現(xiàn)在有超過2800 萬個實時網(wǎng)站使用 WordPress。雖然很高興成為如此龐大而活躍的社區(qū)的一員，但這種受歡迎程度使該平臺成為惡意黑客的主要目標。

幸運的是，通過實施一些簡單的安全策略并執(zhí)行定期檢查，您可以使您的網(wǎng)站更不容易受到攻擊。這可以幫助您避免因可預防的安全漏洞而丟失客戶、流量、收入或機密信息。

在這篇文章中，我們將討論為什么保護您的 WordPress 網(wǎng)站比以往任何時候都更加重要。然后，我們將分享九個提高網(wǎng)站安全性的重要技巧。讓我們開始吧！

WordPress安全簡介

WordPress 為超過 40% 的網(wǎng)絡(luò)提供支持，這使其成為黑客的有吸引力的目標。如果惡意第三方設(shè)法識別出一個 WordPress 網(wǎng)站的漏洞，他們可能會利用相同的安全漏洞來攻擊建立在同一平臺上的數(shù)百萬其他網(wǎng)站。

有了這種想法，對 WordPress 的攻擊呈上升趨勢也就不足為奇了。Wordfence 在 2020 年記錄了43 億次利用漏洞的嘗試。當被問及網(wǎng)絡(luò)安全時，超過 70% 的開發(fā)人員、自由職業(yè)者和代理機構(gòu)確認他們越來越擔心自己的網(wǎng)站。事實上，25% 的受訪者確認他們在參與調(diào)查前一個月不得不處理一個被黑的網(wǎng)站。

WordPress 團隊在識別和解決平臺漏洞方面有著良好的記錄。但是，沒有任何軟件是完美的。此外，許多網(wǎng)站所有者選擇使用主題和插件擴展 WordPress 核心。這些第三方產(chǎn)品可以為您的站點添加新的設(shè)計和功能，但也可以添加新的安全漏洞。

根據(jù) Patchstack 的安全白皮書，第三方插件和主題占檢測到的 WordPress 安全漏洞的 96.22%。整個 2020 年檢測到的活躍和易受攻擊的主題和插件安裝總數(shù)達到驚人的 7000 萬。

如果黑客確實設(shè)法控制了您的網(wǎng)站，后果可能是災難性的。攻擊者可能會破壞您的網(wǎng)站、竊取您的數(shù)據(jù)或?qū)⒛闹覍嵖蛻糁囟ㄏ虻嚼]件網(wǎng)站。

這些惡意活動的影響可能是深遠的。它們可能包括在您的客戶之間失去信任和錯過銷售，直至由于您未能保護訪問者信息而導致的潛在法律訴訟。

2022年保持 WordPress 網(wǎng)站安全的 9 種方法

WordPress 可能是黑客最喜歡的目標，但這不是切換到不同內(nèi)容管理系統(tǒng) (CMS) 的理由。讓我們看一下可用于強化和保護 WordPress 網(wǎng)站免受常見攻擊的九個技巧。

1.選擇優(yōu)先安全的托管服務提供商

確保 WordPress 網(wǎng)站安全的最重要方法是選擇優(yōu)先考慮安全性的托管服務提供商。我們建議盡可能選擇提供內(nèi)置安全功能和工具的托管解決方案。

在 A2 Hosting，我們非常重視安全性，這就是為什么我們所有的托管包都包含Cloudflare Web Application Firewall (WAF)的原因。該工具可以幫助保護您的網(wǎng)站免受暴力攻擊，在這種攻擊中，黑客試圖提交許多不同的密碼和用戶名，以期正確猜測組合。

我們的托管計劃還附帶cPanel 控制面板和Softaculous 安裝程序。這個流行的安裝程序提供了對各種附加組件、工具和軟件的訪問，其中包括許多可以幫助您保護您的網(wǎng)站的軟件。

運行過時的軟件會使您的網(wǎng)站更容易受到攻擊。如果您確實選擇通過 Softaculous 安裝其他軟件，那么每次有可用更新時我們都會向您發(fā)送電子郵件。這可確保您不會錯過任何有助于增強站點安全性的關(guān)鍵安全更新或錯誤修復。

如果您確實有安全問題，那么立即解決它很重要。這就是為什么我們還為所有托管客戶提供24/7 客戶支持。

2. 安裝安全套接層 (SSL) 證書

如果沒有安全套接字層 (SSL) 證書，惡意第三方可能能夠攔截您的網(wǎng)站發(fā)送和接收的數(shù)據(jù)。這包括登錄憑據(jù)和付款詳細信息。如果黑客設(shè)法訪問此信息，則可能會損害您的聲譽并破壞用戶對您網(wǎng)站的信任。由于數(shù)據(jù)保護法，它甚至可能使您陷入合法的熱水中。

SSL 證書可以通過安全超文本傳輸??協(xié)議 (HTTPS)而不是超文本傳輸??協(xié)議 (HTTP)傳輸信息，從而幫助確保您的私人數(shù)據(jù)保持私密。顧名思義，HTTPS 比 HTTP 更安全，因為它使您能夠加密流入和流出您網(wǎng)站的任何數(shù)據(jù)。

獲得您的 SSL 證書后，我們將通過電子郵件向您發(fā)送 SSL 令牌。您可以通過將證書添加到您的網(wǎng)站來安裝證書。

如果您是 cPanel 用戶，則可以登錄您的帳戶并啟動AutoInstall SSL工具。然后將您的 SSL 令牌粘貼到提供的字段中，然后單擊驗證令牌：

然后我們會詢問一些關(guān)于您的網(wǎng)站和證書的簡單問題。提供這些詳細信息后，AutoInstall SSL 將上傳您的證書并且您的數(shù)據(jù)將被加密。

3. 實施內(nèi)容交付網(wǎng)絡(luò) (CDN)

如果惡意第三方設(shè)法使用蠻力攻擊闖入您的網(wǎng)站，他們可能會造成嚴重破壞。他們可能會竊取您的數(shù)據(jù)、破壞您的網(wǎng)站，甚至完全刪除您的 WordPress 網(wǎng)站。

您可以通過使用混合了數(shù)字和符號以及大寫和小寫字母的長而復雜的密碼來幫助保護您的站點免受暴力攻擊。然而，一些黑客使用自動化腳本和機器人用數(shù)千個登錄憑據(jù)轟炸您的網(wǎng)站。即使您遵循密碼最佳做法，您的網(wǎng)站仍可能成為暴力攻擊的受害者。

為了防止這些自動化腳本和機器人，您可能需要考慮使用內(nèi)容交付網(wǎng)絡(luò) (CDN)。盡管此工具通常用于提高網(wǎng)站性能，但它也可以阻止惡意請求到達您的網(wǎng)站。

這可以防止黑客使用登錄憑據(jù)攻擊您的網(wǎng)站。在 A2 Hosting，我們向所有客戶提供 Cloudflare CDN：

除了提供蠻力保護之外，Cloudflare 的網(wǎng)絡(luò)還旨在監(jiān)控和緩解分布式拒絕服務 (DDoS) 攻擊。在這種情況下，黑客用大量惡意流量淹沒了您的網(wǎng)絡(luò)，以至于超出了您網(wǎng)站處理請求的能力，此時合法請求可能會被忽略。

您可以通過登錄 cPanel 并導航到Software > Cloudflare來配置 Cloudflare CDN 。然后，您可以按照屏幕上的說明確保為您的特定網(wǎng)站正確設(shè)置 Cloudflare。

4. 安全使用插件和主題

WordPress 擁有龐大的主題和插件目錄，可以幫助您創(chuàng)建美觀、功能豐富的網(wǎng)站。但是，這些第三方擴展也可能使您的網(wǎng)站容易受到攻擊。2019 年，97.2% 的 WordPress 漏洞與插件有關(guān)。

為了幫助保護您的網(wǎng)站，您應該只安裝來自信譽良好的來源的插件。我們建議盡可能使用官方的 WordPress 插件庫，因為它有嚴格的安全準則：

或者，您可以從信譽良好的第三方市場（例如CodeCanyon?）購買主題和插件。即使您使用的是優(yōu)質(zhì)資源，評估主題或插件仍然很明智，包括檢查上次更新的時間：

我們還建議檢查軟件的評論，尤其是最近的評論。大量負面評論可能表明最新版本存在安全問題。

主題和插件還會向您的站點添加代碼，其中可能包含漏洞。負責任的開發(fā)人員將努力關(guān)閉在其主題或插件中發(fā)現(xiàn)的任何安全漏洞，并且通常會發(fā)布包含針對任何最近發(fā)現(xiàn)的漏洞的解決方案的更新。因此，讓您的主題和插件保持最新很重要。

據(jù) WPBeginner 稱，86% 的網(wǎng)站因軟件過時而遭到黑客攻擊。為了最大限度地降低您的風險，請務必在更新可用時立即安裝：

在某些時候，您可能不再需要特定的主題或插件。如果您只是停用有問題的軟件，那么黑客仍然可以利用其代碼。例如，黑客通常針對特定插件中的單個 PHP 文件。

如果您只是停用主題或插件，那么這些 PHP 文件仍可訪問，因此仍可被利用。這意味著刪除不再需要的擴展程序至關(guān)重要。

5. 安裝 Web 應用程序防火墻 (WAF)

主題和插件可能會給您的網(wǎng)站帶來漏洞。理想情況下，當發(fā)現(xiàn)此類問題時，主題或插件開發(fā)人員會急于修補問題并發(fā)布更新。

然而，情況并非總是如此，因為一些復雜的漏洞可能需要時間來修復。雖然我們總是建議刪除不安全的軟件，但這并不總是可行的。例如，可能有問題的插件提供了您網(wǎng)站的核心功能。

如果您確實需要繼續(xù)使用易受攻擊的插件，那么您可以讓黑客更難以濫用這些已知的安全漏洞。一種方法是使用 Web 應用程序防火墻 (WAF) 在惡意請求到達您的 WordPress 網(wǎng)站之前將其過濾掉。這也可以保護您的站點免受跨站點腳本 (XSS) 攻擊。

有幾個可用于 WordPress 的 WAF 插件。但是，Wordfence 端點防火墻是一個流行的選項：

安裝并激活 Wordfence 后，最好將此插件留在 Learn More 中至少一周，然后再啟用其防火墻。這可以幫助您避免誤報，即 Wordfence 會阻止合法活動。

當插件處于學習模式時，您應該在您的 WordPress 網(wǎng)站上執(zhí)行盡可能多的不同操作。這為 Wordfence 提供了學習如何保護您的網(wǎng)站的最佳機會，同時還允許正?；顒雍驮L問者通過其防火墻。

您可以通過導航到Wordfence > Firewall將 Wordfence 置于學習模式。然后打開Web 應用程序防火墻狀態(tài)下拉菜單并選擇學習模式：

保存您的更改，Wordfence 將開始監(jiān)控您的網(wǎng)站。當您準備好將 Wordfence 退出學習模式時，您可以通過導航到Wordfence > 防火墻來啟用防火墻。然后打開下拉菜單并選擇啟用和保護。

6.激活雙重身份驗證（2FA）

使用強密碼保護您的網(wǎng)站非常重要。但是，在某些基于密碼的攻擊中，您的登錄憑據(jù)的強度不會影響該攻擊是成功還是失敗。這包括撞庫攻擊，黑客試圖使用數(shù)千甚至數(shù)百萬個用戶名和密碼組合侵入您的儀表板。甚至還有擊鍵記錄程序可以監(jiān)控您的鍵盤并記錄您鍵入的每一件事，包括您的密碼。

防止這些攻擊的一種方法是啟用兩因素身份驗證 (2FA)。激活此功能后，任何試圖訪問您的 WordPress 網(wǎng)站的人都需要輸入正確的登錄詳細信息，然后通過額外的安全檢查——例如回復手機上的推送通知或輸入發(fā)送到其電子郵件地址的代碼——才能訪問您的網(wǎng)站。

通過激活 2FA，您可以使第三方更難訪問您的網(wǎng)站。您可以使用Google Authenticator或Microsoft Authenticator等移動應用程序設(shè)置 2FA?：

安裝您選擇的移動應用程序后，A2 Hosting 客戶可以通過登錄他們的帳戶并導航到Account > Edit Account Details來啟用 2FA 。然后，您可以在左側(cè)菜單中選擇安全設(shè)置：

在隨后的頁面上，選擇單擊此處啟用。然后，您將被引導完成將您的 WordPress 網(wǎng)站鏈接到您的身份驗證器移動應用程序的過程：

作為此過程的一部分，我們將為您提供備用代碼。如果您無法訪問身份驗證器應用程序，則可以使用此代碼恢復您的 WordPress 網(wǎng)站。為避免被鎖定在您的網(wǎng)站之外，記下此代碼并將其保存在安全的地方至關(guān)重要。

7. 考慮禁用 XML-RPC

Pingbacks 是一種通知其他網(wǎng)站您已鏈接到其內(nèi)容的方法，反之亦然。默認情況下，它們在 WordPress 中啟用。雖然此功能可以更輕松地回復提及您網(wǎng)站的評論，但它也可以使您的網(wǎng)站更容易受到 DDoS 攻擊。

XML-RPC 接口使 WordPress pingbacks 成為可能。但是，攻擊者可能會使用此功能通過 pingback 轟炸您的網(wǎng)站。這可能會使您的服務器超載，甚至可能使您的站點脫機。出于這個原因，您可能需要考慮使用REST XML-RPC Data Checker禁用 XML-RPC 接口。

如果您決定禁用 pingback，請在您的 WordPress 儀表板中安裝并激活此插件。然后導航到Settings > REST XML-RPC Data Checker。接下來，選擇XML-RPC選項卡并選擇禁用 XML-RPC API 接口：

現(xiàn)在您只需要保存您的更改，您的網(wǎng)站將禁用 pingback。如果您不想使用插件，那么您可以在所有傳入的 XML-RPC 請求被傳遞到您的站點之前阻止它們。

此技術(shù)確實需要您在代碼級別編輯您的站點，因此在繼續(xù)之前創(chuàng)建完整備份是明智的。如果您是 A2 Hosting 客戶，我們提供兩種備份工具，您可以通過 cPanel 訪問它們：

創(chuàng)建備份后，使用FileZilla等 FTP 客戶端通過文件傳輸協(xié)議 (FTP) 連接到您的服務器。然后，您可以打開.htcaccess文件進行編輯并添加以下內(nèi)容：

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

不要忘記保存您的更改并將文件重新上傳到您的服務器。要驗證 XML-RPC 現(xiàn)在是否已禁用，請轉(zhuǎn)到XML-RPC Validator并輸入您網(wǎng)站的 URL。如果 XML-RPC 被禁用，則驗證器應顯示錯誤消息。

8. 刪除 WordPress 主題編輯器

默認情況下，您可以使用 WordPress 的內(nèi)置主題編輯器修改您的主題。雖然這有助于創(chuàng)建自定義主題，但它也是黑客向您的網(wǎng)站注入惡意代碼的一種方式：

如果您不需要主題編輯器，那么您可能需要考慮禁用它。這需要您編輯網(wǎng)站的代碼，因此我們建議您在繼續(xù)之前創(chuàng)建備份。

要禁用編輯器，您需要使用 FTP 客戶端連接到您的服務器。然后，您可以打開wp-config.php文件并在“就是這樣，停止編輯！快樂出版”：

define( 'DISALLOW_FILE_EDIT', true );

保存您的更改，主題編輯器將從您的 WordPress 儀表板中消失。如果您需要在任何時候恢復主題編輯器，那么只需使用 FTP 連接到您的服務器并刪除DISALLOW_FILE_EDIT代碼行。

9. 保護您的數(shù)據(jù)庫免受 SQL 注入攻擊

黑客可能會通過將惡意 SQL 查詢注入您的 MySQL 數(shù)據(jù)庫來嘗試訪問您的 WordPress 帳戶。黑客可以通過任何接受用戶輸入的內(nèi)容發(fā)起這些 SQL 注入攻擊。這包括許多網(wǎng)站主食，例如評論部分和聯(lián)系表格。

由于 MySQL 容易受到注入攻擊，因此保持數(shù)據(jù)庫處于最新狀態(tài)非常重要。使用與您的網(wǎng)站、公司或您個人無關(guān)的強密碼保護您的 MySQL 數(shù)據(jù)庫也很重要。在這里，使用密碼生成器（例如Strong Random Password Generator或LastPass?）可能會有所幫助：

您還可以通過使用唯一的數(shù)據(jù)庫名稱使黑客更難識別您的數(shù)據(jù)庫。A2 Hosting 客戶可以隨時通過登錄 cPanel 然后訪問phpMyAdmin工具來更改他們的 WordPress 數(shù)據(jù)庫名稱。

在左側(cè)菜單中，選擇要重命名的數(shù)據(jù)庫。然后打開操作選項卡：

在這里，輸入您要使用的名稱，然后單擊Go。出現(xiàn)提示時，選擇重新加載數(shù)據(jù)庫。

結(jié)論

作為世界上最受歡迎的內(nèi)容管理系統(tǒng)之一，黑客總是渴望發(fā)現(xiàn) WordPress 主題、插件和核心中的漏洞。如果惡意第三方確實設(shè)法識別出安全漏洞，他們可能會使用它來對數(shù)百萬個 WordPress 網(wǎng)站（包括您的網(wǎng)站）發(fā)起攻擊。

通過遵循一些簡單的安全預防措施，您可以立即使您的網(wǎng)站不易受到攻擊。通過仔細審查所有主題和插件并安裝 SSL 證書，從基礎(chǔ)開始非常重要。一旦您有了堅實的基礎(chǔ)，我們建議您探索更高級的安全策略，例如啟用 2FA 并盡可能禁用主題編輯器和 XML-RPC。