現(xiàn)在有超過2800 萬個實時網(wǎng)站使用 WordPress。雖然很高興成為如此龐大而活躍的社區(qū)的一員，但這種受歡迎程度使該平臺成為惡意黑客的主要目標(biāo)。

幸運的是，通過實施一些簡單的安全策略并執(zhí)行定期檢查，您可以使您的網(wǎng)站更不容易受到攻擊。這可以幫助您避免因可預(yù)防的安全漏洞而丟失客戶、流量、收入或機密信息。

在這篇文章中，我們將討論為什么保護您的 WordPress 網(wǎng)站比以往任何時候都更加重要。然后，我們將分享九個提高網(wǎng)站安全性的重要技巧。讓我們開始吧！

WordPress安全簡介

WordPress 為超過 40% 的網(wǎng)絡(luò)提供支持，這使其成為黑客的有吸引力的目標(biāo)。如果惡意第三方設(shè)法識別出一個 WordPress 網(wǎng)站的漏洞，他們可能會利用相同的安全漏洞來攻擊建立在同一平臺上的數(shù)百萬其他網(wǎng)站。

有了這種想法，對 WordPress 的攻擊呈上升趨勢也就不足為奇了。Wordfence 在 2020 年記錄了43 億次利用漏洞的嘗試。當(dāng)被問及網(wǎng)絡(luò)安全時，超過 70% 的開發(fā)人員、自由職業(yè)者和代理機構(gòu)確認(rèn)他們越來越擔(dān)心自己的網(wǎng)站。事實上，25% 的受訪者確認(rèn)他們在參與調(diào)查前一個月不得不處理一個被黑的網(wǎng)站。

WordPress 團隊在識別和解決平臺漏洞方面有著良好的記錄。但是，沒有任何軟件是完美的。此外，許多網(wǎng)站所有者選擇使用主題和插件擴展 WordPress 核心。這些第三方產(chǎn)品可以為您的站點添加新的設(shè)計和功能，但也可以添加新的安全漏洞。

根據(jù) Patchstack 的安全白皮書，第三方插件和主題占檢測到的 WordPress 安全漏洞的 96.22%。整個 2020 年檢測到的活躍和易受攻擊的主題和插件安裝總數(shù)達(dá)到驚人的 7000 萬。

如果黑客確實設(shè)法控制了您的網(wǎng)站，后果可能是災(zāi)難性的。攻擊者可能會破壞您的網(wǎng)站、竊取您的數(shù)據(jù)或?qū)⒛闹覍嵖蛻糁囟ㄏ虻嚼]件網(wǎng)站。

這些惡意活動的影響可能是深遠(yuǎn)的。它們可能包括在您的客戶之間失去信任和錯過銷售，直至由于您未能保護訪問者信息而導(dǎo)致的潛在法律訴訟。

2022年保持 WordPress 網(wǎng)站安全的 9 種方法

WordPress 可能是黑客最喜歡的目標(biāo)，但這不是切換到不同內(nèi)容管理系統(tǒng) (CMS) 的理由。讓我們看一下可用于強化和保護 WordPress 網(wǎng)站免受常見攻擊的九個技巧。

1.選擇優(yōu)先安全的托管服務(wù)提供商

確保 WordPress 網(wǎng)站安全的最重要方法是選擇優(yōu)先考慮安全性的托管服務(wù)提供商。我們建議盡可能選擇提供內(nèi)置安全功能和工具的托管解決方案。

在 A2 Hosting，我們非常重視安全性，這就是為什么我們所有的托管包都包含Cloudflare Web Application Firewall (WAF)的原因。該工具可以幫助保護您的網(wǎng)站免受暴力攻擊，在這種攻擊中，黑客試圖提交許多不同的密碼和用戶名，以期正確猜測組合。

我們的托管計劃還附帶cPanel 控制面板和Softaculous 安裝程序。這個流行的安裝程序提供了對各種附加組件、工具和軟件的訪問，其中包括許多可以幫助您保護您的網(wǎng)站的軟件。

運行過時的軟件會使您的網(wǎng)站更容易受到攻擊。如果您確實選擇通過 Softaculous 安裝其他軟件，那么每次有可用更新時我們都會向您發(fā)送電子郵件。這可確保您不會錯過任何有助于增強站點安全性的關(guān)鍵安全更新或錯誤修復(fù)。

如果您確實有安全問題，那么立即解決它很重要。這就是為什么我們還為所有托管客戶提供24/7 客戶支持。

2. 安裝安全套接層 (SSL) 證書

如果沒有安全套接字層 (SSL) 證書，惡意第三方可能能夠攔截您的網(wǎng)站發(fā)送和接收的數(shù)據(jù)。這包括登錄憑據(jù)和付款詳細(xì)信息。如果黑客設(shè)法訪問此信息，則可能會損害您的聲譽并破壞用戶對您網(wǎng)站的信任。由于數(shù)據(jù)保護法，它甚至可能使您陷入合法的熱水中。

SSL 證書可以通過安全超文本傳輸??協(xié)議 (HTTPS)而不是超文本傳輸??協(xié)議 (HTTP)傳輸信息，從而幫助確保您的私人數(shù)據(jù)保持私密。顧名思義，HTTPS 比 HTTP 更安全，因為它使您能夠加密流入和流出您網(wǎng)站的任何數(shù)據(jù)。

獲得您的 SSL 證書后，我們將通過電子郵件向您發(fā)送 SSL 令牌。您可以通過將證書添加到您的網(wǎng)站來安裝證書。

如果您是 cPanel 用戶，則可以登錄您的帳戶并啟動AutoInstall SSL工具。然后將您的 SSL 令牌粘貼到提供的字段中，然后單擊驗證令牌：

然后我們會詢問一些關(guān)于您的網(wǎng)站和證書的簡單問題。提供這些詳細(xì)信息后，AutoInstall SSL 將上傳您的證書并且您的數(shù)據(jù)將被加密。

3. 實施內(nèi)容交付網(wǎng)絡(luò) (CDN)

如果惡意第三方設(shè)法使用蠻力攻擊闖入您的網(wǎng)站，他們可能會造成嚴(yán)重破壞。他們可能會竊取您的數(shù)據(jù)、破壞您的網(wǎng)站，甚至完全刪除您的 WordPress 網(wǎng)站。

您可以通過使用混合了數(shù)字和符號以及大寫和小寫字母的長而復(fù)雜的密碼來幫助保護您的站點免受暴力攻擊。然而，一些黑客使用自動化腳本和機器人用數(shù)千個登錄憑據(jù)轟炸您的網(wǎng)站。即使您遵循密碼最佳做法，您的網(wǎng)站仍可能成為暴力攻擊的受害者。

為了防止這些自動化腳本和機器人，您可能需要考慮使用內(nèi)容交付網(wǎng)絡(luò) (CDN)。盡管此工具通常用于提高網(wǎng)站性能，但它也可以阻止惡意請求到達(dá)您的網(wǎng)站。

這可以防止黑客使用登錄憑據(jù)攻擊您的網(wǎng)站。在 A2 Hosting，我們向所有客戶提供 Cloudflare CDN：

除了提供蠻力保護之外，Cloudflare 的網(wǎng)絡(luò)還旨在監(jiān)控和緩解分布式拒絕服務(wù) (DDoS) 攻擊。在這種情況下，黑客用大量惡意流量淹沒了您的網(wǎng)絡(luò)，以至于超出了您網(wǎng)站處理請求的能力，此時合法請求可能會被忽略。

您可以通過登錄 cPanel 并導(dǎo)航到Software > Cloudflare來配置 Cloudflare CDN 。然后，您可以按照屏幕上的說明確保為您的特定網(wǎng)站正確設(shè)置 Cloudflare。

4. 安全使用插件和主題

WordPress 擁有龐大的主題和插件目錄，可以幫助您創(chuàng)建美觀、功能豐富的網(wǎng)站。但是，這些第三方擴展也可能使您的網(wǎng)站容易受到攻擊。2019 年，97.2% 的 WordPress 漏洞與插件有關(guān)。

為了幫助保護您的網(wǎng)站，您應(yīng)該只安裝來自信譽良好的來源的插件。我們建議盡可能使用官方的 WordPress 插件庫，因為它有嚴(yán)格的安全準(zhǔn)則：

或者，您可以從信譽良好的第三方市場（例如CodeCanyon?）購買主題和插件。即使您使用的是優(yōu)質(zhì)資源，評估主題或插件仍然很明智，包括檢查上次更新的時間：

我們還建議檢查軟件的評論，尤其是最近的評論。大量負(fù)面評論可能表明最新版本存在安全問題。

主題和插件還會向您的站點添加代碼，其中可能包含漏洞。負(fù)責(zé)任的開發(fā)人員將努力關(guān)閉在其主題或插件中發(fā)現(xiàn)的任何安全漏洞，并且通常會發(fā)布包含針對任何最近發(fā)現(xiàn)的漏洞的解決方案的更新。因此，讓您的主題和插件保持最新很重要。

據(jù) WPBeginner 稱，86% 的網(wǎng)站因軟件過時而遭到黑客攻擊。為了最大限度地降低您的風(fēng)險，請務(wù)必在更新可用時立即安裝：

在某些時候，您可能不再需要特定的主題或插件。如果您只是停用有問題的軟件，那么黑客仍然可以利用其代碼。例如，黑客通常針對特定插件中的單個 PHP 文件。

如果您只是停用主題或插件，那么這些 PHP 文件仍可訪問，因此仍可被利用。這意味著刪除不再需要的擴展程序至關(guān)重要。

5. 安裝 Web 應(yīng)用程序防火墻 (WAF)

主題和插件可能會給您的網(wǎng)站帶來漏洞。理想情況下，當(dāng)發(fā)現(xiàn)此類問題時，主題或插件開發(fā)人員會急于修補問題并發(fā)布更新。

然而，情況并非總是如此，因為一些復(fù)雜的漏洞可能需要時間來修復(fù)。雖然我們總是建議刪除不安全的軟件，但這并不總是可行的。例如，可能有問題的插件提供了您網(wǎng)站的核心功能。

如果您確實需要繼續(xù)使用易受攻擊的插件，那么您可以讓黑客更難以濫用這些已知的安全漏洞。一種方法是使用 Web 應(yīng)用程序防火墻 (WAF) 在惡意請求到達(dá)您的 WordPress 網(wǎng)站之前將其過濾掉。這也可以保護您的站點免受跨站點腳本 (XSS) 攻擊。

有幾個可用于 WordPress 的 WAF 插件。但是，Wordfence 端點防火墻是一個流行的選項：

安裝并激活 Wordfence 后，最好將此插件留在 Learn More 中至少一周，然后再啟用其防火墻。這可以幫助您避免誤報，即 Wordfence 會阻止合法活動。

當(dāng)插件處于學(xué)習(xí)模式時，您應(yīng)該在您的 WordPress 網(wǎng)站上執(zhí)行盡可能多的不同操作。這為 Wordfence 提供了學(xué)習(xí)如何保護您的網(wǎng)站的最佳機會，同時還允許正常活動和訪問者通過其防火墻。

您可以通過導(dǎo)航到Wordfence > Firewall將 Wordfence 置于學(xué)習(xí)模式。然后打開Web 應(yīng)用程序防火墻狀態(tài)下拉菜單并選擇學(xué)習(xí)模式：

保存您的更改，Wordfence 將開始監(jiān)控您的網(wǎng)站。當(dāng)您準(zhǔn)備好將 Wordfence 退出學(xué)習(xí)模式時，您可以通過導(dǎo)航到Wordfence > 防火墻來啟用防火墻。然后打開下拉菜單并選擇啟用和保護。

6.激活雙重身份驗證（2FA）

使用強密碼保護您的網(wǎng)站非常重要。但是，在某些基于密碼的攻擊中，您的登錄憑據(jù)的強度不會影響該攻擊是成功還是失敗。這包括撞庫攻擊，黑客試圖使用數(shù)千甚至數(shù)百萬個用戶名和密碼組合侵入您的儀表板。甚至還有擊鍵記錄程序可以監(jiān)控您的鍵盤并記錄您鍵入的每一件事，包括您的密碼。

防止這些攻擊的一種方法是啟用兩因素身份驗證 (2FA)。激活此功能后，任何試圖訪問您的 WordPress 網(wǎng)站的人都需要輸入正確的登錄詳細(xì)信息，然后通過額外的安全檢查——例如回復(fù)手機上的推送通知或輸入發(fā)送到其電子郵件地址的代碼——才能訪問您的網(wǎng)站。

通過激活 2FA，您可以使第三方更難訪問您的網(wǎng)站。您可以使用Google Authenticator或Microsoft Authenticator等移動應(yīng)用程序設(shè)置 2FA?：

安裝您選擇的移動應(yīng)用程序后，A2 Hosting 客戶可以通過登錄他們的帳戶并導(dǎo)航到Account > Edit Account Details來啟用 2FA 。然后，您可以在左側(cè)菜單中選擇安全設(shè)置：

在隨后的頁面上，選擇單擊此處啟用。然后，您將被引導(dǎo)完成將您的 WordPress 網(wǎng)站鏈接到您的身份驗證器移動應(yīng)用程序的過程：

作為此過程的一部分，我們將為您提供備用代碼。如果您無法訪問身份驗證器應(yīng)用程序，則可以使用此代碼恢復(fù)您的 WordPress 網(wǎng)站。為避免被鎖定在您的網(wǎng)站之外，記下此代碼并將其保存在安全的地方至關(guān)重要。

7. 考慮禁用 XML-RPC

Pingbacks 是一種通知其他網(wǎng)站您已鏈接到其內(nèi)容的方法，反之亦然。默認(rèn)情況下，它們在 WordPress 中啟用。雖然此功能可以更輕松地回復(fù)提及您網(wǎng)站的評論，但它也可以使您的網(wǎng)站更容易受到 DDoS 攻擊。

XML-RPC 接口使 WordPress pingbacks 成為可能。但是，攻擊者可能會使用此功能通過 pingback 轟炸您的網(wǎng)站。這可能會使您的服務(wù)器超載，甚至可能使您的站點脫機。出于這個原因，您可能需要考慮使用REST XML-RPC Data Checker禁用 XML-RPC 接口。

如果您決定禁用 pingback，請在您的 WordPress 儀表板中安裝并激活此插件。然后導(dǎo)航到Settings > REST XML-RPC Data Checker。接下來，選擇XML-RPC選項卡并選擇禁用 XML-RPC API 接口：

現(xiàn)在您只需要保存您的更改，您的網(wǎng)站將禁用 pingback。如果您不想使用插件，那么您可以在所有傳入的 XML-RPC 請求被傳遞到您的站點之前阻止它們。

此技術(shù)確實需要您在代碼級別編輯您的站點，因此在繼續(xù)之前創(chuàng)建完整備份是明智的。如果您是 A2 Hosting 客戶，我們提供兩種備份工具，您可以通過 cPanel 訪問它們：

創(chuàng)建備份后，使用FileZilla等 FTP 客戶端通過文件傳輸協(xié)議 (FTP) 連接到您的服務(wù)器。然后，您可以打開.htcaccess文件進行編輯并添加以下內(nèi)容：

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

不要忘記保存您的更改并將文件重新上傳到您的服務(wù)器。要驗證 XML-RPC 現(xiàn)在是否已禁用，請轉(zhuǎn)到XML-RPC Validator并輸入您網(wǎng)站的 URL。如果 XML-RPC 被禁用，則驗證器應(yīng)顯示錯誤消息。

8. 刪除 WordPress 主題編輯器

默認(rèn)情況下，您可以使用 WordPress 的內(nèi)置主題編輯器修改您的主題。雖然這有助于創(chuàng)建自定義主題，但它也是黑客向您的網(wǎng)站注入惡意代碼的一種方式：

如果您不需要主題編輯器，那么您可能需要考慮禁用它。這需要您編輯網(wǎng)站的代碼，因此我們建議您在繼續(xù)之前創(chuàng)建備份。

要禁用編輯器，您需要使用 FTP 客戶端連接到您的服務(wù)器。然后，您可以打開wp-config.php文件并在“就是這樣，停止編輯！快樂出版”：

define( 'DISALLOW_FILE_EDIT', true );

保存您的更改，主題編輯器將從您的 WordPress 儀表板中消失。如果您需要在任何時候恢復(fù)主題編輯器，那么只需使用 FTP 連接到您的服務(wù)器并刪除DISALLOW_FILE_EDIT代碼行。

9. 保護您的數(shù)據(jù)庫免受 SQL 注入攻擊

黑客可能會通過將惡意 SQL 查詢注入您的 MySQL 數(shù)據(jù)庫來嘗試訪問您的 WordPress 帳戶。黑客可以通過任何接受用戶輸入的內(nèi)容發(fā)起這些 SQL 注入攻擊。這包括許多網(wǎng)站主食，例如評論部分和聯(lián)系表格。

由于 MySQL 容易受到注入攻擊，因此保持?jǐn)?shù)據(jù)庫處于最新狀態(tài)非常重要。使用與您的網(wǎng)站、公司或您個人無關(guān)的強密碼保護您的 MySQL 數(shù)據(jù)庫也很重要。在這里，使用密碼生成器（例如Strong Random Password Generator或LastPass?）可能會有所幫助：

您還可以通過使用唯一的數(shù)據(jù)庫名稱使黑客更難識別您的數(shù)據(jù)庫。A2 Hosting 客戶可以隨時通過登錄 cPanel 然后訪問phpMyAdmin工具來更改他們的 WordPress 數(shù)據(jù)庫名稱。

在左側(cè)菜單中，選擇要重命名的數(shù)據(jù)庫。然后打開操作選項卡：

在這里，輸入您要使用的名稱，然后單擊Go。出現(xiàn)提示時，選擇重新加載數(shù)據(jù)庫。

結(jié)論

作為世界上最受歡迎的內(nèi)容管理系統(tǒng)之一，黑客總是渴望發(fā)現(xiàn) WordPress 主題、插件和核心中的漏洞。如果惡意第三方確實設(shè)法識別出安全漏洞，他們可能會使用它來對數(shù)百萬個 WordPress 網(wǎng)站（包括您的網(wǎng)站）發(fā)起攻擊。

通過遵循一些簡單的安全預(yù)防措施，您可以立即使您的網(wǎng)站不易受到攻擊。通過仔細(xì)審查所有主題和插件并安裝 SSL 證書，從基礎(chǔ)開始非常重要。一旦您有了堅實的基礎(chǔ)，我們建議您探索更高級的安全策略，例如啟用 2FA 并盡可能禁用主題編輯器和 XML-RPC。