現(xiàn)在有超過(guò)2800 萬(wàn)個(gè)實(shí)時(shí)網(wǎng)站使用 WordPress。雖然很高興成為如此龐大而活躍的社區(qū)的一員，但這種受歡迎程度使該平臺(tái)成為惡意黑客的主要目標(biāo)。

幸運(yùn)的是，通過(guò)實(shí)施一些簡(jiǎn)單的安全策略并執(zhí)行定期檢查，您可以使您的網(wǎng)站更不容易受到攻擊。這可以幫助您避免因可預(yù)防的安全漏洞而丟失客戶、流量、收入或機(jī)密信息。

在這篇文章中，我們將討論為什么保護(hù)您的 WordPress 網(wǎng)站比以往任何時(shí)候都更加重要。然后，我們將分享九個(gè)提高網(wǎng)站安全性的重要技巧。讓我們開(kāi)始吧！

WordPress安全簡(jiǎn)介

WordPress 為超過(guò) 40% 的網(wǎng)絡(luò)提供支持，這使其成為黑客的有吸引力的目標(biāo)。如果惡意第三方設(shè)法識(shí)別出一個(gè) WordPress 網(wǎng)站的漏洞，他們可能會(huì)利用相同的安全漏洞來(lái)攻擊建立在同一平臺(tái)上的數(shù)百萬(wàn)其他網(wǎng)站。

有了這種想法，對(duì) WordPress 的攻擊呈上升趨勢(shì)也就不足為奇了。Wordfence 在 2020 年記錄了43 億次利用漏洞的嘗試。當(dāng)被問(wèn)及網(wǎng)絡(luò)安全時(shí)，超過(guò) 70% 的開(kāi)發(fā)人員、自由職業(yè)者和代理機(jī)構(gòu)確認(rèn)他們?cè)絹?lái)越擔(dān)心自己的網(wǎng)站。事實(shí)上，25% 的受訪者確認(rèn)他們?cè)趨⑴c調(diào)查前一個(gè)月不得不處理一個(gè)被黑的網(wǎng)站。

WordPress 團(tuán)隊(duì)在識(shí)別和解決平臺(tái)漏洞方面有著良好的記錄。但是，沒(méi)有任何軟件是完美的。此外，許多網(wǎng)站所有者選擇使用主題和插件擴(kuò)展 WordPress 核心。這些第三方產(chǎn)品可以為您的站點(diǎn)添加新的設(shè)計(jì)和功能，但也可以添加新的安全漏洞。

根據(jù) Patchstack 的安全白皮書(shū)，第三方插件和主題占檢測(cè)到的 WordPress 安全漏洞的 96.22%。整個(gè) 2020 年檢測(cè)到的活躍和易受攻擊的主題和插件安裝總數(shù)達(dá)到驚人的 7000 萬(wàn)。

如果黑客確實(shí)設(shè)法控制了您的網(wǎng)站，后果可能是災(zāi)難性的。攻擊者可能會(huì)破壞您的網(wǎng)站、竊取您的數(shù)據(jù)或?qū)⒛闹覍?shí)客戶重定向到垃圾郵件網(wǎng)站。

這些惡意活動(dòng)的影響可能是深遠(yuǎn)的。它們可能包括在您的客戶之間失去信任和錯(cuò)過(guò)銷售，直至由于您未能保護(hù)訪問(wèn)者信息而導(dǎo)致的潛在法律訴訟。

2022年保持 WordPress 網(wǎng)站安全的 9 種方法

WordPress 可能是黑客最喜歡的目標(biāo)，但這不是切換到不同內(nèi)容管理系統(tǒng) (CMS) 的理由。讓我們看一下可用于強(qiáng)化和保護(hù) WordPress 網(wǎng)站免受常見(jiàn)攻擊的九個(gè)技巧。

1.選擇優(yōu)先安全的托管服務(wù)提供商

確保 WordPress 網(wǎng)站安全的最重要方法是選擇優(yōu)先考慮安全性的托管服務(wù)提供商。我們建議盡可能選擇提供內(nèi)置安全功能和工具的托管解決方案。

在 A2 Hosting，我們非常重視安全性，這就是為什么我們所有的托管包都包含Cloudflare Web Application Firewall (WAF)的原因。該工具可以幫助保護(hù)您的網(wǎng)站免受暴力攻擊，在這種攻擊中，黑客試圖提交許多不同的密碼和用戶名，以期正確猜測(cè)組合。

我們的托管計(jì)劃還附帶cPanel 控制面板和Softaculous 安裝程序。這個(gè)流行的安裝程序提供了對(duì)各種附加組件、工具和軟件的訪問(wèn)，其中包括許多可以幫助您保護(hù)您的網(wǎng)站的軟件。

運(yùn)行過(guò)時(shí)的軟件會(huì)使您的網(wǎng)站更容易受到攻擊。如果您確實(shí)選擇通過(guò) Softaculous 安裝其他軟件，那么每次有可用更新時(shí)我們都會(huì)向您發(fā)送電子郵件。這可確保您不會(huì)錯(cuò)過(guò)任何有助于增強(qiáng)站點(diǎn)安全性的關(guān)鍵安全更新或錯(cuò)誤修復(fù)。

如果您確實(shí)有安全問(wèn)題，那么立即解決它很重要。這就是為什么我們還為所有托管客戶提供24/7 客戶支持。

2. 安裝安全套接層 (SSL) 證書(shū)

如果沒(méi)有安全套接字層 (SSL) 證書(shū)，惡意第三方可能能夠攔截您的網(wǎng)站發(fā)送和接收的數(shù)據(jù)。這包括登錄憑據(jù)和付款詳細(xì)信息。如果黑客設(shè)法訪問(wèn)此信息，則可能會(huì)損害您的聲譽(yù)并破壞用戶對(duì)您網(wǎng)站的信任。由于數(shù)據(jù)保護(hù)法，它甚至可能使您陷入合法的熱水中。

SSL 證書(shū)可以通過(guò)安全超文本傳輸??協(xié)議 (HTTPS)而不是超文本傳輸??協(xié)議 (HTTP)傳輸信息，從而幫助確保您的私人數(shù)據(jù)保持私密。顧名思義，HTTPS 比 HTTP 更安全，因?yàn)樗鼓軌蚣用芰魅牒土鞒瞿W(wǎng)站的任何數(shù)據(jù)。

獲得您的 SSL 證書(shū)后，我們將通過(guò)電子郵件向您發(fā)送 SSL 令牌。您可以通過(guò)將證書(shū)添加到您的網(wǎng)站來(lái)安裝證書(shū)。

如果您是 cPanel 用戶，則可以登錄您的帳戶并啟動(dòng)AutoInstall SSL工具。然后將您的 SSL 令牌粘貼到提供的字段中，然后單擊驗(yàn)證令牌：

然后我們會(huì)詢問(wèn)一些關(guān)于您的網(wǎng)站和證書(shū)的簡(jiǎn)單問(wèn)題。提供這些詳細(xì)信息后，AutoInstall SSL 將上傳您的證書(shū)并且您的數(shù)據(jù)將被加密。

3. 實(shí)施內(nèi)容交付網(wǎng)絡(luò) (CDN)

如果惡意第三方設(shè)法使用蠻力攻擊闖入您的網(wǎng)站，他們可能會(huì)造成嚴(yán)重破壞。他們可能會(huì)竊取您的數(shù)據(jù)、破壞您的網(wǎng)站，甚至完全刪除您的 WordPress 網(wǎng)站。

您可以通過(guò)使用混合了數(shù)字和符號(hào)以及大寫(xiě)和小寫(xiě)字母的長(zhǎng)而復(fù)雜的密碼來(lái)幫助保護(hù)您的站點(diǎn)免受暴力攻擊。然而，一些黑客使用自動(dòng)化腳本和機(jī)器人用數(shù)千個(gè)登錄憑據(jù)轟炸您的網(wǎng)站。即使您遵循密碼最佳做法，您的網(wǎng)站仍可能成為暴力攻擊的受害者。

為了防止這些自動(dòng)化腳本和機(jī)器人，您可能需要考慮使用內(nèi)容交付網(wǎng)絡(luò) (CDN)。盡管此工具通常用于提高網(wǎng)站性能，但它也可以阻止惡意請(qǐng)求到達(dá)您的網(wǎng)站。

這可以防止黑客使用登錄憑據(jù)攻擊您的網(wǎng)站。在 A2 Hosting，我們向所有客戶提供 Cloudflare CDN：

除了提供蠻力保護(hù)之外，Cloudflare 的網(wǎng)絡(luò)還旨在監(jiān)控和緩解分布式拒絕服務(wù) (DDoS) 攻擊。在這種情況下，黑客用大量惡意流量淹沒(méi)了您的網(wǎng)絡(luò)，以至于超出了您網(wǎng)站處理請(qǐng)求的能力，此時(shí)合法請(qǐng)求可能會(huì)被忽略。

您可以通過(guò)登錄 cPanel 并導(dǎo)航到Software > Cloudflare來(lái)配置 Cloudflare CDN 。然后，您可以按照屏幕上的說(shuō)明確保為您的特定網(wǎng)站正確設(shè)置 Cloudflare。

4. 安全使用插件和主題

WordPress 擁有龐大的主題和插件目錄，可以幫助您創(chuàng)建美觀、功能豐富的網(wǎng)站。但是，這些第三方擴(kuò)展也可能使您的網(wǎng)站容易受到攻擊。2019 年，97.2% 的 WordPress 漏洞與插件有關(guān)。

為了幫助保護(hù)您的網(wǎng)站，您應(yīng)該只安裝來(lái)自信譽(yù)良好的來(lái)源的插件。我們建議盡可能使用官方的 WordPress 插件庫(kù)，因?yàn)樗袊?yán)格的安全準(zhǔn)則：

或者，您可以從信譽(yù)良好的第三方市場(chǎng)（例如CodeCanyon?）購(gòu)買主題和插件。即使您使用的是優(yōu)質(zhì)資源，評(píng)估主題或插件仍然很明智，包括檢查上次更新的時(shí)間：

我們還建議檢查軟件的評(píng)論，尤其是最近的評(píng)論。大量負(fù)面評(píng)論可能表明最新版本存在安全問(wèn)題。

主題和插件還會(huì)向您的站點(diǎn)添加代碼，其中可能包含漏洞。負(fù)責(zé)任的開(kāi)發(fā)人員將努力關(guān)閉在其主題或插件中發(fā)現(xiàn)的任何安全漏洞，并且通常會(huì)發(fā)布包含針對(duì)任何最近發(fā)現(xiàn)的漏洞的解決方案的更新。因此，讓您的主題和插件保持最新很重要。

據(jù) WPBeginner 稱，86% 的網(wǎng)站因軟件過(guò)時(shí)而遭到黑客攻擊。為了最大限度地降低您的風(fēng)險(xiǎn)，請(qǐng)務(wù)必在更新可用時(shí)立即安裝：

在某些時(shí)候，您可能不再需要特定的主題或插件。如果您只是停用有問(wèn)題的軟件，那么黑客仍然可以利用其代碼。例如，黑客通常針對(duì)特定插件中的單個(gè) PHP 文件。

如果您只是停用主題或插件，那么這些 PHP 文件仍可訪問(wèn)，因此仍可被利用。這意味著刪除不再需要的擴(kuò)展程序至關(guān)重要。

5. 安裝 Web 應(yīng)用程序防火墻 (WAF)

主題和插件可能會(huì)給您的網(wǎng)站帶來(lái)漏洞。理想情況下，當(dāng)發(fā)現(xiàn)此類問(wèn)題時(shí)，主題或插件開(kāi)發(fā)人員會(huì)急于修補(bǔ)問(wèn)題并發(fā)布更新。

然而，情況并非總是如此，因?yàn)橐恍?fù)雜的漏洞可能需要時(shí)間來(lái)修復(fù)。雖然我們總是建議刪除不安全的軟件，但這并不總是可行的。例如，可能有問(wèn)題的插件提供了您網(wǎng)站的核心功能。

如果您確實(shí)需要繼續(xù)使用易受攻擊的插件，那么您可以讓黑客更難以濫用這些已知的安全漏洞。一種方法是使用 Web 應(yīng)用程序防火墻 (WAF) 在惡意請(qǐng)求到達(dá)您的 WordPress 網(wǎng)站之前將其過(guò)濾掉。這也可以保護(hù)您的站點(diǎn)免受跨站點(diǎn)腳本 (XSS) 攻擊。

有幾個(gè)可用于 WordPress 的 WAF 插件。但是，Wordfence 端點(diǎn)防火墻是一個(gè)流行的選項(xiàng)：

安裝并激活 Wordfence 后，最好將此插件留在 Learn More 中至少一周，然后再啟用其防火墻。這可以幫助您避免誤報(bào)，即 Wordfence 會(huì)阻止合法活動(dòng)。

當(dāng)插件處于學(xué)習(xí)模式時(shí)，您應(yīng)該在您的 WordPress 網(wǎng)站上執(zhí)行盡可能多的不同操作。這為 Wordfence 提供了學(xué)習(xí)如何保護(hù)您的網(wǎng)站的最佳機(jī)會(huì)，同時(shí)還允許正常活動(dòng)和訪問(wèn)者通過(guò)其防火墻。

您可以通過(guò)導(dǎo)航到Wordfence > Firewall將 Wordfence 置于學(xué)習(xí)模式。然后打開(kāi)Web 應(yīng)用程序防火墻狀態(tài)下拉菜單并選擇學(xué)習(xí)模式：

保存您的更改，Wordfence 將開(kāi)始監(jiān)控您的網(wǎng)站。當(dāng)您準(zhǔn)備好將 Wordfence 退出學(xué)習(xí)模式時(shí)，您可以通過(guò)導(dǎo)航到Wordfence > 防火墻來(lái)啟用防火墻。然后打開(kāi)下拉菜單并選擇啟用和保護(hù)。

6.激活雙重身份驗(yàn)證（2FA）

使用強(qiáng)密碼保護(hù)您的網(wǎng)站非常重要。但是，在某些基于密碼的攻擊中，您的登錄憑據(jù)的強(qiáng)度不會(huì)影響該攻擊是成功還是失敗。這包括撞庫(kù)攻擊，黑客試圖使用數(shù)千甚至數(shù)百萬(wàn)個(gè)用戶名和密碼組合侵入您的儀表板。甚至還有擊鍵記錄程序可以監(jiān)控您的鍵盤(pán)并記錄您鍵入的每一件事，包括您的密碼。

防止這些攻擊的一種方法是啟用兩因素身份驗(yàn)證 (2FA)。激活此功能后，任何試圖訪問(wèn)您的 WordPress 網(wǎng)站的人都需要輸入正確的登錄詳細(xì)信息，然后通過(guò)額外的安全檢查——例如回復(fù)手機(jī)上的推送通知或輸入發(fā)送到其電子郵件地址的代碼——才能訪問(wèn)您的網(wǎng)站。

通過(guò)激活 2FA，您可以使第三方更難訪問(wèn)您的網(wǎng)站。您可以使用Google Authenticator或Microsoft Authenticator等移動(dòng)應(yīng)用程序設(shè)置 2FA?：

安裝您選擇的移動(dòng)應(yīng)用程序后，A2 Hosting 客戶可以通過(guò)登錄他們的帳戶并導(dǎo)航到Account > Edit Account Details來(lái)啟用 2FA 。然后，您可以在左側(cè)菜單中選擇安全設(shè)置：

在隨后的頁(yè)面上，選擇單擊此處啟用。然后，您將被引導(dǎo)完成將您的 WordPress 網(wǎng)站鏈接到您的身份驗(yàn)證器移動(dòng)應(yīng)用程序的過(guò)程：

作為此過(guò)程的一部分，我們將為您提供備用代碼。如果您無(wú)法訪問(wèn)身份驗(yàn)證器應(yīng)用程序，則可以使用此代碼恢復(fù)您的 WordPress 網(wǎng)站。為避免被鎖定在您的網(wǎng)站之外，記下此代碼并將其保存在安全的地方至關(guān)重要。

7. 考慮禁用 XML-RPC

Pingbacks 是一種通知其他網(wǎng)站您已鏈接到其內(nèi)容的方法，反之亦然。默認(rèn)情況下，它們?cè)?WordPress 中啟用。雖然此功能可以更輕松地回復(fù)提及您網(wǎng)站的評(píng)論，但它也可以使您的網(wǎng)站更容易受到 DDoS 攻擊。

XML-RPC 接口使 WordPress pingbacks 成為可能。但是，攻擊者可能會(huì)使用此功能通過(guò) pingback 轟炸您的網(wǎng)站。這可能會(huì)使您的服務(wù)器超載，甚至可能使您的站點(diǎn)脫機(jī)。出于這個(gè)原因，您可能需要考慮使用REST XML-RPC Data Checker禁用 XML-RPC 接口。

如果您決定禁用 pingback，請(qǐng)?jiān)谀?WordPress 儀表板中安裝并激活此插件。然后導(dǎo)航到Settings > REST XML-RPC Data Checker。接下來(lái)，選擇XML-RPC選項(xiàng)卡并選擇禁用 XML-RPC API 接口：

現(xiàn)在您只需要保存您的更改，您的網(wǎng)站將禁用 pingback。如果您不想使用插件，那么您可以在所有傳入的 XML-RPC 請(qǐng)求被傳遞到您的站點(diǎn)之前阻止它們。

此技術(shù)確實(shí)需要您在代碼級(jí)別編輯您的站點(diǎn)，因此在繼續(xù)之前創(chuàng)建完整備份是明智的。如果您是 A2 Hosting 客戶，我們提供兩種備份工具，您可以通過(guò) cPanel 訪問(wèn)它們：

創(chuàng)建備份后，使用FileZilla等 FTP 客戶端通過(guò)文件傳輸協(xié)議 (FTP) 連接到您的服務(wù)器。然后，您可以打開(kāi).htcaccess文件進(jìn)行編輯并添加以下內(nèi)容：

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

不要忘記保存您的更改并將文件重新上傳到您的服務(wù)器。要驗(yàn)證 XML-RPC 現(xiàn)在是否已禁用，請(qǐng)轉(zhuǎn)到XML-RPC Validator并輸入您網(wǎng)站的 URL。如果 XML-RPC 被禁用，則驗(yàn)證器應(yīng)顯示錯(cuò)誤消息。

8. 刪除 WordPress 主題編輯器

默認(rèn)情況下，您可以使用 WordPress 的內(nèi)置主題編輯器修改您的主題。雖然這有助于創(chuàng)建自定義主題，但它也是黑客向您的網(wǎng)站注入惡意代碼的一種方式：

如果您不需要主題編輯器，那么您可能需要考慮禁用它。這需要您編輯網(wǎng)站的代碼，因此我們建議您在繼續(xù)之前創(chuàng)建備份。

要禁用編輯器，您需要使用 FTP 客戶端連接到您的服務(wù)器。然后，您可以打開(kāi)wp-config.php文件并在“就是這樣，停止編輯！快樂(lè)出版”：

define( 'DISALLOW_FILE_EDIT', true );

保存您的更改，主題編輯器將從您的 WordPress 儀表板中消失。如果您需要在任何時(shí)候恢復(fù)主題編輯器，那么只需使用 FTP 連接到您的服務(wù)器并刪除DISALLOW_FILE_EDIT代碼行。

9. 保護(hù)您的數(shù)據(jù)庫(kù)免受 SQL 注入攻擊

黑客可能會(huì)通過(guò)將惡意 SQL 查詢注入您的 MySQL 數(shù)據(jù)庫(kù)來(lái)嘗試訪問(wèn)您的 WordPress 帳戶。黑客可以通過(guò)任何接受用戶輸入的內(nèi)容發(fā)起這些 SQL 注入攻擊。這包括許多網(wǎng)站主食，例如評(píng)論部分和聯(lián)系表格。

由于 MySQL 容易受到注入攻擊，因此保持?jǐn)?shù)據(jù)庫(kù)處于最新?tīng)顟B(tài)非常重要。使用與您的網(wǎng)站、公司或您個(gè)人無(wú)關(guān)的強(qiáng)密碼保護(hù)您的 MySQL 數(shù)據(jù)庫(kù)也很重要。在這里，使用密碼生成器（例如Strong Random Password Generator或LastPass?）可能會(huì)有所幫助：

您還可以通過(guò)使用唯一的數(shù)據(jù)庫(kù)名稱使黑客更難識(shí)別您的數(shù)據(jù)庫(kù)。A2 Hosting 客戶可以隨時(shí)通過(guò)登錄 cPanel 然后訪問(wèn)phpMyAdmin工具來(lái)更改他們的 WordPress 數(shù)據(jù)庫(kù)名稱。

在左側(cè)菜單中，選擇要重命名的數(shù)據(jù)庫(kù)。然后打開(kāi)操作選項(xiàng)卡：

在這里，輸入您要使用的名稱，然后單擊Go。出現(xiàn)提示時(shí)，選擇重新加載數(shù)據(jù)庫(kù)。

結(jié)論

作為世界上最受歡迎的內(nèi)容管理系統(tǒng)之一，黑客總是渴望發(fā)現(xiàn) WordPress 主題、插件和核心中的漏洞。如果惡意第三方確實(shí)設(shè)法識(shí)別出安全漏洞，他們可能會(huì)使用它來(lái)對(duì)數(shù)百萬(wàn)個(gè) WordPress 網(wǎng)站（包括您的網(wǎng)站）發(fā)起攻擊。

通過(guò)遵循一些簡(jiǎn)單的安全預(yù)防措施，您可以立即使您的網(wǎng)站不易受到攻擊。通過(guò)仔細(xì)審查所有主題和插件并安裝 SSL 證書(shū)，從基礎(chǔ)開(kāi)始非常重要。一旦您有了堅(jiān)實(shí)的基礎(chǔ)，我們建議您探索更高級(jí)的安全策略，例如啟用 2FA 并盡可能禁用主題編輯器和 XML-RPC。