如何保护 wordpress 网站？ – 10 种有效方法

如何保护 wordpress 网站？ 您投入了大量的时间和精力来构建您的网站，而且您可能投入了更多的时间和精力来使其保持最新状态。 你的网站甚至可能是你生存所必需的——你需要那些可爱的、美元的、美元的现金来维持你的公司的运转。

所以，让我们在安全方面开始做生意。

WordPress 是一个开箱即用的出色、安全平台，但您可以（而且应该！）做更多事情来保护您的网站免受恶意人员的侵害。 许多这些安全增强功能易于部署，并且可以在几分钟内手动完成。 其他人只需要安装某个插件。

在本文中，我将向您介绍加强 WordPress 堡垒防御的十种替代方法。 但首先，让我们更深入地了解为什么网站安全对您很重要。

为什么采取措施保护您的 WordPress 网站至关重要

如果您想开发一个安全的网站（一个明显的“no duh”），那么选择 WordPress 作为您的平台是一个很好的起点。 它不仅是用于创建网站的多功能且功能强大的平台，而且开箱即用也非常安全。

因为WordPress开发者关心安全，他们致力于最大程度地“加固”核心平台。 他们还定期提供与安全相关的更新和补丁，这些更新和补丁会自动下载并部署在您的站点上。 因此，您的网站将做好充分准备，以应对出现的任何新危险。

事实上，没有任何平台可以保证完全的安全。 黑客们正在努力尝试闯入最安全的网站（如果他们能够善用自己的能力，amirite？）WordPress 非常受欢迎，可以成为常规目标，因为它为超过 30% 的互联网提供支持。

不用说，如果坏人设法进入您的网站，他们可能会造成很大的破坏。

例如，他们可以窃取或以其他方式破坏敏感信息、安装恶意软件、修改您的网站以满足他们的需求，甚至完全删除它。 这对您和您的用户都不利，如果您经营一家企业，可能会导致收入和客户损失。

这一点都不好。

采取额外的预防措施来保护您的 WordPress 网站至关重要。 您将希望在此项目上投入与最初创建网站相同的时间和精力（如果不是更多的话）。 幸运的是，亲爱的读者，有许多基本的、快速的方法可以加强您网站的安全性，以及您可能想要使用的一些更高级的策略。

如何保护 wordpress 网站？

在本文的其余部分中，10 个有用的想法可以让您的网站更安全并最大限度地减少它被黑客入侵的可能性。 此外，我会为您提供每种策略的正确方向。

您不必完成此列表中的所有内容（尽管您当然可以），为保护您的网站而采取的行动越多，您面临悲剧的可能性就越小。

1.使用优质主机

您的虚拟主机可以被认为是您网站在互联网上的“街道”； 这是您的网站“生活”的地方。

您网站的基础质量在很多方面都很重要，就像一个好的学区对您孩子的未来很重要（所以他们说；我结果很好）。

信誉良好的托管公司会影响您的网站的运行情况、扩展的规模，甚至在搜索引擎中的排名。 顶级主机提供了广泛的有用功能、出色的客户服务和特定于平台的服务。

正如您所预料的那样，您的虚拟主机可能会对您网站的安全性产生相当大的影响。 选择可靠的托管服务具有各种安全优势，包括：

• 一个好的主机将使其服务、软件和工具保持最新，以应对最新的威胁并防止安全漏洞。
• Web 服务器经常提供各种有针对性的安全功能，例如 SSL/TLS 证书和 DDoS 保护。 您还应该有权访问 Web 应用程序防火墙 (WAF)，这将帮助您监控和阻止对您网站的主要威胁。
• 如果您被黑客入侵，您的网络提供商几乎肯定会提供一种机制来备份您的网站（在某些情况下，甚至会为您备份），让您能够快速恢复稳定的早期版本。
• 如果您的房东提供值得信赖的全天候支持，那么当您遇到与安全相关的问题时，总会有人求助。

此列表应该作为为您的新网站寻找主机的一个不错的起点，或者如果您正在考虑更换提供商。 您需要选择一款具有您需要的所有特性和功能，以及可靠性和高性能记录的产品。

DreamPress 是特定于 WordPress 的主机，它快速、可靠、可扩展且安全。 DreamPress 带有预安装的 SSL/TLS 证书和专用的 WAF，其规则专门用于保护 WordPress 网站并防止黑客攻击。 您还可以免费获得自动备份、WordPress 专业人员提供的 24/7 全天候支持，以及 Jetpack Premium，这是一个可以为您的网站添加大量额外安全保护的插件。

知道您的网站使用 DreamPress 是安全的，您就可以放心了。 尽管我们的托管服务为您处理了以下许多安全增强程序，但我们仍然建议您继续阅读以了解您可以采取哪些进一步的预防措施。

毕竟，孩子们，安全第一！

建议的网络主机- 蓝色主机

2. 将您的网站切换到 HTTPS

让我们更详细地讨论 SSL/TLS 证书。 这允许您将站点升级到 HTTPS（安全超文本传输​​协议），这是一种更安全的 HTTP 版本。 即使您以前从未听说过这些术语，它们也是需要理解的重要安全概念。

HTTP 是您的网站和任何试图访问它的浏览器之间的数据传输协议。 当访问者点击您的主页时，此协议会将您的所有内容、媒体和网站代码发送到访问者的位置。

虽然这无疑是必要的，但它确实引发了一些安全问题。 不良行为者可能会试图拦截传输中的数据并出于自己的邪恶原因加以利用。

这是HTTPS解决的问题！ 它完成与 HTTP 相同的事情，但它还会在您的站点数据从 A 点传输到 B 点时对其进行加密，从而使其难以访问。

最初，HTTPS 主要用于处理敏感客户数据（例如信用卡号）的站点。 然而，它在所有网站上变得越来越流行，像 WordPress 和谷歌这样的大品牌一直在推动它被广泛采用。

您需要 SSL/TLS 证书才能将您的网站转换为 HTTPS。 这告诉浏览器您的网站是合法的，并且它包含的数据得到了适当的保护。 某些网站，例如 Let's Encrypt，也会免费为您提供一个。

作为您的主机包的一部分，一个好的主机通常会包含一个 SSL/TLS 证书。 事实上，我们在 DreamHost 的所有托管计划都包括免费的 Let's Encrypt 证书！

在您的站点上放置 SSL/TLS 证书后，您只需实施 HTTPS。 您的房东可能会为您处理这件事，但您也可以自己处理。 如果您选择 DreamPress（托管的加长豪华轿车），您的网站将从一开始就使用 HTTPS 构建。 让游戏开始！

要购买 SSL 证书，请单击此处

3. 创建安全登录凭证

这使得令人毛骨悚然的陌生人更难访问您的网站。 毫无疑问，您已经为 Internet 上的其他帐户选择了强大的用户名和密码，因此为您的 WordPress 网站做同样的事情并不是什么大问题。

创建站点时，您可以选择建立登录用户名和密码。 默认情况下，用户名是 admin，但您可以根据需要（并且可能应该）更改它。 但是，由于个人可以通过多种方式发现您的 WordPress 登录名，因此您可以根据需要选择默认选项。

另一方面，您的密码很重要，您应该选择一个强密码。 最近发生了关于如何选择强密码的大转变，一个简单的四词短语的建议使随机字母、数字和符号的传统组合黯然失色。 这是一种在某些圈子中已经存在了一段时间的技术。

如果所有这些关于密码的讨论都让你头晕目眩，我们建议使用 WordPress 自己的密码生成器，它会直接在 WordPress 后端生成（几乎）不可穿透的密码。 只需在安全的地方记下您的凭据，例如加密的密码管理器，这样您就不会忘记它们。

如果您已经构建了您的网站并且一开始使用了不太理想的凭据，您仍然可以更新您的登录凭据。 您可以通过创建一个新帐户、赋予其管理员身份并在删除旧帐户之前将所有内容分配给它来更改您的用户名。

要更改密码，请转到 WordPress 管理面板中的用户 > 所有用户，单击您的用户名，然后在编辑用户屏幕上更改它。

4. 启用 Web 应用程序防火墙

您可能知道防火墙的概念，它是一种有助于保护您的计算机免受各种类型的恶意攻击的程序。 您几乎可以肯定在您的 PC 上安装了防火墙。 Web 应用程序防火墙 (WAF) 是一种专门用于保护网站的防火墙。 服务器、特定网站或大量网站都可以受到保护。

WordPress 站点上的 Web 应用程序防火墙 (WAF) 将充当您的站点和 Internet 其余部分之间的防火墙。 防火墙监视可疑行为，检测攻击、病毒和其他不受欢迎的事件，并阻止它认为危险的任何事情。 #获胜

如果您选择了我们的 DreamPress 捆绑包，则无需安装额外的防火墙。 DreamPress 带有一个内置的 Web 应用程序防火墙 (WAF)，它将扫描您的站点以查找风险并防止未经授权的个人和程序获得访问权限。 您无需采取任何行动。

我们的内部恶意软件检测服务 DreamShield 也可通过 DreamHost 获得。 如果您在托管帐户上启用 DreamShield，我们将每周扫描您的网站以查找危险代码。 如果我们发现任何问题，我们会立即向您发送电子邮件。

5. 实施双重身份验证

在我们继续之前，还有一种方法需要介绍：双因素身份验证（也通过两步身份验证和各种其他类似的名称进行）。 这个词是指您必须通过两步过程才能登录您的网站。 这对您来说需要更多时间，但它对防止黑客进入您的系统大有帮助。

双重身份验证需要使用智能手机或其他设备确认您的登录。 首先，转到您的 WordPress 网站并使用您的用户名和密码登录。 一个唯一的代码将发送到您的移动设备，您必须输入该代码才能完成登录过程。 这使您可以通过证明您对自己拥有的东西（例如手机或平板电脑）具有独占访问权限来验证您的身份。

与许多其他 WordPress 功能一样，两因素身份验证很容易使用插件进行设置。 双重身份验证是一个不错的选择，因为它是由知名开发人员设计的，与 Google Authenticator 兼容，并允许您轻松将此功能集成到您的网站中。

另一种选择是 Two-Factor 插件，它以其可靠性而闻名，主要由 WordPress 核心开发人员开发。 学习曲线有点陡峭，但它可以完成工作并且非常安全，就像其类别中的任何插件一样。 如果您准备花一点钱，您还可以查看 Jetpack 的类似 Clef 的高级解决方案。

无论您采取何种方式，如有必要，请务必提前咨询您的团队，因为您需要他们的电话号码和其他详细信息才能开始。 您的登录页面现在受到保护并可以使用。

6. 小心添加新插件和主题（并经常更新它们）

使用 WordPress 的最佳方面之一是主题和插件的现成可用性。 使用这些有用的工具，您可以自定义网站的外观并添加您可以想象的几乎任何特性或功能。

但是，并非所有插件和主题都是一样的。

不小心或缺乏必要知识的开发人员可能会生成不可靠、不安全或非常糟糕的插件。 他们可能会使用劣质的编码技术来暴露黑客可能轻易利用的安全漏洞，或者他们可能会在不知不觉中干扰关键功能。

所有这些意味着您应该对安装在您网站上的主题和插件非常谨慎。 每个都应该彻底检查，以验证它是一种可靠的替代方案，不会损害您的网站或造成麻烦。 有许多考虑因素，但是以下指南可以帮助您选择高质量的工具：

• 查看客户评论和评分，看看其他人是否对相关插件或主题有过积极的体验。
• 检查插件或主题最近是否已更新。 如果已经超过六个月，则很有可能它并不像它应该的那样安全。
• 一次安装一个新插件和主题，这样如果出现问题，您就会知道出了什么问题。 此外，请在进行任何更改之前备份您的网站。
• 插件和主题应从信誉良好的来源获得，例如 WordPress.org 主题和插件目录、ThemeForest 和 CodeCanyon，以及信誉良好的开发人员网站。

最后，一旦您将所需的插件和主题添加到您的站点，您的工作就没有完成。

您还需要使它们保持最新状态，以确保它们一起有效地执行并免受最新危险的影响。 幸运的是，这很简单：只需转到您的 WordPress 仪表板，查找指示有可用更新的主题和/或插件的红色通知，然后单击每个旁边的立即更新。

您也可以通过选择所有插件并单击更新按钮来一次更新所有插件，该按钮可以在此处或在 WordPress 面板中找到。 这是一个更快的选择，但请记住，一次更新所有这些可能会使诊断因更改而产生的任何问题变得更加复杂。 如果您只使用值得信赖的插件和主题，这应该不是问题。

在我们继续之前，重要的是要注意您还应该保持 WordPress 最新。 较小的补丁和安全更新将自动应用，但可能需要手动实施重大更改（同样，这很简单）。 这不言而喻，但 DreamHost 会为您处理这些升级，因此您不必这样做。

请记住，让 WordPress 或您的任何主题或插件过时是您应该避免的危险。

7. 配置您的文件权限

一组文件夹和文件包含 WordPress 网站上的大量信息、数据和内容。 每一个都被赋予一个权限级别，并被构建成一个层次结构的框架。 WordPress 文件或文件夹的权限控制谁可以查看和修改它，并且可以将它们配置为允许任何人、只有您或几乎介于两者之间的任何人。

在 WordPress 中，文件权限由一个三位数字表示，每个数字具有不同的含义。 第一个数字代表个人用户（站点的所有者），第二个数字代表一个组（例如，您的站点的成员），第三个数字代表整个星球。 数字本身表示用户、组或整个世界：

• 0：没有查看文件的权限。
• 1：文件只能执行。
• 2：可以编辑文件。
• 3：文件可以编辑和执行。
• 4：可以读取文件。
• 5：文件可以读取和执行。
• 6：文件可以读取和编辑。
• 7：文件可以读取、编辑和执行。

因此，如果文件的权限级别为 640，则意味着主要用户可以读取和编辑它，组可以读取但不能更改它，其他所有人都无法访问它。 这可能看起来太复杂了，但确保每个人只能访问您希望他们拥有的网站上的文件和文件夹至关重要。

WordPress 建议给目录权限 755 和文件权限 644。如果你遵守这些规则，你会没事的，尽管你可以创建你选择的任何组合。 请记住，任何人都不应拥有超出其要求的访问权限，尤其是对关键文件的访问权限。

您还应该记住，最佳权限设置会因您的托管服务而异，因此您应该询问您的主机他们推荐什么。

注意：更改您的权限级别应谨慎； 不正确的数字（例如可怕的 777）将使您的网站不可用。

8. 保持网站上的用户数量少

如果您自己运行 WordPress 网站，则无需费心这一步。 只要确保没有其他人可以访问您的网站，那么您就是唯一可以进行更新的人。

另一方面，许多人喜欢与他人互动，最终会在他们的网站上添加多个用户。 您可能希望允许其他作者添加内容，或者您​​可能需要帮助编辑和管理您的站点。 您也有可能拥有一个完整的用户团队，他们会定期进入您的 WordPress 网站并自行进行修改。

这在很多方面都是有利的，有时甚至是必需的。 然而，这可能是一个安全问题。

您邀请到您的网站的人越多，就越有可能有人会犯一个粗心大意的错误或仅仅因为一个混蛋而导致问题。 因此，在允许网站扩展的同时保持网站的用户数量尽可能低是个好主意。 尽量减少管理员和其他高权限用户角色的数量。

这里还有一些想法：

• 将每个用户的权限限制为他们执行工作所需的权限。 显然，应该鼓励用户选择强密码（还记得第 3 条吗？）。
• 如果可能，请保留一名管理员和少量编辑。
• 允许离开站点或不再需要访问权限的用户被启动。
• 考虑安装 Members，这是一个插件，可为您提供 WordPress 角色和功能系统的用户界面。

9. 跟踪您的管理区域活动

如果您有很多用户，那么跟踪您的用户在网站上所做的事情是一个好主意。 跟踪 WordPress 管理区域中的活动可以帮助您识别其他用户何时做他们不应该做的事情，以及非法用户是否获得了访问权限。

当进行了奇怪的改动或安装了任何可疑的东西时，您将希望能够找出责任人。 插件会处理一切。

您需要找到一个定制的解决方案，因为大多数主要的安全插件不包括开箱即用的此功能。 如果您想采用不干涉的方法，简单的历史记录会创建一个简化的、易于理解的网站上的重大更改和事件的日志，它通过生成一个简化的、易于理解的日志来实现它的名字您网站上的重要变化和事件。

WP Security Audit Log 可以跟踪您网站上发生的几乎所有事情并提供许多方便的高级插件，是更多涉及跟踪功能的另一种选择。

安装适当的插件后，检查日志是否有任何异常是个好主意。 如果您的网站上发生意外或错误出现意外，请查看最近的活动。

10. 定期备份您的网站

如果我说有一种万能的方法可以保护您的网站免受所有威胁，那我就是在撒谎。 即使您遵循此列表中的所有建议，您的网站仍然存在被黑客入侵的危险。

黑客是他们手艺的大师。

您现在所要做的就是在他们自己的游戏中击败他们。 一个全面的安全计划需要考虑如果最坏的情况发生时你会做什么，即使你努力避免它。

在发生灾难时保护您的站点的最简单和最好的策略是定期备份它。 如果您有最近的备份，您可以将您的网站恢复到它被黑客入侵或以其他方式损坏之前的状态。 这将帮助您尽快解决问题并继续前进。

自然，您需要对如何构建和使用备份保持谨慎。 以下建议是一个很好的起点：

• 保留许多备份。 因为您最近的备份可能存在您尚未发现的故障，所以始终保留至少三个最近的备份是一个明智的经验法则。
• 备份应保存在各种地方，包括云存储和传统硬盘。
• 创建并遵守定期备份计划。 尽管您可以遵循许多可靠的提示，但频率和时间完全取决于您。

除了常规备份计划之外，在对站点进行任何更改之前对站点进行额外备份总是一个好主意。 所以（轻推，轻推）在应用任何这些安全增强方法之前，请确保您有最近的备份。

WordPress 安全性：最后的话

真实的事实：如果您的网站被黑，您将花费数小时（如果不是数天！）修复损坏。 您可能会永久丢失数据或使您的个人信息（或者更糟糕的是，您客户的数据）受到损害。

这就是为什么你必须花费大量的时间和精力来确保这种情况永远不会发生。 否则，在试图恢复损失时，您可能会损失大量业务和现金。

这十个 WordPress 安全提示应该会有所帮助。 有些变化很小。 其他的，例如切换到 HTTPS 或添加 SSL 证书，会对您的整个站点产生影响。 您还需要确保您的网站托管在安全的 WordPress 服务器上。