仪表板，导航到Sucuri » 仪表板选项卡。在此页面上，您将看到“生成 API 密钥”按钮。

这将打开一个弹出窗口，您的 WordPress 站点和管理员电子邮件已预先填充。如果你喜欢，你可以改变它。

之后，选中复选框以同意服务条款和隐私政策。然后选择“提交”按钮以生成 API 密钥。

您会看到一个弹出窗口，说明您的网站已成功注册。现在您可以前往 Sucuri 仪表板。

这样，您的站点就会在您的站点上激活一个安全扫描程序。它会显示您的网站是否干净，以及您是否在任何阻止列表中。

第 3 步：启用强化措施

在 Sucuri 仪表板中，您会找到完整的强化措施列表，只需单击一个按钮即可将其添加到您的站点。

导航到Sucuri » 设置 » 强化选项卡。

您将在此处看到所有可用选项：

• 网站防火墙保护：防火墙是阻止黑客和恶意机器人的第一道防线。如果您注册了专业版，您可以链接到您的防火墙帐户以查看 WordPress 中的统计信息。
• 验证 WordPress 版本：检查您的 WordPress 安装、主题和插件何时不是最新的。您将看到更新到最新版本的提示，以避免软件漏洞。
• 验证 PHP 版本：确保您的服务器运行的是最新版本的 PHP。
• 删除 WordPress 版本：允许您删除公开显示的 CMS 版本，这样黑客将无法查看您的 WordPress 版本是否已过时。
• 阻止上传目录中的 PHP 文件：您的上传目录存储不需要使用 PHP 运行的文件。这将禁止在您的上传目录中执行 PHP 文件。请记住，某些插件确实使用 PHP，因此请在添加之前测试此度量。
• 在 WP-CONTENT 目录中阻止 PHP 文件：在 wp-content 中放置一个 .htaccess 文件以阻止任何外部访问。
• 在 WP-INCLUDES 目录中阻止 PHP 文件：在 wp-includes 中放置一个 .htaccess 文件以阻止任何外部访问。
• 信息泄漏：在您的网站上查找任何包含您网站的 WordPress 版本的 readme.html 文件并将其删除。
• 默认管理员帐户：检查主帐户是否使用“admin”作为用户名。通过更改此名称，您可以阻止黑客找出具有最高权限的帐户。
• 插件和主题编辑器：如果黑客闯入了您的网站，这是访问您网站代码的一个非常常见的目标。启用此选项将禁用插件和主题编辑器。这样其他用户就无法通过您的 WordPress 管理员访问和修改敏感文件。
• 激活自动密钥更新程序：刷新您的安全密钥将注销所有用户并删除现有 cookie。这将减少黑客滥用浏览器会话的机会。

要启用一个选项，请选择它旁边的“应用强化”按钮。如果您想撤消它或删除强化功能，请单击现在显示“恢复强化”的同一按钮。

在此列表下方，您还会看到一个选项以允许阻止 PHP 文件。

有时，插件和主题需要访问您已阻止的某些文件和文件夹。这将允许您有选择地添加允许的文件路径，以便您可以维护安全性并仅提供对受信任来源的访问。

使用 Sucuri 强化您的 WordPress 网站就是这么简单。

现在，除了 Sucuri 必须提供的内容之外，您还应该自行采取某些措施来确保您的网站安全。

强化 WordPress 网站的最佳实践

您需要采取的保护站点的最重要步骤是安装安全插件。这些插件会定期扫描和监控您的网站，以便在发现任何可疑内容时向您发出警报。

推荐阅读：10个好用的免费WordPress安全插件

除此之外，您可以遵循以下做法来确保您的网站始终安全。

1. 选择安全的 Web 主机

您的网站位于由您的网络主机运行的服务器上。如果您的主机没有很好地保护其服务器，黑客可以找到进入您网站的方法。

初学者网站所有者倾向于选择便宜的共享托管计划来上手，而很少关注主机采取的安全措施。

我们建议从一开始就使用安全的托管平台，因为黑客会攻击大大小小的站点。他们找到恶意方式来使用他们入侵的任何网站。

国内网站推荐采用 阿里云 或 腾讯云，外贸网站建议采用Siteground。

这些主机拥有强大的基础设施，并始终监控网络是否存在威胁。它们还提供针对DDoS 攻击的保护，因此您可以确保阻止黑客攻击您的服务器。

2. 安装 SSL 证书

您的网站不断在浏览器和服务器之间来回发送数据。黑客试图在传输过程中拦截这些数据并窃取它。

防止此漏洞的最佳方法是使用 SSL 证书。SSL（安全套接字层）将启用加密连接。这意味着在两个系统之间发送的所有数据都不能被任何人读取或修改。

当您使用 SSL 时，您会看到您的网站在地址栏中有一个挂锁以及 HTTPS 而不是 HTTP：

您可以通过您的虚拟主机获取 SSL 证书。

拓展阅读：

• 什么是SSL？为什么要为WordPress网站使用SSL？
• 您应该为网站选择哪种类型的 SSL 证书？
• 宝塔面板为WordPress网站添加SSL证书设置https访问

3. 保护您的登录页面

黑客最容易进入的点之一是您的网站登录页面。用户名和密码通常不足以阻止它们。黑客使用一种称为蛮力攻击的方法来猜测您的凭据并简单地登录。

因此，这是最重要的安全领域之一。您可以执行以下操作：

• 始终强制使用安全凭证：确保您使用的用户名不是“admin”或您自己的名字，因为黑客很容易猜到它们。至于密码，我们建议使用包含字母、数字和符号的密码短语，使其难以破解。当您设置密码时，WordPress 会告诉您密码是弱、中还是强，以便您知道是否需要提高密码强度。
• 定期使密码过期：您应该定期更改密码，但我们知道我们经常忘记这样做。解决此问题的简单方法是安装Expire User Passwords插件。它会自动强制您网站上的每个用户在重新登录之前定期更改密码。
• 限制登录尝试：在暴力攻击中，黑客将机器人发送到您的站点以尝试数千种登录组合，直到他们找到正确的组合。如果您限制登录尝试，则他们必须在 3 次尝试后停止。您可以使用 Sucuri 和 MalCare 等安全插件启用此功能，也可以使用您网站上的Limit Login Attempts Reloaded插件。
• 使用两步验证：这会为您的登录添加一个两步验证过程，您需要提供一次性密码，该密码通过短信、电子邮件或身份验证器应用程序实时发送给您。这意味着用户必须实时验证自己，这使得黑客很难获得访问权限。
• 限制访问登录页面：您只能允许受信任的用户访问您的 wp-admin URL。所有其他用户将自动被阻止查看此页面，更不用说尝试登录了。如果您使用的是 Sucuri，则在仪表板的访问控制选项卡下，您可以添加列入白名单的 IP 地址。通过选中此框，Sucuri 将自动仅允许您信任的用户访问登录页面。

4. 使用安全表单

不安全的表单很容易成为黑客的目标。他们只是在您的表单字段中输入恶意代码。

提交表单后，代码将发送到您的网站数据库进行处理。这将允许黑客感染您的站点或进入您的数据库，并从那里造成严重破坏。

您可以使用安全的 Web 表单来确保不会发生这种情况。WPForms是排名第一的 WordPress 表单构建器，它具有内置的安全性，因此您无需执行任何操作。

您创建的每个表单都已启用反垃圾邮件保护。

如果您想添加额外的保护层，WPForms 可让您在表单上启用 reCAPTCHA（国内网站无法使用）。

这意味着用户必须解决一个小难题或勾选一个方框以证明他们是人类。

5. 设置用户角色权限

如果您有多个用户在您的 WordPress 网站上工作，您可以根据他们的角色限制他们拥有的权限。

这并不意味着您不信任您的团队，这只是意味着如果黑客访问他们的帐户，他们的行为将受到限制。

WordPress 允许您为以下对象创建角色：

• Super Admin
• Administrator
• Editor
• Author
• Contributor
• Subscriber

拥有所有访问权限的最强大角色是超级管理员和管理员。我们建议尽可能少的管理员。

6. 自动注销非活动用户

黑客使用的另一个技巧是劫持浏览会话并窃取 cookie。这使他们可以在您不知情的情况下通过活动用户帐户访问您的网站。

解决此问题的最佳方法是定期注销不活动的用户。

许多安全插件都有空闲会话注销功能，或者您可以使用Inactive Logout插件。

7. 定期更新您的网站

插件、主题，甚至您的 WordPress 安装都会定期更新。当它们可用时，您会在 WordPress 仪表板中看到它们：

更新通常包含错误修复、新功能和软件改进。有时，它们带有安全补丁。

这意味着在软件中发现了一个漏洞，黑客可以利用该漏洞攻击您的网站。当开发人员发现这些漏洞时，他们会修复它们并发布一个新版本来消除漏洞。

您所要做的就是最后更新它。您可以通过查看更新的详细信息来查看更新是否带有安全补丁。

如果您看到它是一个安全更新，请立即运行它以避免任何风险。

如果您担心更新可能会破坏您的站点，您可以在临时站点上测试更新，然后在您的实时站点上运行它。

至此，您已经解决了可以添加到站点的所有强化措施。

尽管采取了最强大的安全措施，但仍有可能出现问题，包括人为错误。最好的准备方法是保留网站的备份副本。

您可以使用UpdraftPlus等备份插件设置自动备份。如需更多选择，请查看我们的顶级 WordPress 备份插件列表。