如何保護 wordpress 網站？ – 10 種有效方法

如何保護 wordpress 網站？ 您投入了大量的時間和精力來構建您的網站，而且您可能投入了更多的時間和精力來使其保持最新狀態。 你的網站甚至可能是你生存所必需的——你需要那些可愛的、美元的、美元的現金來維持你的公司的運轉。

所以，讓我們在安全方面開始做生意。

WordPress 是一個開箱即用的出色、安全平台，但您可以（而且應該！）做更多事情來保護您的網站免受惡意人員的侵害。 許多這些安全增強功能易於部署，並且可以在幾分鐘內手動完成。 其他人只需要安裝某個插件。

在本文中，我將向您介紹加強 WordPress 堡壘防禦的十種替代方法。 但首先，讓我們更深入地了解為什麼網站安全對您很重要。

為什麼採取措施保護您的 WordPress 網站至關重要

如果您想開發一個安全的網站（一個明顯的“no duh”），那麼選擇 WordPress 作為您的平台是一個很好的起點。 它不僅是用於創建網站的多功能且功能強大的平台，而且開箱即用也非常安全。

因為WordPress開發者關心安全，他們致力於最大程度地“加固”核心平台。 他們還定期提供與安全相關的更新和補丁，這些更新和補丁會自動下載並部署在您的站點上。 因此，您的網站將做好充分準備，以應對出現的任何新危險。

事實上，沒有任何平台可以保證完全的安全。 黑客們正在努力嘗試闖入最安全的網站（如果他們能夠善用自己的能力，amirite？）WordPress 非常受歡迎，可以成為常規目標，因為它為超過 30% 的互聯網提供支持。

不用說，如果壞人設法進入您的網站，他們可能會造成很大的破壞。

例如，他們可以竊取或以其他方式破壞敏感信息、安裝惡意軟件、修改您的網站以滿足他們的需求，甚至完全刪除它。 這對您和您的用戶都不利，如果您經營一家企業，可能會導致收入和客戶損失。

這一點都不好。

採取額外的預防措施來保護您的 WordPress 網站至關重要。 您將希望在此項目上投入與最初創建網站相同的時間和精力（如果不是更多的話）。 幸運的是，親愛的讀者，有許多基本的、快速的方法可以加強您網站的安全性，以及您可能想要使用的一些更高級的策略。

如何保護 wordpress 網站？

在本文的其餘部分中，10 個有用的想法可以讓您的網站更安全並最大限度地減少它被黑客入侵的可能性。 此外，我會為您提供每種策略的正確方向。

您不必完成此列表中的所有內容（儘管您當然可以），為保護您的網站而採取的行動越多，您面臨悲劇的可能性就越小。

1.使用優質主機

您的虛擬主機可以被認為是您網站在互聯網上的“街道”； 這是您的網站“生活”的地方。

您網站的基礎質量在很多方面都很重要，就像一個好的學區對您孩子的未來很重要（所以他們說；我結果很好）。

信譽良好的託管公司會影響您的網站的運行情況、擴展的規模，甚至在搜索引擎中的排名。 頂級主機提供了廣泛的有用功能、出色的客戶服務和特定於平台的服務。

正如您所預料的那樣，您的虛擬主機可能會對您網站的安全性產生相當大的影響。 選擇可靠的託管服務具有各種安全優勢，包括：

• 一個好的主機將使其服務、軟件和工具保持最新，以應對最新的威脅並防止安全漏洞。
• Web 服務器經常提供各種有針對性的安全功能，例如 SSL/TLS 證書和 DDoS 保護。 您還應該有權訪問 Web 應用程序防火牆 (WAF)，這將幫助您監控和阻止對您網站的主要威脅。
• 如果您被黑客入侵，您的網絡提供商幾乎肯定會提供一種機制來備份您的網站（在某些情況下，甚至會為您備份），讓您能夠快速恢復穩定的早期版本。
• 如果您的房東提供值得信賴的全天候支持，那麼當您遇到與安全相關的問題時，總會有人求助。

此列表應該作為為您的新網站尋找主機的一個不錯的起點，或者如果您正在考慮更換提供商。 您需要選擇一款具有您需要的所有特性和功能，以及可靠性和高性能記錄的產品。

DreamPress 是特定於 WordPress 的主機，它快速、可靠、可擴展且安全。 DreamPress 帶有預安裝的 SSL/TLS 證書和專用的 WAF，其規則專門用於保護 WordPress 網站並防止黑客攻擊。 您還可以免費獲得自動備份、WordPress 專業人員提供的 24/7 全天候支持，以及 Jetpack Premium，這是一個可以為您的網站添加大量額外安全保護的插件。

知道您的網站使用 DreamPress 是安全的，您就可以放心了。 儘管我們的託管服務為您處理了以下許多安全增強程序，但我們仍然建議您繼續閱讀以了解您可以採取哪些進一步的預防措施。

畢竟，孩子們，安全第一！

建議的網絡主機- 藍色主機

2. 將您的網站切換到 HTTPS

讓我們更詳細地討論 SSL/TLS 證書。 這允許您將站點升級到 HTTPS（安全超文本傳輸協議），這是一種更安全的 HTTP 版本。 即使您以前從未聽說過這些術語，它們也是需要理解的重要安全概念。

HTTP 是您的網站和任何試圖訪問它的瀏覽器之間的數據傳輸協議。 當訪問者點擊您的主頁時，此協議會將您的所有內容、媒體和網站代碼發送到訪問者的位置。

雖然這無疑是必要的，但它確實引發了一些安全問題。 不良行為者可能會試圖攔截傳輸中的數據並出於自己的邪惡原因加以利用。

這是HTTPS解決的問題！ 它完成與 HTTP 相同的事情，但它還會在您的站點數據從 A 點傳輸到 B 點時對其進行加密，從而使其難以訪問。

最初，HTTPS 主要用於處理敏感客戶數據（例如信用卡號）的站點。 然而，它在所有網站上變得越來越流行，像 WordPress 和谷歌這樣的大品牌一直在推動它被廣泛採用。

您需要 SSL/TLS 證書才能將您的網站轉換為 HTTPS。 這告訴瀏覽器您的網站是合法的，並且它包含的數據得到了適當的保護。 某些網站，例如 Let's Encrypt，也會免費為您提供一個。

作為您的主機包的一部分，一個好的主機通常會包含一個 SSL/TLS 證書。 事實上，我們在 DreamHost 的所有託管計劃都包括免費的 Let's Encrypt 證書！

在您的站點上放置 SSL/TLS 證書後，您只需實施 HTTPS。 您的房東可能會為您處理這件事，但您也可以自己處理。 如果您選擇 DreamPress（託管的加長豪華轎車），您的網站將從一開始就使用 HTTPS 構建。 讓遊戲開始！

要購買 SSL 證書，請單擊此處

3. 創建安全登錄憑證

這使得令人毛骨悚然的陌生人更難訪問您的網站。 毫無疑問，您已經為 Internet 上的其他帳戶選擇了強大的用戶名和密碼，因此為您的 WordPress 網站做同樣的事情並不是什麼大問題。

創建站點時，您可以選擇建立登錄用戶名和密碼。 默認情況下，用戶名是 admin，但您可以根據需要（並且可能應該）更改它。 但是，由於個人可以通過多種方式發現您的 WordPress 登錄名，因此您可以根據需要選擇默認選項。

另一方面，您的密碼很重要，您應該選擇一個強密碼。 最近發生了關於如何選擇強密碼的大轉變，一個簡單的四字短語的建議使傳統的隨機字母、數字和符號組合黯然失色。 這是一種在某些圈子中已經存在了一段時間的技術。

如果所有這些關於密碼的討論都讓你頭暈目眩，我們建議使用 WordPress 自己的密碼生成器，它會直接在 WordPress 後端生成（幾乎）不可穿透的密碼。 只需在安全的地方記下您的憑據，例如加密的密碼管理器，這樣您就不會忘記它們。

如果您已經構建了您的網站並且一開始使用了不太理想的憑據，您仍然可以更新您的登錄憑據。 您可以通過創建一個新帳戶、賦予其管理員身份並在刪除舊帳戶之前將所有內容分配給它來更改您的用戶名。

要更改密碼，請轉到 WordPress 管理面板中的用戶 > 所有用戶，單擊您的用戶名，然後在編輯用戶屏幕上更改它。

4. 啟用 Web 應用程序防火牆

您可能知道防火牆的概念，它是一種有助於保護您的計算機免受各種類型的惡意攻擊的程序。 您幾乎可以肯定在您的 PC 上安裝了防火牆。 Web 應用程序防火牆 (WAF) 是一種專門用於保護網站的防火牆。 服務器、特定網站或大量網站都可以受到保護。

WordPress 站點上的 Web 應用程序防火牆 (WAF) 將充當您的站點和 Internet 其餘部分之間的防火牆。 防火牆監視可疑行為，檢測攻擊、病毒和其他不受歡迎的事件，並阻止它認為危險的任何事情。 #獲勝

如果您選擇了我們的 DreamPress 捆綁包，則無需安裝額外的防火牆。 DreamPress 帶有一個內置的 Web 應用程序防火牆 (WAF)，它將掃描您的站點以查找風險並防止未經授權的個人和程序獲得訪問權限。 您無需採取任何行動。

我們的內部惡意軟件檢測服務 DreamShield 也可通過 DreamHost 獲得。 如果您在託管帳戶上啟用 DreamShield，我們將每週掃描您的網站以查找危險代碼。 如果我們發現任何問題，我們會立即向您發送電子郵件。

5. 實施雙重身份驗證

在我們繼續之前，還有一種方法需要介紹：雙因素身份驗證（也通過兩步身份驗證和各種其他類似的名稱進行）。 這個詞是指您必須通過兩步過程才能登錄您的網​​站。 這對您來說需要更多時間，但它對防止黑客進入您的系統大有幫助。

雙重身份驗證需要使用智能手機或其他設備確認您的登錄。 首先，轉到您的 WordPress 網站並使用您的用戶名和密碼登錄。 一個唯一的代碼將發送到您的移動設備，您必須輸入該代碼才能完成登錄過程。 這使您可以通過證明您對自己擁有的東西（例如手機或平板電腦）具有獨占訪問權限來驗證您的身份。

與許多其他 WordPress 功能一樣，兩因素身份驗證很容易使用插件進行設置。 雙重身份驗證是一個不錯的選擇，因為它是由知名開發人員設計的，與 Google Authenticator 兼容，並允許您輕鬆將此功能集成到您的網站中。

另一種選擇是 Two-Factor 插件，它以其可靠性而聞名，主要由 WordPress 核心開發人員開發。 學習曲線有點陡峭，但它可以完成工作並且非常安全，就像其類別中的任何插件一樣。 如果您準備花一點錢，您還可以查看 Jetpack 的類似 Clef 的高級解決方案。

無論您採取何種方式，如有必要，請務必提前諮詢您的團隊，因為您需要他們的電話號碼和其他詳細信息才能開始。 您的登錄頁面現在受到保護並可以使用。

6. 小心添加新插件和主題（並經常更新它們）

使用 WordPress 的最佳方面之一是主題和插件的現成可用性。 使用這些有用的工具，您可以自定義網站的外觀並添加您可以想像的幾乎任何特性或功能。

但是，並非所有插件和主題都是一樣的。

不小心或缺乏必要知識的開發人員可能會生成不可靠、不安全或非常糟糕的插件。 他們可能會使用劣質的編碼技術來暴露黑客可能輕易利用的安全漏洞，或者他們可能會在不知不覺中乾擾關鍵功能。

所有這些意味著您應該對安裝在您網站上的主題和插件非常謹慎。 每個都應該徹底檢查，以驗證它是一種可靠的替代方案，不會損害您的網站或造成麻煩。 有許多考慮因素，但是以下指南可以幫助您選擇高質量的工具：

• 查看客戶評論和評分，看看其他人是否對相關插件或主題有過積極的體驗。
• 檢查插件或主題最近是否已更新。 如果已經超過六個月，則很有可能它並不像它應該的那樣安全。
• 一次安裝一個新插件和主題，這樣如果出現問題，您就會知道出了什麼問題。 此外，請在進行任何更改之前備份您的網站。
• 插件和主題應從信譽良好的來源獲得，例如 WordPress.org 主題和插件目錄、ThemeForest 和 CodeCanyon，以及信譽良好的開發人員網站。

最後，一旦您將所需的插件和主題添加到您的站點，您的工作就沒有完成。

您還需要使它們保持最新狀態，以確保它們一起有效地執行並免受最新危險的影響。 幸運的是，這很簡單：只需轉到您的 WordPress 儀表板，查找指示有可用更新的主題和/或插件的紅色通知，然後單擊每個旁邊的立即更新。

您也可以通過選擇所有插件並單擊更新按鈕來一次更新所有插件，該按鈕可以在此處或在 WordPress 面板中找到。 這是一個更快的選擇，但請記住，一次更新所有這些可能會使診斷因更改而產生的任何問題變得更加複雜。 如果您只使用值得信賴的插件和主題，這應該不是問題。

在我們繼續之前，重要的是要注意您還應該保持 WordPress 最新。 較小的補丁和安全更新將自動應用，但可能需要手動實施重大更改（同樣，這很簡單）。 這不言而喻，但 DreamHost 會為您處理這些升級，因此您不必這樣做。

請記住，讓 WordPress 或您的任何主題或插件過時是您應該避免的危險。

7. 配置您的文件權限

一組文件夾和文件包含 WordPress 網站上的大量信息、數據和內容。 每一個都被賦予一個權限級別，並被構建成一個層次結構的框架。 WordPress 文件或文件夾的權限控制誰可以查看和修改它，並且可以將它們配置為允許任何人、只有您或幾乎介於兩者之間的任何人。

在 WordPress 中，文件權限由一個三位數字表示，每個數字具有不同的含義。 第一個數字代表個人用戶（站點的所有者），第二個數字代表一個組（例如，您的站點的成員），第三個數字代表整個星球。 數字本身表示用戶、組或整個世界：

• 0：沒有查看文件的權限。
• 1：文件只能執行。
• 2：可以編輯文件。
• 3：文件可以編輯和執行。
• 4：可以讀取文件。
• 5：文件可以讀取和執行。
• 6：文件可以讀取和編輯。
• 7：文件可以讀取、編輯和執行。

因此，如果文件的權限級別為 640，則意味著主要用戶可以讀取和編輯它，組可以讀取但不能更改它，其他所有人都無法訪問它。 這可能看起來太複雜了，但確保每個人只能訪問您希望他們擁有的網站上的文件和文件夾至關重要。

WordPress 建議給目錄權限 755 和文件權限 644。如果你遵守這些規則，你會沒事的，儘管你可以創建你選擇的任何組合。 請記住，任何人都不應擁有超出其要求的訪問權限，尤其是對關鍵文件的訪問權限。

您還應該記住，最佳權限設置會因您的託管服務而異，因此您應該詢問您的主機他們推薦什麼。

注意：更改您的權限級別應謹慎； 不正確的數字（例如可怕的 777）將使您的網站不可用。

8. 保持網站上的用戶數量少

如果您自己運行 WordPress 網站，則無需費心這一步。 只要確保沒有其他人可以訪問您的網站，那麼您就是唯一可以進行更新的人。

另一方面，許多人喜歡與他人互動，最終會在他們的網站上添加多個用戶。 您可能希望允許其他作者添加內容，或者您​​可能需要幫助編輯和管理您的站點。 您也有可能擁有一個完整的用戶團隊，他們會定期進入您的 WordPress 網站並自行進行修改。

這在很多方面都是有利的，有時甚至是必需的。 然而，這可能是一個安全問題。

您邀請到您的網站的人越多，就越有可能有人會犯一個粗心大意的錯誤或僅僅因為一個混蛋而導致問題。 因此，在允許網站擴展的同時保持網站的用戶數量盡可能低是個好主意。 盡量減少管理員和其他高權限用戶角色的數量。

這裡還有一些想法：

• 將每個用戶的權限限制為他們執行工作所需的權限。 顯然，應該鼓勵用戶選擇強密碼（還記得第 3 條嗎？）。
• 如果可能，請保留一名管理員和少量編輯。
• 允許離開站點或不再需要訪問權限的用戶被啟動。
• 考慮安裝 Members，這是一個插件，可為您提供 WordPress 角色和功能係統的用戶界面。

9. 跟踪您的管理區域活動

如果您有很多用戶，那麼跟踪您的用戶在網站上所做的事情是一個好主意。 跟踪 WordPress 管理區域中的活動可以幫助您識別其他用戶何時做他們不應該做的事情，以及非法用戶是否獲得了訪問權限。

當進行了奇怪的改動或安裝了任何可疑的東西時，您將希望能夠找出責任人。 插件會處理一切。

您需要找到一個定制的解決方案，因為大多數主要的安全插件不包括開箱即用的此功能。 如果您想採用不干涉的方法，簡單的歷史記錄會創建一個簡化的、易於理解的網站上的重大更改和事件的日誌，它通過生成一個簡化的、易於理解的日誌來實現它的名字您網站上的重要變化和事件。

WP Security Audit Log 可以跟踪您網站上發生的幾乎所有事情並提供許多方便的高級插件，是更多涉及跟踪功能的另一種選擇。

安裝適當的插件後，檢查日誌是否有任何異常是個好主意。 如果您的網站上發生意外或錯誤出現意外，請查看最近的活動。

10. 定期備份您的網站

如果我說有一種萬能的方法可以保護您的網站免受所有威脅，那我就是在撒謊。 即使您遵循此列表中的所有建議，您的網站仍然存在被黑客入侵的危險。

黑客是他們手藝的大師。

您現在所要做的就是在他們自己的遊戲中擊敗他們。 一個全面的安全計劃需要考慮如果最壞的情況發生時你會做什麼，即使你努力避免它。

在發生災難時保護您的站點的最簡單和最好的策略是定期備份它。 如果您有最近的備份，您可以將您的網站恢復到它被黑客入侵或以其他方式損壞之前的狀態。 這將幫助您盡快解決問題並繼續前進。

自然，您需要對如何構建和使用備份保持謹慎。 以下建議是一個很好的起點：

• 保留許多備份。 因為您最近的備份可能存在您尚未發現的故障，所以始終保留至少三個最近的備份是一個明智的經驗法則。
• 備份應保存在各種地方，包括雲存儲和傳統硬盤。
• 創建並遵守定期備份計劃。 儘管您可以遵循許多可靠的提示，但頻率和時間完全取決於您。

除了常規備份計劃之外，在對站點進行任何更改之前對站點進行額外備份總是一個好主意。 所以（輕推，輕推）在應用任何這些安全增強方法之前，請確保您有最近的備份。

WordPress 安全性：最後的話

真實的事實：如果您的網站被黑，您將花費數小時（如果不是數天！）修復損壞。 您可能會永久丟失數據或使您的個人信息（或者更糟糕的是，您客戶的數據）受到損害。

這就是為什麼你必須花費大量的時間和精力來確保這種情況永遠不會發生。 否則，在試圖恢復損失時，您可能會損失大量業務和現金。

這十個 WordPress 安全提示應該會有所幫助。 有些變化很小。 其他的，例如切換到 HTTPS 或添加 SSL 證書，會對您的整個站點產生影響。 您還需要確保您的網站託管在安全的 WordPress 服務器上。