WordPress史上最全安全性终极指南

WordPress安全性问题对于每个网站主都至关重要。每周，Google都会将数以万计的恶意软件网站和钓鱼网站列入黑名单。如果你真正关心你网站的安全性，你需要花一些时间来实施WordPress安全防护措施。在这个终极指南中，我们将分享一些最有效的WordPress安全措施，以帮助你保护网站免受黑客和恶意软件的侵害。

虽然WordPress的核心部分非常安全可靠，并有数百名开发者进行定期审查，但你仍然可以从多个方面加强你的网站的安全性。

WordPress安全基础知识

为什么WordPress的安全性如此重要？

被黑客入侵的WordPress网站可能会严重损害你的业务收入和声誉。黑客可以窃取用户信息、密码，安装恶意软件，甚至向用户分发恶意软件。最糟糕的是，你可能会被迫向黑客支付赎金以恢复对网站的控制。

根据2016年3月的一份Google报告，约有5千万网站用户在访问可能包含恶意软件或窃取信息的网站时受到警告。此外，谷歌每周都会将约2万个恶意软件网站和约5万个网络钓鱼网站列入黑名单。

如果你的网站是企业网站，你更应该格外关注其安全性。与企业所有者保护其实体店铺的责任类似，作为在线企业所有者，你有责任保护你的企业网站。

保持WordPress更新至最新版本

WordPress是一款开源软件，会定期进行维护和升级。默认情况下，WordPress会自动安装一些小的更新，但对于大版本更新，你需要手动启动更新。

此外，WordPress有成千上万的插件和主题可供安装，这些插件和主题由第三方开发者维护，同样需要定期更新。这些WordPress更新对你的网站的安全性和稳定性起到至关重要的作用。你需要确保WordPress核心文件、插件和主题都升级到最新版本。

使用复杂密码和管理用户权限

最常见的黑客攻击之一是使用被盗取的密码。你可以通过为网站创建复杂的密码来提高密码的安全性。不仅要提高WordPress管理员后台的密码强度，还要确保FTP账户、数据库、WordPress主机账户和邮箱密码都足够复杂。

对于难以记忆的复杂密码，我们建议使用密码管理器来管理。此外，避免将管理员账户授权给其他人，除非绝对必要。在添加新用户和作者之前，确保了解WordPress中用户角色和权限相关的内容，尤其是如果你有多个团队成员或兼职作者。

了解网络主机的作用

你的网络主机提供商在网站安全性方面扮演着非常重要的角色。一个合格的共享主机提供商会采取一定的措施来保护他们的服务器免受一般的威胁。然而，在共享主机上，你与许多其他客户共享服务器资源，这可能会导致跨站点污染，黑客可以利用邻近站点攻击你的网站。

使用WordPress托管服务可为你的网站提供更安全的平台。WordPress托管公司会提供自动备份、自动WordPress更新和更高级的安全配置来保护你的网站。我们推荐使用WPEngine作为首选WordPress托管商，他们也是业内最受欢迎的产品之一。

提高WordPress安全性的简单方式（无需代码）

安装WordPress备份方案

备份是面对WordPress攻击的第一道防线。请记住，没有绝对安全的系统，即使政府网站也可能遭受攻击。备份可以帮助你快速恢复网站，当面临突发情况时，备份尤其重要。WordPress有许多免费和付费的备份插件可供选择。在进行备份时，最重要的一点是定期将全站备份存储在远程位置，而不是与网站托管在同一地方。我们建议将备份存储在云存储服务（如Amazon、Dropbox）或私有云（如Stash）中，根据你网站的更新频率，理想的备份频率是每天或实时备份。幸运的是，有些插件（如VaultPress或BackupBuddy）可以自动完成这些任务，无需编写代码。

最佳的WordPress安全插件

备份完成后，下一步是建立审计和监控系统，以跟踪网站上的所有活动。这包括文件完整性检查、登录尝试失败、恶意软件扫描等。幸运的是，使用最佳的免费WordPress安全插件Sucuri Scanner，可以轻松实现这一目标。安装并启用Sucuri Security插件后，你可以生成一个免费的API密钥，然后启用审核日志记录、完整性检查、电子邮件警报等关键功能。此外，Sucuri Security插件还提供了“硬

化”选项，用于锁定黑客经常攻击的关键区域。该插件还包括恶意软件扫描、审核日志、登录尝试跟踪等功能，让你的网站更加安全。它是一个功能强大且易于使用的插件，无需编写代码。

启用网络应用防火墙（WAF）

保护你的网站并增强WordPress安全性的最简单方法之一是使用网络应用防火墙（WAF）。防火墙可以在恶意流量到达你的网站之前拦截它。Sucuri是我们强烈推荐的最佳网络应用防火墙提供商之一。Sucuri防火墙不仅提供了防护功能，还包括恶意软件清理和黑名单软件删除的功能。如果你的网站受到入侵，Sucuri承诺可以修复你的网站，而不论你有多少页面。这是一项非常强大的服务，因为修复被入侵的网站通常需要花费大量资金。Sucuri提供完整的安全解决方案，年费仅为199美元。当然，除了Sucuri外，还有其他防火墙提供商，如CloudFlare。

DIY用户的WordPress安全性

如果你已经采取了上述措施，那么你的网站应该相对安全。然而，你仍然可以采取许多其他措施来增强网站的安全性，尽管其中一些可能需要一些编码知识。

修改默认的用户名“admin”

以前的WordPress版本中，管理员的默认用户名是“admin”，这使得黑客的暴力攻击变得更容易，因为他们已经知道了一半的登录凭证。现在的WordPress版本要求你自己设置一个自定义的用户名，但仍然有一些一键安装包会将默认的管理员用户名设置为“admin”。如果你发现这种情况，考虑更换主机服务商。

禁用文件编辑

WordPress自带一个代码编辑器，允许你直接在管理后台编辑主题或插件文件。然而，这个功能存在一定的安全风险，建议禁用。你可以在wp-config.php文件中添加以下代码来实现禁用文件编辑：

// 禁用文件编辑
define('DISALLOW_FILE_EDIT', true);

此外，一些安全插件也提供了禁用文件编辑的选项。

对特定的WordPress目录禁用PHP文件执行

增强WordPress安全性的另一种方法是禁用不必要目录中的PHP文件执行。你可以通过创建一个.htaccess文件并添加以下代码来实现这一点：

<Files *.php>
deny from all
</Files>

然后将文件上传到/wp-content/uploads/目录。这可以有效地阻止黑客尝试在该目录中执行恶意PHP文件。同样，一些安全插件也提供了这个功能。

限制登录尝试

默认情况下，WordPress允许用户无限次尝试登录，这会增加被暴力破解的风险。你可以通过限制登录失败的次数来解决这个问题。如果你没有使用网络应用防火墙，你可以安装并启用Login LockDown插件来实现这一点。该插件允许你设置登录失败的尝试次数，过多失败尝试后，用户将被暂时锁定。

修改WordPress数据表前缀

默认情况下，WordPress数据库中的数据表都以"wp_"作为前缀，这使得黑客可以更容易地猜到数据表名。我们建议修改数据表前缀以增加安全性。这个操作可能有一些风险，如果你不熟悉数据库操作，请慎重考虑。有关详细信息，请查看如何修改WordPress数据库前缀的教程。

为WordPress登录添加安全问题

向WordPress登录页面添加安全问题可以增加未经授权访问的难度。你可以通过安装WP Security Questions插件来实现这一点。启用插件后，你可以设置安全问题，只有回答正确的用户才能登录。

禁用目录索引和浏览

禁用目录索引和浏览可以防止黑客查看你的文件和目录结构，减少信息泄露的风险。你可以通过在.htaccess文件中添加以下代码来实现这一点：

Options -Indexes

禁用WordPress的XML-RPC

XML-RPC是一种用于连接WordPress网站的协议，但它也被黑客用于暴力攻击。如果你不使用XML-RPC功能，建议禁用它。有多种方法可以禁用XML-RPC，你可以选择最适合你的方法。

自动注销空闲用户

已登录的用户有时会离开电脑一段时间，这可能会导致安全风险。为了增加安全性，你可以自动注销空闲用户。使用Idle User Logout插件，你可以设置一

段时间后自动注销不活动的用户。

修复被黑的WordPress网站

如果你的网站已被黑客攻击，清理和修复它可能会非常困难和耗时。我们建议寻求专业的安全公司，如Sucuri，来处理被黑的网站。他们可以确保你的网站在未来免受攻击，并提供修复服务。对于有经验的用户，我们也提供了如何修复被黑的WordPress网站的教程。

以上是终极WordPress安全防护指南的详细内容。希望这篇文章对你了解WordPress安全性以及选择最佳安全插件有所帮助。保持网站的安全性非常重要，可以防止黑客和恶意软件的入侵，从而保护你的业务和声誉。不要忽视网站安全，采取适当的措施来保护你的WordPress网站。