如何保護您的 WordPress 博客

在服務器上設置 WordPress 博客後，保護您的 WordPress 博客是必須做的一件重要事情。沒有任何理由讓您的 WordPress 敞開大門，讓黑客潛入並竊取您的信息或破壞您的數據。花幾個小時保護 WordPress，您將節省無數時間來應對持續的攻擊。本指南介紹了多種保護 WordPress 的方法，以確保您的數據和信息安全。

同樣有幫助的是：您可以為您的 WordPress 網站獲取免費的 SSL 證書，以保護您網站的訪問者。

1. 使用一體化安全插件

為了簡單起見，請從在一個位置處理多個任務的 WordPress 安全插件開始。最好的選擇之一是一體化安全 (AIOS)。憑藉超過一百萬次安裝的令人印象深刻的 5 星級評級，值得將其添加到您的網站。另外，許多功能是完全免費的。

該插件執行以下操作：

• 阻止暴力攻擊
• 啟用雙因素身份驗證
• 對機器人隱藏您的登錄頁面
• 強制喜歡始終保持登錄狀態的用戶註銷
• 有助於提高密碼強度
• 通過添加 64 個新字符（每週更改一次）來改進 WordPress Salts（加密密碼的哈希過程的一部分）
• 添加防火牆保護
• 包括惡意軟件防護（僅限高級版）
• 減少垃圾評論

這只是所包含內容的一小部分。設置所有內容可能需要一段時間，但管理一個插件比管理多個插件更好。

2. 停止暴力攻擊

黑客可以使用暴力攻擊輕鬆破解您的登錄密碼和憑據。為了防止這種情況發生，請安裝登錄鎖定插件。該插件記錄每次失敗的 WordPress 登錄嘗試的 IP 地址和時間戳。一旦檢測到一定次數的失敗嘗試，它將禁用該範圍內所有請求的登錄功能。

它還添加了另外兩個方便的功能：雙因素身份驗證和驗證碼。這些也大大減少了暴力攻擊。

3.使用強密碼

確保您使用他人難以猜到的強密碼。使用數字、特殊字符和大寫/小寫字母的組合來構成您的密碼。您還可以使用 WordPress 2.5 及更高版本上的密碼檢查器來檢查密碼的強度。

使用密碼管理器生成完全隨機且安全的密碼是另一種選擇。即使您不存儲密碼，這些仍然是為您的網站生成唯一密碼的好工具。

4. 保護您的 WP-Admin 文件夾

您的“wp-admin”文件夾包含有關您網站的所有關鍵信息，並且是您最不希望授予其他人訪問權限的地方。保護它的最簡單方法是添加額外的密碼。即使黑客使用用戶的憑據進入您的網站，他們仍然必須找出您的wp-admin文件夾的憑據。至此，您可能已經了解了該漏洞，並且能夠更改被黑客攻擊的用戶的密碼和您的 wp-admin 密碼以提高安全性。

有多種方法可以做到這一點。第一個取決於您的網絡主機。許多提供 cPanel。步驟可能因主機而略有不同。

• 登錄您網站的 cPanel 部分。您的網絡託管服務商將提供有關如何執行此操作的說明。
• 向下滾動到“安全”，然後選擇“密碼保護目錄”。

• 選擇“目錄隱私”。

• 選擇要使用密碼保護的目錄，然後按照提示進行操作。通常會有一個教程進一步介紹如何使用此方法最好地保護目錄。

第二種方法是手動的，通常不推薦，因為如果您做得不正確，您最終可能會被鎖定在網站之外。

• 使用您喜歡的文本編輯器創建一個文本文件並將其命名為“.htaccess”
• 將以下內容添加到文件中，但將 AuthUserFile 路徑更改為您將上傳密碼文件的位置（在下一步中），並將“yourusername”更改為您的用戶名。

AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

• 創建另一個名為“.htpasswd”的文本文件
• 使用 htpasswd 生成器生成文件內容。Hosting Canada、web2generators和AskApache都有易於使用的生成器。填寫生成器後，將給定的文本複製到。您創建的 htpasswd 文件。
• 將這兩個文件複製到您的 wp-admin 文件夾中，一切就完成了。

5.刪除WordPress版本信息

許多 WordPress 主題在元標記中包含 WordPress 版本信息。黑客可以快速掌握這些信息，並針對該版本的安全漏洞策劃特定的攻擊。

刪除 WordPress 版本信息：

• 登錄到您的 WordPress 儀表板。
• 轉到“設計->主題編輯器”。
• 在右側查找您的“標頭”文件。
• 查找以下代碼行：

<meta name="generator"content="WordPress versionnumber"/>

• 刪除此行，然後按“更新文件”。

您還可以使用 WordPress 安全插件（例如Sucuri Security）來隱藏此信息。

6.隱藏你的插件文件夾

如果您訪問您的網站 URL：https://yourwebsite.com/wp-content/plugins 並且您可以看到您使用的插件的完整列表，那麼您的 WordPress 網站不太安全。您可以通過將空的“index.html”上傳到插件目錄來輕鬆隱藏此頁面。

• 打開文本編輯器。將空白文檔另存為“index.html”。
• 使用 FTP 程序將“index.html”上傳到“/wp-content/plugins”文件夾。

同樣有幫助的是：使用這些WordPress 統計插件來衡量您的網站。

7. 更改您的登錄名

默認用戶名是“admin”。保護 WordPress 安全的一個簡單方法就是改變這一點。否則，黑客已經知道您一半的登錄信息。

• 登錄到您的 WordPress 儀表板，然後選擇“用戶”。
• 選擇“新用戶”。

• 將角色設置為“管理員”，然後向所需的電子郵件帳戶發送邀請。接受邀請後，您可以登錄、創建密碼並成為新的管理員帳戶。

• 設置新用戶後，返回“用戶”。
• 找到“admin”帳戶，並將其刪除。
• 選擇“將所有帖子和鏈接歸因於”，然後選擇您的用戶名。
• 按“確認刪除”。

8. 升級到最新版本

WordPress 以及主題和插件會定期更新。這添加了新功能、解決了錯誤並修復了安全漏洞。最後一部分是最重要的。如果黑客意識到您的舊版本存在安全漏洞，他們會立即利用該漏洞。

每月安排一天執行更新。雖然您可能沒有對所有內容進行新更新，但請對可用內容進行更新。這包括您的核心 WordPress 安裝。這是保護 WordPress 安全的簡單方法，但非常有效。

在執行任何重大更新之前，請對您的站點進行完整備份，以防萬一。

9. 定期進行安全掃描

每個 WordPress 安裝都需要一個安全插件。我們已經提到過的一體式安全 (AIOS) 和 Sucuri Security 是不錯的選擇。您還可以嘗試以下操作：

• 字柵欄安全
• i主題安全
• 噴氣背包保護
• SecuPress 免費

10.備份你的WordPress網站

無論您的網站有多安全，您仍然要為最壞的情況做好準備。安裝 WordPress 備份插件，並安排它每天備份您的數據庫。

您有多種選擇，但一些頂級選項包括：

• Jetpack VaultPress 備份
• 上升氣流增強版
• 備份夥伴
• 博客庫
• 多合一 WP 遷移

11. 定義用戶權限

如果您的博客有多個作者，您可以安裝用戶角色編輯器插件來定義每個用戶組的功能。這將使您（博客所有者）能夠控制用戶在博客中可以做什麼和不能做什麼。

12.升級到SSL

如果您沒有 SSL 證書，現在是時候獲取一個了。安全套接字層 (SSL) 是一種對用戶和網站之間發送的內容進行加密的協議。許多網絡主機提供免費或低成本的 SSL 證書，而且安裝起來非常簡單。如果用戶登錄您的網站或進行購買，這些就尤其重要。另外，Google 更喜歡具有 SSL 證書的網站。

• 便捷的 SSL 商店
• 環球標誌
• 數字證書
• SSL 商店

13.禁用文件編輯

您可以直接從網站的管理區域編輯插件和主題代碼。想像一下，如果其他人未經您的許可就開始修改代碼。為了避免令人討厭的意外，請禁用文件編輯。

雖然您可以使用像 Sucuri 這樣的插件，但您也可以在“wp-config.php”文件中添加幾行代碼。

• 在站點的根文件夾中找到“wp-config.php”文件。您可以使用任何您希望訪問文件的 FTP 客戶端。
• 下載該文件並在您喜歡的文本編輯器（例如記事本）中打開它。
• 將以下內容添加到代碼中：

// Disable file editdefine('DISALLOW_FILE_EDIT', true);

• 將現有的“wp-config.php”文件替換為新版本以禁用文件編輯。

同樣有幫助的是：如果您要向網站添加大量媒體，請考慮這些WordPress 圖像優化技巧。

14.使用雙因素身份驗證

即使黑客能夠訪問用戶的登錄信息，雙因素身份驗證 (2FA) 也意味著黑客仍然需要訪問另一個密碼。在這種情況下，代碼通常會發送到用戶的手機。您可以使用安全插件，例如本文前面提到的那些插件，或專用的 2FA 插件，例如miniOrange Google Authenticator或WP 2FA。

圖片來源：Unsplash。克里斯托·克勞德 (Crystal Crowder) 的截圖。