WordPress安全性問題對於每個網站主來說都是非常重要的一個話題。Google每週都會將20000多個惡意軟體網站和50000多個釣魚網站加入黑名單。如果你真的關心網站的安全性,那你需要花一些精力去真正去實踐WordPress安全防護的措施。在本指南中,我們將分享所有最有效的WordPress安全防護措施,以幫助你保護網站免受駭客和惡意軟體的侵害。

雖然WordPress軟體核心的部分是非常安全可靠的,而且還有上百名開發者定期稽核,但是仍然可以從許多方面來加強你的網站安全性。

我們認為安全不僅僅是指消除危險,也是指減少危險。作為一個網站主,你可以做很多事情來提高你的網站安全性(即使你不懂技術)。

我們有許多可操作的步驟,您可以採取這些步驟來提高WordPress的安全性。為方便起見,我們建立了一個目錄,以幫助您輕鬆瀏覽我們的終極WordPress安全指南。

目錄

WordPress安全基礎知識

為什麼WordPress的安全性這麼重要?

讓WordPress保持最新版

複雜密碼和使用者許可權

網路主機的角色

提高WordPress安全性的簡單方式 (無需程式碼)

安裝WordPress備份方案

最好的WordPress安全外掛

啟用網路應用防火牆 (WAF)

DIY使用者的WordPress安全性

修改預設的使用者名稱“admin”

禁用檔案編輯

禁用PHP檔案執行

限制登入嘗試

修改WordPress資料表字首

用密碼保護WordPress管理員和登入頁面

禁用目錄索引和瀏覽

禁用WordPress的XML-RPC

自動登出空閒使用者

為WordPress登入新增安全問題

修復被黑的WordPress網站

準備好了嗎?我們開始吧!

為什麼WordPress的安全性這麼重要?

被駭客入侵的WordPress網站可能會嚴重損害您的業務收入和聲譽。 駭客可以竊取使用者資訊,密碼,安裝惡意軟體,甚至可以向用戶分發惡意軟體。最糟糕的是,你可能會為了重新獲得網站的許可權而不得不向駭客支付贖金。

在2016年3月,Google曾釋出報告稱,大約有5千萬網站使用者在訪問可能包含惡意軟體或者會竊取資訊的網站時收到過警告。此外,谷歌每週都會將大約20,000個惡意軟體網站和大約50,000個網路釣魚網站列入黑名單。

如果你的網站是企業網站,那你更需要對網站的安全性額外關注。

與企業所有者保護其實體店鋪的責任類似,作為線上企業所有者,你有責任保護你的企業網站。

讓WordPress保持最新版

WordPress是一款開源的軟體,也是會定期維護和升級。預設情況下,WordPress會自動安裝一些小的更新。對於大版本更新,你需要手動啟動更新。

WordPress還有成千上萬的外掛和主題可以安裝,這些外掛和主題是由第三方開發者維護的,也是會定期進行更新。

這些WordPress更新對你網站的安全性和穩定性起到關鍵的作用。你需要確保WordPress核心檔案,外掛和主題都升級到了最新版。

複雜密碼和使用者許可權

最常見的駭客攻擊是使用被盜的密碼,你可以透過專門為網站建立一個複雜的密碼來提高這種攻擊的難度。不僅你的WordPress管理員後臺密碼要提高強度,同時還有FTP賬戶、資料庫、WordPress主機賬戶以及你的郵箱密碼。

小白不喜歡使用複雜密碼最主要的原因是因為它們太難記了,為了解決這個問題,我們推薦你使用密碼管理器。

另一個降低風險的方法是不要將你的管理員賬戶交給其他人使用,除非這非常有必要。如果你的團隊人數較多或者有很多兼職作者,在你新增新使用者和作者前,請確保你已經瞭解了WordPress中使用者角色和許可權相關的內容。

網路主機的角色

你的網路主機服務商在網站安全性方面扮演著非常重要的角色。一個合格的共享主機提供商,例如BlueHost或者Siteground會採取一定的措施來保護他們的伺服器免受一般的威脅。

但是,在共享主機上,你與許多其他客戶共享伺服器資源。 這可能會導致跨站點汙染,駭客可以利用鄰近站點攻擊你的網站。

使用WordPress託管服務可為你的網站提供更安全的平臺。 WordPress託管公司會提供自動備份,自動WordPress更新和更高階的安全配置來保護你的網站。

我們推薦使用WPEngine作為首選WordPress託管商,他們也是業內最受歡迎的產品之一。

提高WordPress安全性的簡單方式 (無需程式碼)

我們知道提升WordPress安全性對於小白來說無疑是一個大難題,尤其是你還不懂技術的情況下。不過不用擔心,不懂技術的人不止你一個。

我們將為你展示如何僅用滑鼠點幾下就可以提升網站的安全性(無需程式碼)。只要你會使用滑鼠,你就可以做到!

安裝WordPress備份方案

備份是你面對WordPress攻擊時的第一道屏障。記住,沒有什麼是100%安全的,如果連政府的網站都能被攻破,又何況是你的呢?

備份可以讓你在遇到突然狀況時快速回復你的網站,WordPress有許多免費和付費的備份外掛。在備份時,你需要知道的最重要的事情是你必須定期將全站備份儲存到一個遠端位置(而不是你網站所在的主機)。

我們推薦將備份內容儲存在像Amazon,Dropbox這樣的雲盤中,或者像Stash的私有云。

基於你網站的更新頻率,理想的備份頻率是每天備份或者實時備份。

幸好,備份這個枯燥的工作可以使用VaultPress或者BackupBuddy這樣的外掛自動完成。他們都非常可靠,最重要的是使用簡單(不需要程式碼)。

最好的WordPress安全外掛

備份之後,我們需要做的下一件事是建立一個審計和監控系統,跟蹤網站上發生的一切。這包括檔案完整性監控,登入嘗試失敗,惡意軟體掃描等。

值得慶幸的是,這可以透過最好的免費WordPress安全外掛Sucuri Scanner來完成。你需要安裝並啟用Sucuri Security外掛,安裝的具體步驟,請參考如何安裝WordPress外掛。

啟用後,從管理員後臺進入Sucuri的選單。

2021 WordPress安全防護終極指南

首先,你需要去生成一個免費的API key。有了API key後就可以啟用稽核日誌記錄,完整性檢查,電子郵件警報和其他重要功能。

下一步,點選Sucuri選單的Settings,點選“Hardening”標籤,然後挨個點選“Apply Hardening”按鈕。

2021 WordPress安全防護終極指南

這些選項可以鎖定駭客在攻擊中經常使用的關鍵區域。 唯一需要付費的是Web應用防火牆,我們將在下一步中解釋,因此暫時跳過它。

對於那些想要在不使用外掛的情況下執行這些操作或者其他操作(例如“修改資料庫字首”或“修改管理員使用者名稱”)的人,我們也在後面介紹了相關的操作方式。

設定完Hardening部分後,大部分預設設定就都不需要修改了。我們唯一推薦的是對Email Alerts(郵件警告)進行自定義。

預設的報警設定可能會讓你的收件箱接收很多無用的郵件,我們建議設定成只接收重要操作的郵件,例如外掛更改,新使用者註冊等。你可以在Sucuri設定中的Alerts選項卡里進行設定。

2021 WordPress安全防護終極指南

這個WordPress安全外掛非常強大,你可以瀏覽所有選項卡和設定來了解它的全部功能,例如惡意軟體掃描,稽核日誌,失敗登入嘗試跟蹤等。

啟用網路應用防火牆 (WAF)

保護網站並對WordPress安全性充滿信心的最簡單方法是使用網路應用防火牆(WAF)。 防火牆可以在所有惡意流量到達你的網站之前進行阻止。

2021 WordPress安全防護終極指南

Sucuri是我們在WordPress上推薦的最好的網路應用防火牆。

Sucuri防火牆最好的地方是它還自帶惡意軟體清理和黑名單軟體刪除的功能。基本上只要在軟體的監控下你的網站被入侵了,他們保證可以將你的網站修復(無論你有多少頁面)。

這是個非常強有力的保障,因為修復被入侵的網站非常貴,安全專家每小時的收費通常在250美金,而你只需要每年花199美金就可以或得完整的Sucuri安全軟體包。

Sucuri當然不是唯一的防火牆提供商,另一款比較流行的競品是CloudFlare。

DIY使用者的WordPress安全性

如果上面提到的操作你都做了,那麼你的網站應該很安全了。但是,你仍然可以從很多方面來加強網站的安全性。其中一些步驟可能需要編碼知識。

修改預設的使用者名稱“admin”

在以前的老版本中,WordPress管理員的預設使用者名稱是“admin”。因為知道了使用者名稱的話,那就相當於知道了1/2的登入憑據,這也使得駭客進行暴力攻擊變的更加容易。

值得慶幸的是,在近幾年的WordPress版本安裝時,WordPress會要求你自己設定一個自定義的使用者名稱。

然而,一些WordPress一鍵安裝包任然將預設的管理員使用者名稱設定為“admin”。如果你注意到了這種情況,可能你該考慮換一家主機服務商了。

由於WordPress預設是不允許你修改使用者名稱的,所以這裡我們給出三種讓你可以修改使用者名稱的方法。

建立一個新管理員使用者名稱,然後把之前的那個刪除。

使用Username Changer外掛。

從phpMyAdmin修改使用者名稱。

我們有個詳細的教程教你如何修改WordPress管理員使用者名稱。

注意:

我們在討論的是叫“admin”的使用者名稱,不是管理員角色。

禁用檔案編輯

WordPress自帶一個程式碼編輯器,你可以很方便的在管理員後臺介面就可以對主題或者外掛的檔案進行編輯。但是如果使用不當的話,這個功能也是存在安全風險的,所以我們建議關閉該功能。

2021 WordPress安全防護終極指南

你可以在wp-config。php檔案中新增如下程式碼來關閉此功能。

// Disallow file edit

define(‘DISALLOW_FILE_EDIT’, true );

或者,你也可以在上面提到的免費Sucuri外掛中,點選Hardening功能中的相關條目來一鍵關閉。

對特定的WordPress目錄禁用PHP檔案執行

另一個可以加強WordPress安全性的方法是對那些不必要的目錄(例如:/wp-content/uploads/)禁用PHP檔案執行。

開啟文字編輯器,將下面的程式碼複製進去:

deny from all

然後,將檔案儲存並命名為

.htaccess

,使用FTP客戶端將檔案上傳至 /wp-content/uploads/。

當然,你也可以在上面提到的免費Sucuri外掛中,點選Hardening功能中的相關條目來一鍵關閉。

更詳細的說明,請檢視如何對特定的WordPress目錄禁用PHP檔案執行。

限制登入嘗試

WordPress預設是允許使用者無限制的不斷嘗試登入,但是這讓你的網站面臨被暴力破解的風險。駭客會試圖透過不同的組合來破解密碼並登入你的網站。

這個問題可以透過限制使用者登入失敗的次數來修復。如果你正在使用上面提到的網路應用防火牆,那麼它已經自動開啟了該功能。

如果你沒有設定防火牆的話,按照下面的步驟也是可以的。

首先,安裝並啟用Login LockDown外掛。外掛安裝的具體步驟請參考如何安裝WordPress外掛。

啟用後,前往 “設定” – “Login LockDown”去進行外掛的設定。

2021 WordPress安全防護終極指南

詳細的操作步驟,請檢視如何以及為什麼你應該限制WordPress登入嘗試。

修改WordPress資料表字首

預設情況下, WordPress資料庫中的資料表都是使用 wp_ 作為字首的。如果你的資料庫使用預設的字首,那麼駭客就很容易猜到你的資料表名,所以我們推薦修改字首。

你可以按照這篇《如何修改WordPress資料庫字首來提升安全性》的文章進行修改。

注意:

如果處理不好的話,你的網站會整個都掛掉。除非你對自己程式設計技術有資訊,否則不要修改。

用密碼保護WordPress管理員和登入頁面

正常情況下,駭客可以不受限制的請求你的 wp-admin資料夾和登入頁面,這也給了駭客機會去嘗試他們的各種駭客技巧已經執行DDoS攻擊。

你可以在伺服器端新增額外的密碼保護,這可以高效的拒絕這類的請求。

可以按照這篇教程來學習如何使用密碼來保護WordPress管理員(wp-admin)目錄。

禁用目錄索引和瀏覽

2021 WordPress安全防護終極指南

駭客可以使用目錄瀏覽來檢視是否有任何已知漏洞的檔案,這樣他們可以利用這些檔案來獲取訪問許可權。

目錄瀏覽還可以被其他人用來檢視你的檔案,複製圖片,檢視你的目錄結構以及其他資訊。所以我們高度推薦你關閉目錄索引和瀏覽。

使用FTP或者cPanel的檔案管理器連線到你的網站,然後找到網站根目錄下的。htaccess檔案。如果你看不到該檔案,可以瞭解一下為什麼你無法看到WordPress中的。htaccess檔案。

然後,將下面的程式碼新增到 。htaccess檔案中。

Options -Indexes

最後別忘了將檔案儲存並上傳到原來位置。關於這個話題更詳細的內容,請閱讀如何在WordPress中禁用目錄瀏覽。

禁用WordPress的XML-RPC

從WordPress 3。5開始,XML-RPC是預設啟用的,因為它可以幫你將WordPress網站連線到網路應用或者手機應用。

然而由於其強大的特性,XML-RPC會明顯的提升暴力攻擊的成功率。

舉個例子,以前如果一個駭客想嘗試500種不同的密碼登入你的網站,那他們需要進行500次的登入嘗試,但這回被Login LockDown外掛察覺並進行阻攔。

但是使用XML-RPC,駭客可以使用 system。multicall 函式在20或50個請求中就進行上千次的密碼嘗試。

所以如果你用不到XML-RPC的話,我們建議你禁用它。

有三種可以禁用XML-RPC的辦法,我們已經在《如何禁用WordPress的XML-RPC》中都提到了。

提示:

。htaccess是最好的方法,因為它使用最少的資源。

如果你正在使用前面提到的網路應用防火牆,那麼防火牆就可以處理這個問題。

自動登出空閒使用者

已登入的使用者有時候需要離開電腦前一會,這暴露出一個安全隱患。有人會黑進他們的session,修改密碼,或者修改他們的賬戶。

所以這也是為什麼許多銀行和財務類網站會自動登出不活動的使用者。你也可以在WordPress網站上實現類似的功能。

你需要安裝並啟用Idle User Logout外掛。啟用後,前往“設定” – “Idle User Logout”頁面對外掛進行設定。

2021 WordPress安全防護終極指南

只需要設定一下時間並取消選擇“Disable in WP Admin”選項(為了更安全)就可以了。最後別忘了點選“儲存更改”。

更詳細的教程,參見WordPress中如何自動登出不活動的使用者。

為WordPress登入新增安全問題

2021 WordPress安全防護終極指南

你可以透過安裝 WP Security Questions 外掛來新增安全問題。啟用外掛後,前往“WP Security Questions” – “Plugin Settings”頁面對外掛進行設定。

更多詳細的教程,請檢視如何給WordPress登入頁新增安全問題。

修復被黑的WordPress網站

許多WordPress使用者在他們的網站被黑之前都沒有意識到備份和網站安全性的重要。

清理一個網站是非常有難度的並且也會耗費大量的時間。我們首選的建議是讓網路安全專家來處理。

駭客會在被感染的網站上植入後門,如果這些後門沒有被完全修復,那麼你的網站很有可能會被再次黑掉。

請專業的安全公司,例如Sucuri,來修復你的網站可以確保網站在以後的使用中是安全的,同時也會對未來的攻擊進行防禦。

對於DIY使用者,我們推薦這篇如何修復被黑的WordPress網站。

以上就是這篇指南全部的內容了,希望這篇文章可以讓你瞭解到關於WordPress安全性方面的內容,同時也能為自己的網站找到最佳的安全外掛。