提升WordPress安全性的几个简单方案

如果您正在使用 WordPress，那么您应该始终考虑网站的安全性。WordPress 的安全性并不优于或劣于其他平台，但由于其庞大的用户群、插件和第三方附加组件，使得它成为攻击者的主要目标。不过别担心，即使您不是专业技术人员，也可以采取一些基本步骤来确保网站的安全：

尽量避免使用默认的用户名“admin”

大多数 WordPress “入侵” 和攻击只不过是尝试通过猜测您的密码来暴力破解。如果攻击者不需要猜测您的管理员用户名，那破解密码对他们来说会更容易！避免使用常见词（如 admin）作为用户名可以大大降低暴力破解攻击的风险。

如果您正在使用包含“admin”用户的旧站点，现在是时候删除该账户，并将内容管理权限和访问权限转移到一个更安全的用户名上了！

使用复杂密码

使用更好的密码可以使其更难猜测或暴力破解。一个简单的记忆技巧是 CLU：复杂（Complex）、长（Long）、唯一（Unique）。

但是更长、更独特的密码可能很难记住，这就是1Password和LastPass等工具发挥作用的地方，因为它们各自都有密码生成器。您输入所需的长度，它会为您生成密码。只需保存好链接并保存密码即可。

添加双因素认证

即使您设置了用户名并使用了复杂密码，暴力破解依然有可能发生，而双因素认证可以为您的登录过程增加额外的安全性，降低密码被猜中的风险。

其原理是，除了输入您的登录详细信息外，您还需要通过输入来自您拥有的另一台设备的一次性代码（通常通过手机上的应用程序）来确认身份。这样，攻击者几乎无法伪造。

Google Authenticator 和 Rublon Plugin是两个比较流行的身份验证插件。

采用“最低权限”原则

最低权限的概念很简单。仅对以下几种情况授予权限：

1.需要它的人

2.在需要的时候

3.仅在需要的时间

例如，如果某人需要临时管理员访问权限来进行配置更改，可以授予，但任务完成后应立即删除该权限。

并非每个访问 WordPress 的用户都需要被设为管理员角色。将用户分配到适当的角色（如“编辑”或“贡献者”）可以大大降低安全风险。

如果您需要更细致的控制，可以使用 User Role Editor 等插件来调整访问规则和单个用户权限。

隐藏系统文件

wp-config.php 和 .htaccess 文件对 WordPress 的安全性至关重要。它们包含了系统凭据以及网站结构和配置的信息，确保攻击者无法访问它们非常重要。

隐藏这些文件相对容易，但操作不当可能会导致您的网站无法访问。因此，请先备份，然后谨慎操作。

为提高 WordPress 的安全性，您可以在 .htaccess 文件中添加以下内容以保护 wp-config.php：

<Files wp-config.php> order allow,deny deny from all </Files>

这将防止文件被访问。类似的代码也可以用于保护 .htaccess 文件本身：

<Files .htaccess> order allow,deny deny from all </Files>

使用 WordPress 安全密钥

wp-config.php 文件有一个专门的区域，您可以在其中设置身份验证秘钥，这是一组随机值，对于您的站点来说是唯一的。WordPress 使用它们来加密存储在 cookie 中的信息，这使得攻击者更难通过假冒认证用户来潜入。

您可以定义自己的随机值，或使用方便的生成器来获取秘钥。

禁用文件编辑

黑客入侵后，最简单的方法是通过WordPress的“外观”>>“编辑器”来修改文件，因此可以通过禁用该编辑器编辑文件的功能来提升安全性。

您可以通过在wp-config.php文件中添加如下代码来实现：

define('DISALLOW_FILE_EDIT', true);

设置之后您可能无法再通过WordPress对网站进行编辑，但是您依然可以通过FTP或者文件管理器操作。

隐藏登录页面并限制登录尝试次数

暴力破解攻击通常针对您的登录页面。因此，更改其位置可以使攻击者更难进入。All in One WP Security & Firewall 插件可实现将默认 URL（从/wp-admin/）更改为更安全的 URL。

此外，您还可以限制从某个 IP 地址登录尝试的次数，保护登录表单免受大量登录尝试的 IP 地址的攻击。

谨慎使用 XML-RPC

XML-RPC 是一个已经存在了一段时间的应用程序接口（API）。有很多插件和主题都使用这个接口，因此技术水平较低的人在实现此特定硬化提示时要注意。

但是我们也不建议完全禁用它，而是有选择性地控制其访问。如果您使用 Jetpack，您需要特别小心。

选择好的主机服务

即使您对网站的安全性非常讲究，如果它托管在一个不那么讲究的公司，您所做的一切可能都白费了。

如果攻击者可以访问您的主机或者服务器，他们可以完全控制一切。这意味着选择（或迁移到）一个重视安全性的主机服务非常重要。较便宜的主机服务通常缺少良好的安全性或备份，或者可以帮您解决攻击和维护的技术支持。

对于初学者来说，找到合适的主机服务可能很复杂，在网上多浏览一些技术测评和评价，就可以有一个大致的范围选择，针对于WordPress网站，可以考虑Hostease这样比较老牌的主机提供商，他们公司中有些还带有专用的 WordPress 插件，提供更强的安全优势。

保持更新

定期更新主题、软件、插件和其他组件至关重要。否则，就等于是给攻击者敞开大门。

如果您正在运行最新版本的 WordPress，您还可以配置您的网站和插件，以便在有新版本时自动更新。

最后除了WordPress网站的本身，还需要确保主机服务甚至您本地计算机连接到服务器的FTP或者其他任何需要用到密码的地方，都建议定期进行更新。

定期备份

如果出现问题，您需要有备份，以便安全地回滚到较早的日期。好的托管公司会在其套餐中提供备份设施，但如果您想货比三家，有一些优秀的插件可用。

考虑使用安全插件

有些插件会寻找已知的攻击者和常见的攻击模式，并在他们有机会破坏您的网站之前阻止他们。如Sucuri Security 和 Wordfence，由雇佣安全研究人员的公司维护，这些研究人员负责监控、培训和修补问题。这有助于保护您的网站免受所有最新威胁的侵害。

使用 CDN 阻止“边缘”攻击

最佳安全解决方案可防止攻击者接近您的网站或管理员控制。许多内容分发系统包括复杂的防火墙功能；结合性能优化和保护。这些系统可以在网络级别识别并拦截恶意流量，并阻止其到达您的网站。

Cloudflare 在阻止“恶意流量”方面尤其出色，甚至有专门为保护 WordPress 网站开发的规则和扫描。他们的“零信任”安全方法扩展了我们的建议，即采用“最小特权”原则，假设所有流量和请求都是“不良的”，除非证明不是——而且他们的工具在防止常见攻击和暴力攻击方面做得很好。

日志记录和监控

即使有最好的保护，还是无法100%避免网站不出现问题，一旦出错了，了解发生了什么以及如何防止再次发生很重要。

在您的 WordPress 网站中添加活动日志插件可以帮助您诊断黑客入侵后的情况，并帮助您监控日常活动。