現在有超過(guò)2800 萬(wàn)個(gè)實(shí)時(shí)網(wǎng)站使用 WordPress。雖然很高興成為如此龐大而活躍的社區的一員，但這種受歡迎程度使該平臺成為惡意黑客的主要目標。

幸運的是，通過(guò)實(shí)施一些簡(jiǎn)單的安全策略并執行定期檢查，您可以使您的網(wǎng)站更不容易受到攻擊。這可以幫助您避免因可預防的安全漏洞而丟失客戶(hù)、流量、收入或機密信息。

在這篇文章中，我們將討論為什么保護您的 WordPress 網(wǎng)站比以往任何時(shí)候都更加重要。然后，我們將分享九個(gè)提高網(wǎng)站安全性的重要技巧。讓我們開(kāi)始吧！

WordPress安全簡(jiǎn)介

WordPress 為超過(guò) 40% 的網(wǎng)絡(luò )提供支持，這使其成為黑客的有吸引力的目標。如果惡意第三方設法識別出一個(gè) WordPress 網(wǎng)站的漏洞，他們可能會(huì )利用相同的安全漏洞來(lái)攻擊建立在同一平臺上的數百萬(wàn)其他網(wǎng)站。

有了這種想法，對 WordPress 的攻擊呈上升趨勢也就不足為奇了。Wordfence 在 2020 年記錄了43 億次利用漏洞的嘗試。當被問(wèn)及網(wǎng)絡(luò )安全時(shí)，超過(guò) 70% 的開(kāi)發(fā)人員、自由職業(yè)者和代理機構確認他們越來(lái)越擔心自己的網(wǎng)站。事實(shí)上，25% 的受訪(fǎng)者確認他們在參與調查前一個(gè)月不得不處理一個(gè)被黑的網(wǎng)站。

WordPress 團隊在識別和解決平臺漏洞方面有著(zhù)良好的記錄。但是，沒(méi)有任何軟件是完美的。此外，許多網(wǎng)站所有者選擇使用主題和插件擴展 WordPress 核心。這些第三方產(chǎn)品可以為您的站點(diǎn)添加新的設計和功能，但也可以添加新的安全漏洞。

根據 Patchstack 的安全白皮書(shū)，第三方插件和主題占檢測到的 WordPress 安全漏洞的 96.22%。整個(gè) 2020 年檢測到的活躍和易受攻擊的主題和插件安裝總數達到驚人的 7000 萬(wàn)。

如果黑客確實(shí)設法控制了您的網(wǎng)站，后果可能是災難性的。攻擊者可能會(huì )破壞您的網(wǎng)站、竊取您的數據或將您的忠實(shí)客戶(hù)重定向到垃圾郵件網(wǎng)站。

這些惡意活動(dòng)的影響可能是深遠的。它們可能包括在您的客戶(hù)之間失去信任和錯過(guò)銷(xiāo)售，直至由于您未能保護訪(fǎng)問(wèn)者信息而導致的潛在法律訴訟。

2022年保持 WordPress 網(wǎng)站安全的 9 種方法

WordPress 可能是黑客最喜歡的目標，但這不是切換到不同內容管理系統 (CMS) 的理由。讓我們看一下可用于強化和保護 WordPress 網(wǎng)站免受常見(jiàn)攻擊的九個(gè)技巧。

1.選擇優(yōu)先安全的托管服務(wù)提供商

確保 WordPress 網(wǎng)站安全的最重要方法是選擇優(yōu)先考慮安全性的托管服務(wù)提供商。我們建議盡可能選擇提供內置安全功能和工具的托管解決方案。

在 A2 Hosting，我們非常重視安全性，這就是為什么我們所有的托管包都包含Cloudflare Web Application Firewall (WAF)的原因。該工具可以幫助保護您的網(wǎng)站免受暴力攻擊，在這種攻擊中，黑客試圖提交許多不同的密碼和用戶(hù)名，以期正確猜測組合。

我們的托管計劃還附帶cPanel 控制面板和Softaculous 安裝程序。這個(gè)流行的安裝程序提供了對各種附加組件、工具和軟件的訪(fǎng)問(wèn)，其中包括許多可以幫助您保護您的網(wǎng)站的軟件。

運行過(guò)時(shí)的軟件會(huì )使您的網(wǎng)站更容易受到攻擊。如果您確實(shí)選擇通過(guò) Softaculous 安裝其他軟件，那么每次有可用更新時(shí)我們都會(huì )向您發(fā)送電子郵件。這可確保您不會(huì )錯過(guò)任何有助于增強站點(diǎn)安全性的關(guān)鍵安全更新或錯誤修復。

如果您確實(shí)有安全問(wèn)題，那么立即解決它很重要。這就是為什么我們還為所有托管客戶(hù)提供24/7 客戶(hù)支持。

2. 安裝安全套接層 (SSL) 證書(shū)

如果沒(méi)有安全套接字層 (SSL) 證書(shū)，惡意第三方可能能夠攔截您的網(wǎng)站發(fā)送和接收的數據。這包括登錄憑據和付款詳細信息。如果黑客設法訪(fǎng)問(wèn)此信息，則可能會(huì )損害您的聲譽(yù)并破壞用戶(hù)對您網(wǎng)站的信任。由于數據保護法，它甚至可能使您陷入合法的熱水中。

SSL 證書(shū)可以通過(guò)安全超文本傳輸??協(xié)議 (HTTPS)而不是超文本傳輸??協(xié)議 (HTTP)傳輸信息，從而幫助確保您的私人數據保持私密。顧名思義，HTTPS 比 HTTP 更安全，因為它使您能夠加密流入和流出您網(wǎng)站的任何數據。

獲得您的 SSL 證書(shū)后，我們將通過(guò)電子郵件向您發(fā)送 SSL 令牌。您可以通過(guò)將證書(shū)添加到您的網(wǎng)站來(lái)安裝證書(shū)。

如果您是 cPanel 用戶(hù)，則可以登錄您的帳戶(hù)并啟動(dòng)AutoInstall SSL工具。然后將您的 SSL 令牌粘貼到提供的字段中，然后單擊驗證令牌：

然后我們會(huì )詢(xún)問(wèn)一些關(guān)于您的網(wǎng)站和證書(shū)的簡(jiǎn)單問(wèn)題。提供這些詳細信息后，AutoInstall SSL 將上傳您的證書(shū)并且您的數據將被加密。

3. 實(shí)施內容交付網(wǎng)絡(luò ) (CDN)

如果惡意第三方設法使用蠻力攻擊闖入您的網(wǎng)站，他們可能會(huì )造成嚴重破壞。他們可能會(huì )竊取您的數據、破壞您的網(wǎng)站，甚至完全刪除您的 WordPress 網(wǎng)站。

您可以通過(guò)使用混合了數字和符號以及大寫(xiě)和小寫(xiě)字母的長(cháng)而復雜的密碼來(lái)幫助保護您的站點(diǎn)免受暴力攻擊。然而，一些黑客使用自動(dòng)化腳本和機器人用數千個(gè)登錄憑據轟炸您的網(wǎng)站。即使您遵循密碼最佳做法，您的網(wǎng)站仍可能成為暴力攻擊的受害者。

為了防止這些自動(dòng)化腳本和機器人，您可能需要考慮使用內容交付網(wǎng)絡(luò ) (CDN)。盡管此工具通常用于提高網(wǎng)站性能，但它也可以阻止惡意請求到達您的網(wǎng)站。

這可以防止黑客使用登錄憑據攻擊您的網(wǎng)站。在 A2 Hosting，我們向所有客戶(hù)提供 Cloudflare CDN：

除了提供蠻力保護之外，Cloudflare 的網(wǎng)絡(luò )還旨在監控和緩解分布式拒絕服務(wù) (DDoS) 攻擊。在這種情況下，黑客用大量惡意流量淹沒(méi)了您的網(wǎng)絡(luò )，以至于超出了您網(wǎng)站處理請求的能力，此時(shí)合法請求可能會(huì )被忽略。

您可以通過(guò)登錄 cPanel 并導航到Software > Cloudflare來(lái)配置 Cloudflare CDN 。然后，您可以按照屏幕上的說(shuō)明確保為您的特定網(wǎng)站正確設置 Cloudflare。

4. 安全使用插件和主題

WordPress 擁有龐大的主題和插件目錄，可以幫助您創(chuàng )建美觀(guān)、功能豐富的網(wǎng)站。但是，這些第三方擴展也可能使您的網(wǎng)站容易受到攻擊。2019 年，97.2% 的 WordPress 漏洞與插件有關(guān)。

為了幫助保護您的網(wǎng)站，您應該只安裝來(lái)自信譽(yù)良好的來(lái)源的插件。我們建議盡可能使用官方的 WordPress 插件庫，因為它有嚴格的安全準則：

或者，您可以從信譽(yù)良好的第三方市場(chǎng)（例如CodeCanyon?）購買(mǎi)主題和插件。即使您使用的是優(yōu)質(zhì)資源，評估主題或插件仍然很明智，包括檢查上次更新的時(shí)間：

我們還建議檢查軟件的評論，尤其是最近的評論。大量負面評論可能表明最新版本存在安全問(wèn)題。

主題和插件還會(huì )向您的站點(diǎn)添加代碼，其中可能包含漏洞。負責任的開(kāi)發(fā)人員將努力關(guān)閉在其主題或插件中發(fā)現的任何安全漏洞，并且通常會(huì )發(fā)布包含針對任何最近發(fā)現的漏洞的解決方案的更新。因此，讓您的主題和插件保持最新很重要。

據 WPBeginner 稱(chēng)，86% 的網(wǎng)站因軟件過(guò)時(shí)而遭到黑客攻擊。為了最大限度地降低您的風(fēng)險，請務(wù)必在更新可用時(shí)立即安裝：

在某些時(shí)候，您可能不再需要特定的主題或插件。如果您只是停用有問(wèn)題的軟件，那么黑客仍然可以利用其代碼。例如，黑客通常針對特定插件中的單個(gè) PHP 文件。

如果您只是停用主題或插件，那么這些 PHP 文件仍可訪(fǎng)問(wèn)，因此仍可被利用。這意味著(zhù)刪除不再需要的擴展程序至關(guān)重要。

5. 安裝 Web 應用程序防火墻 (WAF)

主題和插件可能會(huì )給您的網(wǎng)站帶來(lái)漏洞。理想情況下，當發(fā)現此類(lèi)問(wèn)題時(shí)，主題或插件開(kāi)發(fā)人員會(huì )急于修補問(wèn)題并發(fā)布更新。

然而，情況并非總是如此，因為一些復雜的漏洞可能需要時(shí)間來(lái)修復。雖然我們總是建議刪除不安全的軟件，但這并不總是可行的。例如，可能有問(wèn)題的插件提供了您網(wǎng)站的核心功能。

如果您確實(shí)需要繼續使用易受攻擊的插件，那么您可以讓黑客更難以濫用這些已知的安全漏洞。一種方法是使用 Web 應用程序防火墻 (WAF) 在惡意請求到達您的 WordPress 網(wǎng)站之前將其過(guò)濾掉。這也可以保護您的站點(diǎn)免受跨站點(diǎn)腳本 (XSS) 攻擊。

有幾個(gè)可用于 WordPress 的 WAF 插件。但是，Wordfence 端點(diǎn)防火墻是一個(gè)流行的選項：

安裝并激活 Wordfence 后，最好將此插件留在 Learn More 中至少一周，然后再啟用其防火墻。這可以幫助您避免誤報，即 Wordfence 會(huì )阻止合法活動(dòng)。

當插件處于學(xué)習模式時(shí)，您應該在您的 WordPress 網(wǎng)站上執行盡可能多的不同操作。這為 Wordfence 提供了學(xué)習如何保護您的網(wǎng)站的最佳機會(huì )，同時(shí)還允許正?；顒?dòng)和訪(fǎng)問(wèn)者通過(guò)其防火墻。

您可以通過(guò)導航到Wordfence > Firewall將 Wordfence 置于學(xué)習模式。然后打開(kāi)Web 應用程序防火墻狀態(tài)下拉菜單并選擇學(xué)習模式：

保存您的更改，Wordfence 將開(kāi)始監控您的網(wǎng)站。當您準備好將 Wordfence 退出學(xué)習模式時(shí)，您可以通過(guò)導航到Wordfence > 防火墻來(lái)啟用防火墻。然后打開(kāi)下拉菜單并選擇啟用和保護。

6.激活雙重身份驗證（2FA）

使用強密碼保護您的網(wǎng)站非常重要。但是，在某些基于密碼的攻擊中，您的登錄憑據的強度不會(huì )影響該攻擊是成功還是失敗。這包括撞庫攻擊，黑客試圖使用數千甚至數百萬(wàn)個(gè)用戶(hù)名和密碼組合侵入您的儀表板。甚至還有擊鍵記錄程序可以監控您的鍵盤(pán)并記錄您鍵入的每一件事，包括您的密碼。

防止這些攻擊的一種方法是啟用兩因素身份驗證 (2FA)。激活此功能后，任何試圖訪(fǎng)問(wèn)您的 WordPress 網(wǎng)站的人都需要輸入正確的登錄詳細信息，然后通過(guò)額外的安全檢查——例如回復手機上的推送通知或輸入發(fā)送到其電子郵件地址的代碼——才能訪(fǎng)問(wèn)您的網(wǎng)站。

通過(guò)激活 2FA，您可以使第三方更難訪(fǎng)問(wèn)您的網(wǎng)站。您可以使用Google Authenticator或Microsoft Authenticator等移動(dòng)應用程序設置 2FA?：

安裝您選擇的移動(dòng)應用程序后，A2 Hosting 客戶(hù)可以通過(guò)登錄他們的帳戶(hù)并導航到Account > Edit Account Details來(lái)啟用 2FA 。然后，您可以在左側菜單中選擇安全設置：

在隨后的頁(yè)面上，選擇單擊此處啟用。然后，您將被引導完成將您的 WordPress 網(wǎng)站鏈接到您的身份驗證器移動(dòng)應用程序的過(guò)程：

作為此過(guò)程的一部分，我們將為您提供備用代碼。如果您無(wú)法訪(fǎng)問(wèn)身份驗證器應用程序，則可以使用此代碼恢復您的 WordPress 網(wǎng)站。為避免被鎖定在您的網(wǎng)站之外，記下此代碼并將其保存在安全的地方至關(guān)重要。

7. 考慮禁用 XML-RPC

Pingbacks 是一種通知其他網(wǎng)站您已鏈接到其內容的方法，反之亦然。默認情況下，它們在 WordPress 中啟用。雖然此功能可以更輕松地回復提及您網(wǎng)站的評論，但它也可以使您的網(wǎng)站更容易受到 DDoS 攻擊。

XML-RPC 接口使 WordPress pingbacks 成為可能。但是，攻擊者可能會(huì )使用此功能通過(guò) pingback 轟炸您的網(wǎng)站。這可能會(huì )使您的服務(wù)器超載，甚至可能使您的站點(diǎn)脫機。出于這個(gè)原因，您可能需要考慮使用REST XML-RPC Data Checker禁用 XML-RPC 接口。

如果您決定禁用 pingback，請在您的 WordPress 儀表板中安裝并激活此插件。然后導航到Settings > REST XML-RPC Data Checker。接下來(lái)，選擇XML-RPC選項卡并選擇禁用 XML-RPC API 接口：

現在您只需要保存您的更改，您的網(wǎng)站將禁用 pingback。如果您不想使用插件，那么您可以在所有傳入的 XML-RPC 請求被傳遞到您的站點(diǎn)之前阻止它們。

此技術(shù)確實(shí)需要您在代碼級別編輯您的站點(diǎn)，因此在繼續之前創(chuàng )建完整備份是明智的。如果您是 A2 Hosting 客戶(hù)，我們提供兩種備份工具，您可以通過(guò) cPanel 訪(fǎng)問(wèn)它們：

創(chuàng )建備份后，使用FileZilla等 FTP 客戶(hù)端通過(guò)文件傳輸協(xié)議 (FTP) 連接到您的服務(wù)器。然后，您可以打開(kāi).htcaccess文件進(jìn)行編輯并添加以下內容：

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

不要忘記保存您的更改并將文件重新上傳到您的服務(wù)器。要驗證 XML-RPC 現在是否已禁用，請轉到XML-RPC Validator并輸入您網(wǎng)站的 URL。如果 XML-RPC 被禁用，則驗證器應顯示錯誤消息。

8. 刪除 WordPress 主題編輯器

默認情況下，您可以使用 WordPress 的內置主題編輯器修改您的主題。雖然這有助于創(chuàng )建自定義主題，但它也是黑客向您的網(wǎng)站注入惡意代碼的一種方式：

如果您不需要主題編輯器，那么您可能需要考慮禁用它。這需要您編輯網(wǎng)站的代碼，因此我們建議您在繼續之前創(chuàng )建備份。

要禁用編輯器，您需要使用 FTP 客戶(hù)端連接到您的服務(wù)器。然后，您可以打開(kāi)wp-config.php文件并在“就是這樣，停止編輯！快樂(lè )出版”：

define( 'DISALLOW_FILE_EDIT', true );

保存您的更改，主題編輯器將從您的 WordPress 儀表板中消失。如果您需要在任何時(shí)候恢復主題編輯器，那么只需使用 FTP 連接到您的服務(wù)器并刪除DISALLOW_FILE_EDIT代碼行。

9. 保護您的數據庫免受 SQL 注入攻擊

黑客可能會(huì )通過(guò)將惡意 SQL 查詢(xún)注入您的 MySQL 數據庫來(lái)嘗試訪(fǎng)問(wèn)您的 WordPress 帳戶(hù)。黑客可以通過(guò)任何接受用戶(hù)輸入的內容發(fā)起這些 SQL 注入攻擊。這包括許多網(wǎng)站主食，例如評論部分和聯(lián)系表格。

由于 MySQL 容易受到注入攻擊，因此保持數據庫處于最新?tīng)顟B(tài)非常重要。使用與您的網(wǎng)站、公司或您個(gè)人無(wú)關(guān)的強密碼保護您的 MySQL 數據庫也很重要。在這里，使用密碼生成器（例如Strong Random Password Generator或LastPass?）可能會(huì )有所幫助：

您還可以通過(guò)使用唯一的數據庫名稱(chēng)使黑客更難識別您的數據庫。A2 Hosting 客戶(hù)可以隨時(shí)通過(guò)登錄 cPanel 然后訪(fǎng)問(wèn)phpMyAdmin工具來(lái)更改他們的 WordPress 數據庫名稱(chēng)。

在左側菜單中，選擇要重命名的數據庫。然后打開(kāi)操作選項卡：

在這里，輸入您要使用的名稱(chēng)，然后單擊Go。出現提示時(shí)，選擇重新加載數據庫。

結論

作為世界上最受歡迎的內容管理系統之一，黑客總是渴望發(fā)現 WordPress 主題、插件和核心中的漏洞。如果惡意第三方確實(shí)設法識別出安全漏洞，他們可能會(huì )使用它來(lái)對數百萬(wàn)個(gè) WordPress 網(wǎng)站（包括您的網(wǎng)站）發(fā)起攻擊。

通過(guò)遵循一些簡(jiǎn)單的安全預防措施，您可以立即使您的網(wǎng)站不易受到攻擊。通過(guò)仔細審查所有主題和插件并安裝 SSL 證書(shū)，從基礎開(kāi)始非常重要。一旦您有了堅實(shí)的基礎，我們建議您探索更高級的安全策略，例如啟用 2FA 并盡可能禁用主題編輯器和 XML-RPC。