如何強化您的 WordPress 網站以防止黑客入侵

您想讓您的網站如此安全，以至于黑客無法入侵嗎？

雖然沒有網站安全系統(tǒng)是 100% 防黑客入侵的，但您可以采取大量措施來防止黑客入侵以及隨之而來的破壞性后果。

您可以關閉易受攻擊的點并保護常見的目標區(qū)域，這樣黑客就會發(fā)現攻擊您的網站非常困難。

我們將向您展示強化 WordPress 網站的最簡單方法。我們還將為您提供最佳實踐，以避免使您的網站易受攻擊。

強化 WordPress 網站的最簡單方法

WordPress 強化措施包括一次性步驟以及需要定期檢查的措施。

一些強化步驟還需要 WordPress 中的大量技術技能。如果您不精通技術，那么我們強烈建議您使用 WordPress 強化插件。

這些插件讓您只需單擊一個按鈕即可應用安全強化措施。這意味著您永遠不必自己接觸任何代碼或修改任何文件。

我們最喜歡的安全插件是Sucuri。它有一個強大的防火墻和一個強大的掃描儀來監(jiān)控你的網站并阻止黑客。

Sucuri 還帶有內置的強化措施，您可以直接在 WordPress 儀表板中應用這些措施。我們將在下面向您展示如何做到這一點。

第 1 步：安裝 Sucuri

Sucuri 為所有 WordPress 用戶免費提供WordPress 安全插件。

Sucuri 下載地址：https://wordpress.org/plugins/sucuri-scanner/

您將可以訪問：

• 內置安全加固
• 安全活動日志
• 黑名單監(jiān)控
• 文件完整性監(jiān)控
• 遠程惡意軟件掃描
• 安全通知
• 黑客攻擊后的安全措施

如果您想安裝包含 Sucuri 防火墻的完整安全系統(tǒng)，那么您需要注冊一個每年 199.99 美元起的高級計劃。

安裝并激活插件后，您可以直接從 WordPress 儀表板訪問和操作安全設置。

第 2 步：生成 API 密鑰

從您的 WordPress 儀表板，導航到Sucuri ? 儀表板選項卡。在此頁面上，您將看到“生成 API 密鑰”按鈕。

這將打開一個彈出窗口，您的 WordPress 站點和管理員電子郵件已預先填充。如果你喜歡，你可以改變它。

之后，選中復選框以同意服務條款和隱私政策。然后選擇“提交”按鈕以生成 API 密鑰。

您會看到一個彈出窗口，說明您的網站已成功注冊。現在您可以前往 Sucuri 儀表板。

這樣，您的站點就會在您的站點上激活一個安全掃描程序。它會顯示您的網站是否干凈，以及您是否在任何阻止列表中。

第 3 步：啟用強化措施

在 Sucuri 儀表板中，您會找到完整的強化措施列表，只需單擊一個按鈕即可將其添加到您的站點。

導航到Sucuri ? 設置 ? 強化選項卡。

您將在此處看到所有可用選項：

• 網站防火墻保護：防火墻是阻止黑客和惡意機器人的第一道防線。如果您注冊了專業(yè)版，您可以鏈接到您的防火墻帳戶以查看 WordPress 中的統(tǒng)計信息。
• 驗證 WordPress 版本：檢查您的 WordPress 安裝、主題和插件何時不是最新的。您將看到更新到最新版本的提示，以避免軟件漏洞。
• 驗證 PHP 版本：確保您的服務器運行的是最新版本的 PHP。
• 刪除 WordPress 版本：允許您刪除公開顯示的 CMS 版本，這樣黑客將無法查看您的 WordPress 版本是否已過時。
• 阻止上傳目錄中的 PHP 文件：您的上傳目錄存儲不需要使用 PHP 運行的文件。這將禁止在您的上傳目錄中執(zhí)行 PHP 文件。請記住，某些插件確實使用 PHP，因此請在添加之前測試此度量。
• 在 WP-CONTENT 目錄中阻止 PHP 文件：在 wp-content 中放置一個 .htaccess 文件以阻止任何外部訪問。
• 在 WP-INCLUDES 目錄中阻止 PHP 文件：在 wp-includes 中放置一個 .htaccess 文件以阻止任何外部訪問。
• 信息泄漏：在您的網站上查找任何包含您網站的 WordPress 版本的 readme.html 文件并將其刪除。
• 默認管理員帳戶：檢查主帳戶是否使用“admin”作為用戶名。通過更改此名稱，您可以阻止黑客找出具有最高權限的帳戶。
• 插件和主題編輯器：如果黑客闖入了您的網站，這是訪問您網站代碼的一個非常常見的目標。啟用此選項將禁用插件和主題編輯器。這樣其他用戶就無法通過您的 WordPress 管理員訪問和修改敏感文件。
• 激活自動密鑰更新程序：刷新您的安全密鑰將注銷所有用戶并刪除現有 cookie。這將減少黑客濫用瀏覽器會話的機會。

要啟用一個選項，請選擇它旁邊的“應用強化”按鈕。如果您想撤消它或刪除強化功能，請單擊現在顯示“恢復強化”的同一按鈕。

在此列表下方，您還會看到一個選項以允許阻止 PHP 文件。

有時，插件和主題需要訪問您已阻止的某些文件和文件夾。這將允許您有選擇地添加允許的文件路徑，以便您可以維護安全性并僅提供對受信任來源的訪問。

使用 Sucuri 強化您的 WordPress 網站就是這么簡單。

現在，除了 Sucuri 必須提供的內容之外，您還應該自行采取某些措施來確保您的網站安全。

強化 WordPress 網站的最佳實踐

您需要采取的保護站點的最重要步驟是安裝安全插件。這些插件會定期掃描和監(jiān)控您的網站，以便在發(fā)現任何可疑內容時向您發(fā)出警報。

推薦閱讀：10個好用的免費WordPress安全插件

除此之外，您可以遵循以下做法來確保您的網站始終安全。

1. 選擇安全的 Web 主機

您的網站位于由您的網絡主機運行的服務器上。如果您的主機沒有很好地保護其服務器，黑客可以找到進入您網站的方法。

初學者網站所有者傾向于選擇便宜的共享托管計劃來上手，而很少關注主機采取的安全措施。

我們建議從一開始就使用安全的托管平臺，因為黑客會攻擊大大小小的站點。他們找到惡意方式來使用他們入侵的任何網站。

國內網站推薦采用 阿里云 或 騰訊云，外貿網站建議采用Siteground。

這些主機擁有強大的基礎設施，并始終監(jiān)控網絡是否存在威脅。它們還提供針對DDoS 攻擊的保護，因此您可以確保阻止黑客攻擊您的服務器。

2. 安裝 SSL 證書

您的網站不斷在瀏覽器和服務器之間來回發(fā)送數據。黑客試圖在傳輸過程中攔截這些數據并竊取它。

防止此漏洞的最佳方法是使用 SSL 證書。SSL（安全套接字層）將啟用加密連接。這意味著在兩個系統(tǒng)之間發(fā)送的所有數據都不能被任何人讀取或修改。

當您使用 SSL 時，您會看到您的網站在地址欄中有一個掛鎖以及 HTTPS 而不是 HTTP：

您可以通過您的虛擬主機獲取 SSL 證書。

拓展閱讀：

• 什么是SSL？為什么要為WordPress網站使用SSL？
• 您應該為網站選擇哪種類型的 SSL 證書？
• 寶塔面板為WordPress網站添加SSL證書設置https訪問

3. 保護您的登錄頁面

黑客最容易進入的點之一是您的網站登錄頁面。用戶名和密碼通常不足以阻止它們。黑客使用一種稱為蠻力攻擊的方法來猜測您的憑據并簡單地登錄。

因此，這是最重要的安全領域之一。您可以執(zhí)行以下操作：

• 始終強制使用安全憑證：確保您使用的用戶名不是“admin”或您自己的名字，因為黑客很容易猜到它們。至于密碼，我們建議使用包含字母、數字和符號的密碼短語，使其難以破解。當您設置密碼時，WordPress 會告訴您密碼是弱、中還是強，以便您知道是否需要提高密碼強度。
• 定期使密碼過期：您應該定期更改密碼，但我們知道我們經常忘記這樣做。解決此問題的簡單方法是安裝Expire User Passwords插件。它會自動強制您網站上的每個用戶在重新登錄之前定期更改密碼。
• 限制登錄嘗試：在暴力攻擊中，黑客將機器人發(fā)送到您的站點以嘗試數千種登錄組合，直到他們找到正確的組合。如果您限制登錄嘗試，則他們必須在 3 次嘗試后停止。您可以使用 Sucuri 和 MalCare 等安全插件啟用此功能，也可以使用您網站上的Limit Login Attempts Reloaded插件。
• 使用兩步驗證：這會為您的登錄添加一個兩步驗證過程，您需要提供一次性密碼，該密碼通過短信、電子郵件或身份驗證器應用程序實時發(fā)送給您。這意味著用戶必須實時驗證自己，這使得黑客很難獲得訪問權限。
• 限制訪問登錄頁面：您只能允許受信任的用戶訪問您的 wp-admin URL。所有其他用戶將自動被阻止查看此頁面，更不用說嘗試登錄了。如果您使用的是 Sucuri，則在儀表板的訪問控制選項卡下，您可以添加列入白名單的 IP 地址。通過選中此框，Sucuri 將自動僅允許您信任的用戶訪問登錄頁面。

4. 使用安全表單

不安全的表單很容易成為黑客的目標。他們只是在您的表單字段中輸入惡意代碼。

提交表單后，代碼將發(fā)送到您的網站數據庫進行處理。這將允許黑客感染您的站點或進入您的數據庫，并從那里造成嚴重破壞。

您可以使用安全的 Web 表單來確保不會發(fā)生這種情況。WPForms是排名第一的 WordPress 表單構建器，它具有內置的安全性，因此您無需執(zhí)行任何操作。

您創(chuàng)建的每個表單都已啟用反垃圾郵件保護。

如果您想添加額外的保護層，WPForms 可讓您在表單上啟用 reCAPTCHA（國內網站無法使用）。

這意味著用戶必須解決一個小難題或勾選一個方框以證明他們是人類。

5. 設置用戶角色權限

如果您有多個用戶在您的 WordPress 網站上工作，您可以根據他們的角色限制他們擁有的權限。

這并不意味著您不信任您的團隊，這只是意味著如果黑客訪問他們的帳戶，他們的行為將受到限制。

WordPress 允許您為以下對象創(chuàng)建角色：

• Super Admin
• Administrator
• Editor
• Author
• Contributor
• Subscriber

擁有所有訪問權限的最強大角色是超級管理員和管理員。我們建議盡可能少的管理員。

6. 自動注銷非活動用戶

黑客使用的另一個技巧是劫持瀏覽會話并竊取 cookie。這使他們可以在您不知情的情況下通過活動用戶帳戶訪問您的網站。

解決此問題的最佳方法是定期注銷不活動的用戶。

許多安全插件都有空閑會話注銷功能，或者您可以使用Inactive Logout插件。

7. 定期更新您的網站

插件、主題，甚至您的 WordPress 安裝都會定期更新。當它們可用時，您會在 WordPress 儀表板中看到它們：

更新通常包含錯誤修復、新功能和軟件改進。有時，它們帶有安全補丁。

這意味著在軟件中發(fā)現了一個漏洞，黑客可以利用該漏洞攻擊您的網站。當開發(fā)人員發(fā)現這些漏洞時，他們會修復它們并發(fā)布一個新版本來消除漏洞。

您所要做的就是最后更新它。您可以通過查看更新的詳細信息來查看更新是否帶有安全補丁。

如果您看到它是一個安全更新，請立即運行它以避免任何風險。

如果您擔心更新可能會破壞您的站點，您可以在臨時站點上測試更新，然后在您的實時站點上運行它。

至此，您已經解決了可以添加到站點的所有強化措施。

盡管采取了最強大的安全措施，但仍有可能出現問題，包括人為錯誤。最好的準備方法是保留網站的備份副本。

您可以使用UpdraftPlus等備份插件設置自動備份。如需更多選擇，請查看我們的頂級 WordPress 備份插件列表。

拓展閱讀：

• 讓你的WordPress網站更安全的15個基本步驟
• 10個好用的免費WordPress安全插件
• 增強WordPress安全性的10個Nginx規(guī)則
• 為什么您的WordPress網站會容易被黑客攻擊
• WordPress網站如何被黑客入侵
• 當您的 WordPress 網站被黑客入侵時該怎么辦？
• 網站進入Google網址黑名單的解決辦法
• 11個好用的WordPress備份插件