如何有效地保护你的WordPress站点免受攻击

WordPress是开箱即用的出色，非常安全的平台，当然我们也可以做更多的事情，加强保护您的网站免受恶意入侵。这些安全增强的许多功能都易于实现，但其他的一些则需要安装特定的插件来实现。
在教程中，我们将介绍10种不同的策略来增强WordPress堡垒的防御能力。但是首先，让我们深入探讨网站安全的重要性。
WordPress是一个优秀且非常安全的平台。当然，我们可以做更多的工作来加强对您的网站的保护，防止恶意入侵。这些安全增强的许多功能很容易实现，但其他功能需要安装特定的插件。
在教程中，我们将介绍10种不同的策略来增强WordPress Fortress的防御能力。但首先，我们来深入探讨一下网站安全的重要性。

保护WordPress网站至关重要

虽然有很多开源的CMS可用，但我们还是特别推荐WordPress作为你的平台。WordPress不仅是搭建网站的灵活，强大的平台，而且开箱即用也非常安全。这是因为WordPress开发人员关心安全性，并致力于尽可能“强化”核心平台。另外，他们经常发布针对安全性的更新和补丁，这些更新和补丁将自动下载并安装在您的站点上。这意味着您的WordPress网站将具备良好的能力来应对任何新出现的威胁。
当然，没有平台100％安全。黑客们尝试各种可能性，试图找到进入受保护程度最高的网站的方式。而且由于超过30％的网站使用WordPress，自然而然成为黑客最受欢迎的目标之一。
如果恶意软件入侵了您的网站，则可能会造成很大的损失。
例如，他们可以窃取或以其他方式破坏敏感信息，安装恶意软件，根据自己的需要对网站进行更改，甚至完全关闭。这对您和您的用户都是有害的，如果您正在开展业务，则可能意味着客户和收入的损失。
我们应该采取一些步骤来保护WordPress网站，有许多简单，快速的方法可以提高站点的安全性，也可以采用的一些更复杂的技术。
虽然有很多开源CMS可用，但是我们特别推荐WordPress作为你的平台。WordPress不仅是一个灵活而强大的网站建设平台，而且开箱即用非常安全。这是因为WordPress开发者关心安全性，并致力于尽可能“加强”核心平台。此外，他们通常会发布安全更新和补丁，这些更新和补丁会自动下载并安装到您的站点上。这意味着你的WordPress网站将有很好的能力来应对任何新出现的威胁。
当然，没有一个平台是100%安全的。黑客尝试各种可能性，试图找到一种方法进入最受保护的网站。而且由于超过30%的网站使用WordPress，自然成为黑客最青睐的目标之一。
如果恶意软件入侵你的网站，可能会造成很大的损失。
例如，他们可以窃取或以其他方式破坏敏感信息，安装恶意软件，根据自己的需要更改网站，甚至完全关闭网站。这对你和你的用户都是有害的。如果是做生意，可能意味着客户和收入的流失。我们应该采取一些措施来保护WordPress网站。有很多简单快捷的方法可以提高网站的安全性，也有一些更复杂的技术可以采用。

有效保护WordPress网站的10种方法

下面我们将介绍10个策略，帮助你提高网站的安全性，降低被破坏的几率。此外，它将为您指出开始使用每项技术的正确方向。你不需要执行列表中的所有建议，但是你采取的保护网站的措施越多，发生灾难的几率就越小。

1.使用高质量的主机

你可以把你的虚拟主机想象成你的网站在互联网上的街道——这是你的网站“生存”的地方。
就像好的学区对孩子的未来很重要一样，你网站的基础质量在很多方面都很重要。
可靠的主机服务商会影响你网站的性能、可靠性、可扩展性，甚至在搜索引擎中的排名。最佳主机为您选择的平台提供许多有用的功能、出色的支持和量身定制的服务。
虚拟主机也可能对您网站的安全性产生重大影响。选择可靠的托管服务有许多安全优势，包括:

优质主机会不断更新自己的服务、软件和工具，以应对最新的威胁，消除潜在的安全漏洞。

Web主机通常提供各种有针对性的安全功能，如SSL/TLS证书和DDoS保护。您还应该访问Web应用程序防火墙(WAF ),这将有助于监控和阻止对您站点的严重威胁。

你的虚拟主机可能会提供一种方法来备份你的网站(在某些情况下，甚至为你执行)，所以如果你被黑客攻击，你可以很容易地恢复到一个稳定的先前版本。

如果您的主机提供可靠的24/7支持，当您遇到与安全相关的问题时，总会有人帮助您。

当你为一个新网站寻找主机时，即使你正在考虑更换主机，这个列表也应该为你提供一个很好的起点。您会发现一个应用程序可以提供您需要的所有功能，并以可靠性和出色的性能而闻名。
国外的Linode或Vultr也是我们极力推荐的服务器托管提供商；在中国，我们是国内顶尖的云服务器托管提供商，比如阿里云、腾讯云。

2.将站点切换到HTTPS

我们应该将网站切换到安全超文本传输协议(HTTPS)，这是HTTP的一个更安全的版本。这些是需要理解的重要安全概念，但是即使您以前从未听说过，也很容易掌握。HTTP是一种在您的网站和任何试图访问它的浏览器之间传输数据的协议。当访问者点击你的主页时，你所有的内容、媒体和网站代码都会通过这个协议发送到访问者的位置。
当然这是必要的，但是它确实引入了一些潜在的安全问题。恶意用户可能会试图在传输过程中拦截数据，并将其用于自己的恶意目的。HTTPS解决了这个问题！它的功能和HTTP一样，但是在从一个点传输到另一个点的过程中，它也对站点的数据进行了加密，所以不能轻易访问。
最初，HTTPS主要用于处理敏感客户信息(如信用卡信息)的站点。然而，它在所有网站上越来越受欢迎，WordPress和Google等大公司一直在推动它的广泛实施。
要将网站切换到HTTPS，您首先需要SSL/TLS证书。这将向浏览器传达您的网站是合法的，并且其数据已被适当加密。也可以从一些网站(比如Let’s Encrypt)免费获得一个。
参考阅读:免费SSL证书申请及配置教程。

3.创建安全登录凭据。

这是一个“不设防，Sherlock”的建议，但伙计们， 仔细选择您的登录凭据非常重要。喜欢真的，真的很重要！
为什么？这使得黑客很难进入您的站点。您可能有丰富的经验，为网络上的其他帐户选择强大的用户名和密码-对WordPress网站进行相同的操作很重要。
创建网站时，您可以自主创建登录用户名和密码。用户名将默认为admin，尽管您可以更改（如果需要），也可以更改。但是由于人们可以通过多种方式来了解您的WordPress用户名，因此如果需要，可以坚持使用默认选项。
但是，您的密码至关重要，并且您需要选择一个安全的密码。最近，在如何选择强密码方面出现了一些转变，建议使用一个简单的四字词组，胜过由随机字母，数字和符号组成的经典组合。这种方法已经在某些圈子中流行了一段时间。
如果所有选择密码的话题您都不感兴趣，则建议您使用WordPress自带的密码生成器，因为它会直接在WordPress后端直接生成一个相当复杂的密码（我表示难以接受）。如此复杂的密码，你应该确保将您的凭据记录存放在安全的地方（例如加密的密码管理器），这样您就不会忘记。
如果您已经创建了站点并最初选择了不理想的登录凭据，则仍然可以更改它们。您可以通过以下方式更改用户名：创建一个新用户，为该用户分配管理员角色，并将所有内容归于该用户，然后删除原始帐户。
至于密码，您只需从WordPress管理控制台转到“用户”>“所有用户”，单击您的用户名，然后在“编辑用户”屏幕上输入新密码即可。所有用户，单击您的用户名，然后在编辑用户屏幕上输入新密码。

4.启用Web应用程序防火墙

你可能熟悉防火墙的概念，它是一种帮助阻止各种有害攻击的程序。最有可能的是，您的计算机上安装了某种防火墙。Web防火墙(WAF)是专门为网站设计的防火墙。它可以保护服务器、特定网站或整个网站组。WordPress网站上的WAF会成为你的网站和网络其余部分之间的障碍。防火墙监控传入的活动，检测攻击、恶意软件和其他有害事件，并阻止任何它认为有风险的事件。

5.实现两步认证。

还有一种技术方案:两步认证(或两步认证等类似名称)。该术语指的是登录网站时要遵循的两步流程。这可能会导致登录麻烦，但在防止黑客入侵方面有多重保障。两步认证包括使用智能手机或其他设备来验证您的登录信息。首先，你将访问WordPress网站，像往常一样输入你的用户名和密码。然后，一个唯一的代码将被发送到您的移动设备，您需要提供这个代码来完成登录。这使您能够通过表明您有权访问某些内容(例如，特定的手机或平板电脑)来证明您的身份。
像许多WordPress特性一样，使用一个专用插件可以很容易地添加两步认证。两步认证是一个很好的选择——它由可靠的开发者创建，并与Google Authenticator兼容，使您可以轻松地将该功能添加到您的网站中。
另一个选择是双因素插件，它以可靠性著称，主要由核心WordPress开发者构建。与这一类别中的任何插件不同，学习曲线有点陡峭，但它非常安全。如果你愿意花钱，也可以查一下Jetpack的类似Clef的高级解决方案。
无论你选择哪条路线，一定要和团队一起提前做好计划(如果相关的话)，因为你需要收集他们的电话号码和其他信息才能开始。这样，您的登录页面就安全了，随时可以使用。

6.注意添加新的插件和主题(并经常更新)

现成的主题和插件是使用WordPress最好的东西之一。使用这些方便的工具可以帮助你快速建立你的网站，并添加几乎所有你能想到的功能。
然而，并不是所有的插件和主题都是可靠的。
粗心或缺乏经验的开发人员可能会创建不可靠或不安全的插件。他们可能使用糟糕的编码实践，这样黑客就可以很容易地利用或不知不觉地干扰关键功能。所有这些都意味着你需要非常小心地选择主题和插件来添加到你的网站上。每个人都应该接受审查，以确保这是一个可靠的选择，不会导致网站或造成问题。有许多因素需要记住，但以下建议将帮助您选择高质量的工具:

检查用户的评分和评论，了解其他人是否对相关插件或主题有良好的体验。

检查插件或主题的最新更新。如果已经超过六个月，那么可能就不那么安全了。

一次安装一个新的插件和主题，所以如果有任何问题，你会知道为什么。另外，在添加任何东西之前，一定要备份你的网站。

从可信的资源获取插件和主题，如WordPress.org主题和插件市场、ThemeForest和CodeCanyon以及可靠的开发人员网站。

最后，将所需的插件和主题安装到网站后，你的工作应该持续进行。
您还需要保证主题和插件为最新版本，以确保它们协同工作并确保免受最新威胁的侵害。您需要转到WordPress仪表板，查找红色通知，这些是可用更新的主题和/或插件，然后单击每个更新旁边的立即更新。

您还可以通过选择所有插件，然后单击此处或WordPress面板中的更新按钮，来批量更新插件。这是一个更快的选择，但是请记住，一次更新所有这些可能导致诊断由于更新而引起的问题变得更加困难。但是，如果选择可靠的插件和主题，那么这应该不是问题。
在继续之前，值得一提的是，您还应该保持更新WordPress至最新版本。较小的补丁程序和安全更新将自动添加，但是您可能需要执行核心版本更新。
注：不要因为WordPress或主题和插件未及时更新而承担风险。最后，在将所需的插件和主题安装到网站后，您的工作应该会继续。
您还需要确保主题和插件是最新的版本，以确保它们能够协同工作并免受最新的威胁。你需要进入WordPress dashboard，寻找红色通知，这是可用更新的主题和/或插件，然后点击每个更新旁边的立即更新。

您也可以批量更新插件，方法是选择所有插件，然后单击此处或WordPress面板中的更新按钮。这是一个更快的选择，但是请记住，一次更新所有这些可能会使诊断由更新引起的问题更加困难。但是，如果你选择了可靠的插件和主题，那么这应该不是问题。
在你继续之前，值得一提的是，你也应该保持更新WordPress到最新版本。较小的补丁和安全更新将自动添加，但您可能需要执行核心版本更新。
注意:不要因为WordPress或者主题、插件更新不及时而冒险。

7.简档权限

这个话题稍微有点技术性。
WordPress网站上的许多信息、数据和内容都存储在一系列文件夹和文件中。它们被组织成一个层次结构，每个都被赋予一个权限级别。WordPress文件或文件夹的权限决定了谁可以查看和编辑它，并且可以设置为允许任何人访问它，只有你，或者两者之间的任何人。权限在WordPress中用三个数字表示，每个数字都有它的含义。第一个数字代表单个用户(网站的所有者)，第二个数字代表一组用户(例如，您的网站的成员)，第三个数字代表世界上的每个人。数字本身代表用户、群体或世界:

0:无法访问文件。

1:只能执行文件。

2:可以编辑文件。

3:可以编辑和执行文件。

4:可以读文件。

5:文件可以被读取和执行。

6:可以读取和编辑文件。

7:可以读取、编辑和执行文件。

因此，例如，如果文件的权限级别为640，则意味着主用户可以读取和编辑该文件，组用户可以读取但不能编辑该文件，其他所有人都不能访问该文件。这似乎太复杂了，但是确保每个人都只拥有您希望他们拥有的站点文件和文件夹的访问级别是很重要的。
WordPress建议将文件夹的权限级别设置为755，文件的权限级别设置为644。尽管您可以设置任何组合，但您仍然可以放心地遵循这些准则。记住，最好不要给任何人超过绝对需要的访问权限，尤其是核心文件。
你还需要记住，理想的权限设置在某种程度上将取决于你的托管服务。
注意:更改权限级别时要非常小心——选择错误的值(如777)会导致您的网站无法访问。

8.这是不必要的，否则越少的网站管理员

如果你只是在运营一个WordPress网站，就不需要担心这一步。只是不要在你的网站上给任何其他人任何帐户，你将是唯一一个可以做出改变的人。
我把这种策略叫做“和我在一起，一个人呆着”。
然而，很多人都像其他人一样，最终在自己的网站上添加了多个后台账号。您可能希望其他作者提供内容，或者您可能需要其他人来帮助编辑内容和管理您的网站。你甚至可以和整个用户团队取得联系，他们会定期访问你的WordPress网站并做出他们自己的改变。这在很多方面都是有益的，有时甚至是必要的。但是，这也是一个潜在的安全风险。
进入网站后台的人越多，出现问题的几率就越大。所以，在不影响网站成长能力的前提下，尽量减少网站后台用户数量是明智之举。特别是，尽量限制管理员和其他具有高权限的用户角色的数量。
以下是一些建议:

限制每个用户只拥有执行其工作所需的权限。

鼓励用户使用强密码。

如果可能的话，尽量和一个管理员和一小群编辑保持一致。

为离开站点或不再需要启动的用户提供权限。

考虑下载一个插件，比如Members，为WordPress的角色和功能系统提供一个用户界面。

9.跟踪和管理后台活动。

如果您有多个后台用户，则最好跟踪他们在网站上的所有活动。WordPress管理后台跟踪活动将帮助您发现其他用户何时在做他们不应该做的事情，并可以指示未经授权的用户是否获得了访问权限。
进行了异常的更改或安装了可疑文件后，您将希望能够找出活动背后的人。
大多数安全性插件都不提供开箱即用的功能，因此您将需要找到专用的解决方案。如果您想采用一种放任自流的方法，则“简单历史记录”将通过创建简化的，易于理解的日志来记录您站点上的重要更改和事件。
要获得更多涉及的跟踪功能，您还可以查看WP安全审核日志，该日志可以密切关注您网站上发生的所有事情，并提供许多有用的高级组件。

一旦安装了合适的插件，明智的做法是定期检查日志中是否有异常情况。如果您的网站上发生了意料之外的事情，或者突然弹出了错误，请查看最近的活动。如果你有多个后台用户，最好跟踪他们在网站上的所有活动。WordPress管理后台跟踪活动将帮助你发现其他用户在做他们不应该做的事情，并且可以指出未授权的用户是否获得了访问权。
在进行了不寻常的更改或安装了可疑文件后，您会希望能够找出谁是该活动的幕后黑手。
大多数安全插件不提供现成的功能，因此您需要找到一个专用的解决方案。如果你想采取一种自由放任的方式，简单历史将通过创建一个简化和易于理解的日志来记录你的网站上的重要变化和事件。
要获得更多的跟踪功能，你还可以查看WP安全审计日志，它可以密切关注你的网站上发生的一切，并提供许多有用的高级组件。

一旦安装了合适的插件，明智的做法是定期检查日志以发现任何异常。如果您的网站上发生了意想不到的事情，或者突然弹出错误，请检查最近的活动。

10.定期备份网站。

如果我说有一个解决方案可以保护你的网站免受所有威胁，那绝对不可信。即使您实施了上面列表中的所有建议，您的站点仍然可能会遇到安全漏洞。
你只需要在黑客的游戏中击败他们。一个全面的安全计划意味着即使在最坏的情况下也要做好准备，你要确保这种情况永远不会发生。定期备份站点是在发生灾难时保护站点的最简单也是最好的方法。如果您有最新的备份，您可以将网站恢复到被黑客攻击或损坏之前的状态。这会帮助你尽快解决问题。
当然，您会想知道如何创建和使用备份。你可以遵循以下建议:

保留多个备份。一个很好的经验法则是始终保留至少三个最新的备份，因为您的最新备份可能不安全。

将备份保存在多个外部位置，例如云存储和本地计算机。

并建立一个一致的备份计划。而频率和时间由你决定，虽然你可以遵循许多可靠的建议。

除了常规的备份计划之外，在对站点进行任何更改之前，为站点创建额外的备份总是明智的。因此，在实施这些技术来提高安全性之前，请确保您准备好了最新的备份。

总结

真相:如果你的网站被黑了，你需要几个小时(甚至几天！)来修复损伤。您可能会永久丢失您的数据，或者看到您的个人信息被销毁，或者更糟的是，您的客户的数据将被损坏。
这就是为什么你要花费大量的时间和精力来保证这种事情永远不会发生。否则，在试图修复损害的同时，你可能会失去宝贵的业务和收入。
这10个WordPress安全提示应该会有帮助。有一些简单的调整。其他影响您的整个网站，如切换到HTTPS或添加SSL证书。当然，你还需要确保你的网站运行在一个安全的WordPress主机上。