日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

談到wordpress安全性，您可以采取很多措施來鎖定您的網(wǎng)站，以防止黑客和漏洞影響您的電子商務(wù)網(wǎng)站或博客。您最不想發(fā)生的事情是一天早上醒來發(fā)現(xiàn)您的網(wǎng)站一團糟。因此，今天我們將分享許多技巧、策略和技術(shù)，您可以使用這些技巧、策略和技術(shù)來提高WordPress安全性并保持受保護。

WordPress安全嗎？

您可能想知道的第一個問題是WordPress安全嗎？多半是對的。然而，WordPress通常會因為容易出現(xiàn)安全漏洞并且本質(zhì)上不是用于企業(yè)的安全平臺而受到批評。這通常是由于用戶一直遵循經(jīng)過行業(yè)驗證的安全最差做法。

使用過時的WordPress軟件、無效的插件、糟糕的系統(tǒng)管理、憑據(jù)管理以及非技術(shù)人員WordPress用戶缺乏必要的Web和安全知識，使黑客能夠控制他們的網(wǎng)絡(luò)犯罪游戲。即使是行業(yè)領(lǐng)導(dǎo)者也不總是使用最佳實踐。路透社被黑是因為他們使用的是過時的WordPress版本。

從根本上說，安全并不是完全安全的系統(tǒng)。這樣的事情很可能是不切實際的，或者不可能找到和/或維護。然而，安全是降低風險，而不是消除風險。這是關(guān)于在合理范圍內(nèi)使用所有可用的適當控件，使您可以改善整體姿勢，從而降低使自己成為目標并隨后被黑客入侵的可能性。– WordPress安全法典

現(xiàn)在，這并不是說漏洞不存在。根據(jù)多平臺安全公司Sucuri 2017年第三季度的一項研究， WordPress繼續(xù)領(lǐng)先于他們工作的受感染網(wǎng)站（83%）。 這一比例高于2016年的74%。

WordPress安全漏洞

WordPress為Internet上超過43.0%的網(wǎng)站提供支持，并且擁有數(shù)十萬個主題和插件組合，因此存在漏洞并不斷被發(fā)現(xiàn)也就不足為奇了。但是，圍繞WordPress平臺也有一個很棒的社區(qū)，以確保這些東西盡快得到修補。截至2022年，WordPress安全團隊由大約50名（高于2017年的25名）專家組成，其中包括首席開發(fā)人員和安全研究人員——大約一半是Automattic的員工，還有一些人在網(wǎng)絡(luò)安全領(lǐng)域工作。

WordPress漏洞

在下面查看一些不同類型的WordPress安全漏洞。

• Backdoors（后門）
• Pharma Hacks
• Brute-force Login Attempts（暴力登錄嘗試）
• Malicious Redirects（惡意重定向）
• Cross-site Scripting (XSS，跨站腳本)
• Denial of Service

Backdoors（后門）

這個名副其實的后門漏洞為黑客提供了繞過安全加密的隱藏通道，以通過異常方法（ wp-Admin、SFTP 、FTP等）訪問WordPress網(wǎng)站。一旦被利用，后門使黑客能夠通過跨站點污染對托管服務(wù)器造成嚴重破壞攻擊——危害托管在同一服務(wù)器上的多個站點。在2017年第三季度， Sucuri報告說，后門仍然是攻擊者采取的眾多黑客攻擊后行動之一，71%的受感染網(wǎng)站具有某種形式的后門注入。

惡意軟件家族分布

后門通常被加密以看起來像合法的WordPress系統(tǒng)文件，并通過利用平臺過時版本中的弱點和錯誤進入WordPress數(shù)據(jù)庫。TimThumb慘敗是利用黑幕腳本和過時軟件危害數(shù)百萬網(wǎng)站的后門漏洞的典型例子。

幸運的是，這個漏洞的預(yù)防和治療相當簡單。您可以使用SiteCheck等工具掃描您的WordPress網(wǎng)站，  該工具可以輕松檢測常見的后門程序。雙重身份驗證、阻止IP、限制管理員訪問和防止未經(jīng)授權(quán)執(zhí)行PHP文件很容易解決常見的后門威脅，我們將在下面詳細介紹。Canton Becker 也有一篇關(guān)于清理WordPress安裝上的后門混亂的好文章。

Pharma Hack

Pharma Hack漏洞用于在過時版本的WordPress網(wǎng)站和插件中插入惡意代碼，導(dǎo)致搜索引擎在搜索受感染網(wǎng)站時返回藥品廣告。與傳統(tǒng)的惡意軟件相比，該漏洞更像是垃圾郵件威脅，但讓搜索引擎有足夠的理由阻止該網(wǎng)站以散布垃圾郵件的指控。

Pharma Hack的移動部分包括插件和數(shù)據(jù)庫中的后門，可以按照Sucuri博客中的說明進行清理。然而，這些漏洞利用通常是隱藏在數(shù)據(jù)庫中的加密惡意注入的惡意變種，需要徹底的清理過程來修復(fù)漏洞。不過，您可以使用推薦的WordPress托管服務(wù)提供商和最新的服務(wù)器并定期更新您的WordPress安裝、主題和插件，從而輕松防止Pharma Hacks。

Brute-force Login Attempts（暴力登錄嘗試）

蠻力登錄嘗試使用自動化腳本來利用弱密碼并獲得對您網(wǎng)站的訪問權(quán)限。兩步驗證、限制登錄嘗試、監(jiān)控未經(jīng)授權(quán)的登錄、阻止IP和使用強密碼是防止暴力攻擊的一些最簡單和高效的方法。但不幸的是，許多WordPress網(wǎng)站所有者未能執(zhí)行這些安全措施，而黑客很容易在一天內(nèi)使用暴力攻擊破壞多達30,000個網(wǎng)站。

Malicious Redirects（惡意重定向）

惡意重定向使用FTP、SFTP、wp-admin和其他協(xié)議在WordPress安裝中創(chuàng)建后門，并將重定向代碼注入網(wǎng)站。重定向通常以編碼形式放置在您的 .htaccess文件和其他WordPress核心文件中，將網(wǎng)絡(luò)流量引導(dǎo)至惡意站點。我們將在下面的WordPress安全步驟中介紹一些可以防止這些問題的方法。

跨站腳本 (XSS)

跨站點腳本 (XSS) 是指將惡意腳本注入到受信任的網(wǎng)站或應(yīng)用程序中。攻擊者使用它在不知情的情況下向最終用戶發(fā)送惡意代碼，通常是瀏覽器端腳本。目的通常是獲取cookie或會話數(shù)據(jù)，甚至可能重寫頁面上的HTML。

根據(jù)WordFence的說法，跨站腳本漏洞是WordPress插件中最常見的漏洞。

Denial of Service

可能是其中最危險的一個，拒絕服務(wù) (DDoS)漏洞利用代碼中的錯誤和錯誤來淹沒網(wǎng)站操作系統(tǒng)的內(nèi)存。黑客通過DDoS攻擊利用過時且有漏洞的WordPress軟件版本，入侵了數(shù)百萬個網(wǎng)站并賺取了數(shù)百萬美元。盡管出于經(jīng)濟動機的網(wǎng)絡(luò)犯罪分子不太可??能以小公司為目標，但他們往往會破壞過時的易受攻擊的網(wǎng)站，以創(chuàng)建僵尸網(wǎng)絡(luò)鏈來攻擊大型企業(yè)。

即使是最新版本的WordPress軟件也無法全面防御備受矚目的DDoS攻擊，但至少可以幫助您避免陷入金融機構(gòu)與老練網(wǎng)絡(luò)犯罪分子之間的交火中。不要忘記2016年10月21日。這是互聯(lián)網(wǎng)因DNS DDoS攻擊而癱瘓的日子。

WordPress安全指南 2022

根據(jù)互聯(lián)網(wǎng)實時統(tǒng)計，每天有超過100,000個網(wǎng)站被黑客入侵。這就是為什么花一些時間閱讀以下關(guān)于如何更好地加強WordPress安全性的建議如此重要的原因。

WordPress網(wǎng)站每天都被黑客入侵

隨著WordPress平臺的變化和新漏洞的出現(xiàn)，我們將確保及時更新這篇文章的相關(guān)信息。

1. 安全的WordPress托管

談到WordPress安全性，不僅僅是鎖定您的網(wǎng)站，盡管我們將在下面為您提供有關(guān)如何做到這一點的最佳建議。您的WordPress主機還負責Web服務(wù)器級別的安全性。

選擇一個您可以信任的主機非常重要。或者，如果您在自己的VPS上托管WordPress，那么您需要具備自己做這些事情的技術(shù)知識。

安全的WordPress托管

服務(wù)器加固是維護完全安全的WordPress環(huán)境的關(guān)鍵。它需要多層硬件和軟件級別的安全措施來確保托管WordPress站點的IT基礎(chǔ)架構(gòu)能夠防御物理和虛擬的復(fù)雜威脅。

因此，托管WordPress的服務(wù)器應(yīng)使用最新的操作系統(tǒng)和（安全）軟件進行更新，并徹底測試和掃描漏洞和惡意軟件。

在服務(wù)器上安裝WordPress之前，服務(wù)器級防火墻和入侵檢測系統(tǒng)應(yīng)該到位，即使在WordPress安裝和網(wǎng)站建設(shè)階段也能得到很好的保護。但是，機器上安裝的每個旨在保護 WordPress 內(nèi)容的軟件都應(yīng)該與最新的數(shù)據(jù)庫管理系統(tǒng)兼容，以保持最佳性能。服務(wù)器還應(yīng)配置為使用安全網(wǎng)絡(luò)和文件傳輸加密協(xié)議（例如SFTP而不是FTP），以隱藏敏感內(nèi)容免受惡意入侵者的侵害。

托管服務(wù)器架構(gòu)示例

2.使用最新的PHP版本

PHP是您的WordPress網(wǎng)站的支柱，因此在您的服務(wù)器上使用最新版本非常重要。PHP的每個主要版本通常在發(fā)布后的兩年內(nèi)都得到完全支持。在此期間，會定期修復(fù)錯誤和安全問題并進行修補。截至目前，在PHP 7.1或更低版本上運行的任何人都不再擁有安全支持，并且面臨未修補的安全漏洞。

支持的PHP版本

你猜怎么著？根據(jù)官方WordPress Stats頁面，截至撰寫本文時，超過57%的WordPress用戶仍在使用PHP 5.6或更低版本。如果將此與PHP 7.0結(jié)合使用，則高達77.5%的用戶當前正在使用不再受支持的PHP版本。那太可怕了！

有時，企業(yè)和開發(fā)人員確實需要時間來測試并確保與他們的代碼兼容，但他們沒有借口在沒有安全支持的情況下運行。更不用說在舊版本上運行的巨大性能影響了。

WordPress PHP版本統(tǒng)計

不知道您當前使用的是哪個版本的PHP？大多數(shù)主機通常將其包含在您網(wǎng)站的標頭請求中。一種快速檢查方法是通過Pingdom運行您的站點。單擊第一個請求并查找X-Powered-By參數(shù)。通常，這將顯示您的Web服務(wù)器當前使用的PHP版本。但是，出于安全原因，某些主機會刪除此標頭。部分服務(wù)器默認會刪除此標頭以確保您的網(wǎng)站安全。

在Pingdom中檢查PHP版本

在寶塔面板，您甚至可以通過儀表盤中的按鈕在PHP版本之間切換。

寶塔面板切換PHP版本

如果您在使用cPanel的WordPress主機上，通?？梢酝ㄟ^單擊軟件類別下的“PHP Select”在PHP版本之間切換。

cPanel PHP版

3.使用聰明的用戶名和密碼

令人驚訝的是，加強WordPress安全性的最佳方法之一就是簡單地使用巧妙的用戶名和密碼。聽起來很容易對吧？好吧，看看SplashData的2019年全年最常被盜密碼的年度列表（按受歡迎程度排序）。

• 123456
• password
• 123456789
• 12345678
• 12345
• 111111
• 1234567
• sunshine
• qwerty
• iloveyou

沒錯！最受歡迎的密碼是“123456”，其次是一個驚人的“密碼”。

強制使用安全的WordPress密碼

核心WordPress的wp_hash_password 函數(shù)使用phpass密碼散列框架和八次基于MD5的散列。

一些最好的安全性從基礎(chǔ)開始。Google對如何選擇強密碼有一些很好的建議?；蛘?，您可以使用強密碼生成器等在線工具。您可以在此處了解有關(guān)如何更改WordPress密碼的更多信息。

為每個網(wǎng)站使用不同的密碼也很重要。存儲它們的最佳方式是本地存儲在計算機上的加密數(shù)據(jù)庫中。KeePass是一個很好的免費工具。如果您不想走這條路，還有在線密碼管理器，例如1Password或LastPass。即使您的數(shù)據(jù)安全地托管在云中，這些通常也更安全，因為您沒有在多個站點上使用相同的密碼。它還可以防止您使用便簽。

就您的WordPress安裝而言，您永遠不應(yīng)該使用默認的“admin”用戶名。為管理員帳戶創(chuàng)建一個唯一的WordPress用戶名，并刪除“admin”用戶（如果存在）。您可以通過在儀表盤的“用戶”下添加一個新用戶并為其分配“管理員”配置文件（如下所示）來執(zhí)行此操作。

WordPress管理員角色

為新帳戶分配管理員角色后，您可以返回并刪除原來的“管理員”用戶。確保在單擊刪除時選擇“將所有內(nèi)容歸于”選項并選擇新的管理員配置文件。這將指定此人作為這些文章的作者。

將所有內(nèi)容歸于管理員

您還可以使用以下命令在phpMyAdmin中手動重命名您當前的管理員用戶名。確保在編輯表格之前備份您的數(shù)據(jù)庫。

UPDATE wp_users SET user_login = 'newcomplexadminuser' WHERE user_login = 'admin';

4. 始終使用最新版本的WordPress、插件和主題

加強WordPress安全性的另一個非常重要的方法是始終保持最新狀態(tài)。這包括WordPress核心、插件和主題（來自WordPress插件庫和高級版）。這些更新是有原因的，很多時候這些包括安全增強和錯誤修復(fù)。我們建議您閱讀我們關(guān)于WordPress自動更新如何工作的深入指南。

讓W(xué)ordPress保持最新狀態(tài)

不幸的是，數(shù)以百萬計的企業(yè)運行著過時版本的WordPress軟件和插件，但仍然相信他們正走在商業(yè)成功的正確道路上。他們列舉了不更新的原因，例如“他們的站點將崩潰”或“核心修改將消失”或“插件 X 無法工作”或“他們只是不需要新功能”。

事實上，網(wǎng)站崩潰主要是因為舊 WordPress 版本中的錯誤。WordPress團隊和了解所涉及風險的專家開發(fā)人員從不推薦核心修改。WordPress更新主要包括必備的安全補丁以及運行最新插件所需的附加功能。

您是否知道據(jù)報道 插件漏洞占黑客已知入口點的55.9% ？這就是WordFence在一項研究中發(fā)現(xiàn)的，他們采訪了1,000多名WordPress網(wǎng)站所有者，這些網(wǎng)站所有者都是攻擊的受害者。通過更新您的插件，您可以更好地確保您不是這些受害者之一。

被黑的WordPress 網(wǎng)站

還建議您只安裝受信任的插件。WordPress插件庫中的“特色”和“流行”類別可能是一個很好的起點。或者直接從開發(fā)者網(wǎng)站下載。我們強烈反對使用無效的WordPress插件和主題。

首先，您永遠不知道修改后的代碼可能包含什么。這很容易導(dǎo)致您的網(wǎng)站被黑客入侵。不為高級 WordPress 插件付費也無助于整個社區(qū)的發(fā)展。我們需要支持開發(fā)人員。

以下是正確刪除WordPress主題的方法。

您可以使用像VirusTotal這樣的在線工具 來掃描插件或主題的文件，以查看它是否檢測到任何類型的惡意軟件。

病毒總數(shù)

如何更新WordPress核心

有幾種簡單的方法可以更新您的WordPress安裝。

要更新WordPress核心，您可以單擊WordPress儀表盤中的“更新”，然后單擊“立即更新”按鈕。

更新WordPress核心

您還可以通過下載最新版本并通過SFTP上傳來手動更新WordPress。

重要的！如果操作不正確，覆蓋錯誤的文件夾可能會破壞您的網(wǎng)站。如果您對此感到不自在，請先咨詢開發(fā)人員。

請按照以下步驟更新現(xiàn)有安裝：

如何更新WordPress插件

更新WordPress插件與更新WordPress核心的過程非常相似。單擊WordPress儀表盤中的“更新”，選擇要更新的插件，然后單擊“更新插件”。

更新WordPress插件

同樣，您也可以手動更新插件。只需從插件開發(fā)人員或WordPress插件庫中獲取最新版本并通過FTP上傳，覆蓋目錄中的現(xiàn)有插件 /wp-content/plugins。

同樣重要的是要注意，開發(fā)人員并不總是讓他們的插件保持最新。WP Loop的團隊對存儲庫中有多少WordPress插件沒有跟上當前的WordPress核心進行了很好的分析。 根據(jù)他們的研究 ，插件庫中將近50%的插件在2年多的時間里沒有更新。

這并不意味著該插件不適用于當前版本的WordPress，但建議您選擇積極更新的插件。過時的插件更有可能包含安全漏洞。

img src：WP循環(huán)

在插件方面使用您的最佳判斷。查看“上次更新”日期和插件有多少評分。如下例所示，這個已經(jīng)過時并且評論很差，所以我們很可能會建議遠離它。WordPress在大多數(shù)一段時間未更新的插件頂部也有一個警告。

評分不佳的舊WordPress插件

還有很多資源可以幫助您掌握最新的WordPress安全更新和漏洞。請參閱下面的一些：

• WP Security Bloggers : 一個包含20多個安全源的很棒的聚合資源。
• WPScan漏洞數(shù)據(jù)庫：目錄超過10,000個WordPress核心、插件和主題漏洞。
• ThreatPress：每日更新的WordPress插件、主題和WordPress核心漏洞數(shù)據(jù)庫。
• 官方WordPress安全檔案

WordPress安全檔案

5. 鎖定您的WordPress管理后臺

有時，流行的WordPress隱蔽安全策略對于普通的在線業(yè)務(wù)和WordPress網(wǎng)站來說是適當有效的。如果您讓黑客更難找到某些后門，那么您受到攻擊的可能性就會降低。鎖定您的WordPress管理后臺并登錄是增強安全性的好方法。兩種很好的方法是首先更改您的默認wp-admin登錄URL并限制登錄嘗試。

如何更改您的WordPress登錄URL

默認情況下，您的WordPress站點的登錄URL是 domain.com/wp-admin。問題之一是所有的機器人、黑客和腳本都知道這一點。通過更改URL，您可以減少自己的目標并更好地保護自己免受暴力攻擊。這不是萬能的解決方案，它只是一個小技巧，絕對可以幫助保護您。

要更改您的WordPress登錄 URL，我們建議使用免費的WPS Hide login插件或高級Perfmatters插件。這兩個插件都有一個簡單的輸入字段。請記住選擇一些獨特的東西，這些東西不會出現(xiàn)在機器人或腳本可能會嘗試掃描的列表中。

使用Perfmatters隱藏WordPress登錄URL

如何限制登錄嘗試

雖然上述更改管理員登錄URL的解決方案可以幫助減少大多數(shù)錯誤登錄嘗試，但設(shè)置限制也非常有效。免費的Cerber Limit Login Attempts插件是輕松設(shè)置鎖定持續(xù)時間、登錄嘗試以及IP白名單和黑名單的好方法。

限制WordPress中的登錄嘗試

如果您正在尋找更簡單的WordPress安全解決方案，另一個不錯的選擇是免費的Login Lockdown插件。登錄鎖定記錄每次失敗登錄嘗試的IP地址和時間戳。如果在短時間內(nèi)從同一IP范圍內(nèi)檢測到超過一定次數(shù)的嘗試，則對該范圍內(nèi)的所有請求禁用登錄功能。并且完全兼容我們上面提到的WPS Hide登錄插件。

鎖定WordPress

如何添加基本HTTP身份驗證（htpasswd保護）

鎖定管理員的另一種方法是添加HTTP身份驗證。這需要用戶名和密碼才能訪問WordPress登錄頁面。注意：這通常不應(yīng)在電子商務(wù)網(wǎng)站或會員網(wǎng)站上使用。但這可能是防止機器人訪問您的網(wǎng)站的一種非常有效的方法。

.htpasswd身份驗證提示

Apache

如果您使用的是cPanel主機，您可以從其控制面板啟用受密碼保護的目錄。要手動設(shè)置，您首先需要創(chuàng)建一個 .htpasswd文件。您可以使用這個方便的生成器工具。然后將文件上傳到你的wp-admin文件夾下的一個目錄，例如：

home/user/.htpasswds/public_html/wp-admin/htpasswd/

然后使用以下代碼創(chuàng)建一個.htaccess文件并將其上傳到您的/wp-admin/目錄。確保更新目錄路徑和用戶名。

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername

這樣做的一個警告是它會破壞您網(wǎng)站前端的AJAX (admin-ajax)。這是某些第三方插件所必需的。因此，您還需要將以下代碼添加到上述 .htaccess文件中。

Order allow,deny
Allow from all
Satisfy any

Nginx

如果您正在運行Nginx，您還可以使用HTTP基本身份驗證來限制訪問。看看這個教程。

啟用后，您的WordPress網(wǎng)站將需要身份驗證才能訪問它。您可以隨時更改憑據(jù)或在不再需要時將其禁用。

鎖定URL路徑

如果您使用的是Cloudflare或Sucuri等Web應(yīng)用程序防火墻 (WAF)，它們也有辦法鎖定URL路徑。本質(zhì)上，您可以設(shè)置一個規(guī)則，以便只有您的IP地址才能訪問您的WordPress管理員登錄URL。同樣，這通常不應(yīng)在電子商務(wù)網(wǎng)站或會員網(wǎng)站上使用，因為它們也依賴于訪問您網(wǎng)站的后端。

• Cloudflare在其Pro和更高級別帳戶中具有鎖定URL功能。您可以為任何URL或路徑設(shè)置規(guī)則。
• Sucuri具有黑名單URL路徑功能。然后，您可以將自己的IP列入白名單。

6. 利用雙重身份驗證

當然，我們不能忘記兩因素身份驗證！無論您的密碼有多安全，都存在被他人發(fā)現(xiàn)的風險。雙因素身份驗證涉及一個兩步過程，在該過程中，您不僅需要密碼登錄，還需要第二種方法。它通常是文本 (SMS)、電話或基于時間的一次性密碼 (TOTP)。在大多數(shù)情況下，這可以100%有效地防止對您的WordPress網(wǎng)站的暴力攻擊。為什么？因為攻擊者幾乎不可能同時擁有您的密碼和手機。

關(guān)于雙因素身份驗證，實際上有兩個部分。第一個是您在網(wǎng)絡(luò)托管服務(wù)提供商處擁有的帳戶和/或儀表板。如果有人可以訪問它，他們可能會更改您的密碼、刪除您的網(wǎng)站、更改DNS記錄以及各種可怕的事情。

雙因素身份驗證的第二部分與您的實際WordPress安裝有關(guān)。為此，我們推薦幾個插件：

• Duo Two-Factor Authentication
• Google Authenticator
• Two Factor Authentication

其中許多都有自己的身份驗證器應(yīng)用程序，您可以在手機上安裝：

• Android Duo Mobile App
• iPhone Duo Mobile App
• Android Google Authenticator App
• iPhone Google Authenticator App

安裝和配置上述插件之一后，您通常會在WordPress登錄頁面上有一個額外的字段來輸入您的安全代碼?；蛘撸褂肈uo插件，您首先使用您的憑據(jù)登錄，然后需要選擇一種身份驗證方法，例如Duo Push、呼叫或密碼。

這種方法可以很容易地與更改您的默認登錄URL相結(jié)合，我們之前已經(jīng)討論過。因此，您的WordPress登錄URL不僅只有您知道，而且現(xiàn)在需要額外的身份驗證才能進入。

WordPress兩因子身份驗證器頁面

因此，請確保利用兩因素身份驗證，這可能是增強WordPress安全性的一種簡單方法。

7. 使用HTTPS進行加密連接 – SSL證書

加強WordPress安全性的最容易被忽視的方法之一是安裝SSL證書并通過HTTPS運行您的網(wǎng)站。HTTPS（安全超文本傳輸??協(xié)議）是一種允許您的瀏覽器或Web應(yīng)用程序安全地連接到網(wǎng)站的機制。一個很大的誤解是，如果您不接受信用卡，就不需要SSL。

好吧，讓我們解釋一下為什么HTTPS在電子商務(wù)之外很重要的幾個原因。許多主機，都通過Let’s Encrypt提供免費的SSL證書。

HTTPS加密連接

1. 安全

當然，HTTPS的最大原因是增加了安全性，是的，這確實與電子商務(wù)網(wǎng)站密切相關(guān)。但是，您的登錄信息有多重要？對于那些運行多作者WordPress網(wǎng)站的人，如果您通過HTTP運行，則每次有人登錄時，該信息都會以純文本形式傳遞到服務(wù)器。HTTPS對于維護網(wǎng)站和瀏覽器之間的安全連接至關(guān)重要。這樣，您可以更好地防止黑客和/或中間人訪問您的網(wǎng)站。

因此，無論您擁有博客、新聞網(wǎng)站、代理機構(gòu)等，它們都可以從HTTPS中受益，因為這可以確保不會以純文本形式傳遞任何內(nèi)容。

2. 搜索引擎優(yōu)化

Google已經(jīng)正式表示HTTPS 是一個排名因素。雖然這只是一個很小的排名因素，但你們中的大多數(shù)人可能會利用在SERP中獲得的任何優(yōu)勢來擊敗競爭對手。

3. 信任和信譽

根據(jù)GlobalSign的一項調(diào)查，28.9% 的訪問者會在瀏覽器中尋找綠色地址欄。其中 77% 的人擔心他們的數(shù)據(jù)在網(wǎng)上被截獲或濫用。通過看到那個綠色掛鎖，客戶會立即更加安心，因為他們知道他們的數(shù)據(jù)更加安全。

4. 推薦數(shù)據(jù)

很多人沒有意識到HTTPS到HTTP推薦數(shù)據(jù)在Google Analytics中被阻止。那么數(shù)據(jù)會發(fā)生什么變化呢？好吧，其中大部分只是與“直接流量”部分混為一談。如果有人從HTTP轉(zhuǎn)到HTTPS，則仍會通過引薦來源網(wǎng)址。

5. Chrome警告

自2018年7月24日起，Chrome 68及更高版本開始將所有非HTTPS網(wǎng)站標記為“不安全”。不管他們是否收集數(shù)據(jù)。這就是為什么HTTPS比以往任何時候都更重要的原因！

如果您的網(wǎng)站大部分流量來自Chrome，這一點尤其重要。您可以在瀏覽器和操作系統(tǒng)的受眾部分下查看Google Analytics，以便查看您的WordPress網(wǎng)站從Google Chrome獲得的流量百分比。谷歌讓訪問者更清楚地知道您的WordPress網(wǎng)站可能沒有在安全連接上運行。

Chrome不是一個安全的網(wǎng)站

6. 性能

由于一個稱為HTTP/2的協(xié)議，很多時候，那些通過HTTPS運行經(jīng)過適當優(yōu)化的站點甚至可以看到速度提高。由于瀏覽器支持，HTTP/2需要HTTPS。性能的提升有多種原因，例如HTTP/2能夠支持更好的多路復(fù)用、并行性、Huffman編碼的HPACK壓縮、ALPN擴展和服務(wù)器推送。

使用TLS 1.3，HTTPS 連接速度更快。

現(xiàn)在重新考慮HTTPS？查看我們深入的WordPress HTTPS遷移指南，讓您快速上手，并在我們的TLS與SSL比較中了解更多信息。

要在登錄和管理您的站點時強制在您和服務(wù)器之間建立安全、加密的連接，請將以下行添加到您的wp-config.php文件中：

define('FORCE_SSL_ADMIN', true);

（建議閱讀：如果您使用的是舊TLS版本，您可能需要在Chrome中修復(fù)ERR_SSL_OBSOLETE_VERSION通知）。

8. 強化你的wp-config.php文件

您的wp-config.php文件就像WordPress安裝的核心和靈魂。就WordPress安全性而言，它是您網(wǎng)站上迄今為止最重要的文件。它包含您的數(shù)據(jù)庫登錄信息和安全密鑰，用于處理 cookie 中的信息加密。以下是您可以采取的一些措施來更好地保護這個重要文件。

1.移動wp-config.php

默認情況下，您的wp-config.php文件位于 WordPress 安裝的根目錄（您的 /publicHTML文件夾）中。但是您可以將其移動到非www可訪問的目錄。亞倫亞當斯寫了一個很好的解釋為什么這是有益的。

要移動您的wp-config.php文件，只需將其中的所有內(nèi)容復(fù)制到另一個文件中即可。然后在您的wp-config.php文件中，您可以放置??以下代碼段以簡單地包含您的其他文件。注意：目錄路徑可能因您的網(wǎng)絡(luò)主機和設(shè)置而異。通常雖然它只是上面的一個目錄。

注意：這可能不適用于某些WordPress主機。這是因為出于安全原因，open_basedir限制不允許在 ~/public目錄上方執(zhí)行PHP 。
2. 更新WordPress安全密鑰
WordPress安全密鑰是一組隨機變量，可改進存儲在用戶cookie中的信息的加密。從WordPress 2.7開始，有4個不同的鍵：AUTH_KEY、SECURE_AUTH_KEY、 LOGGED_IN_KEY和 NONCE_KEY.
當您安裝WordPress時，這些是為您隨機生成的。但是，如果您經(jīng)歷了多次遷移（查看我們精選的最佳WordPress遷移插件列表）或從其他人那里購買了網(wǎng)站，那么創(chuàng)建新的WordPress密鑰可能會很好。
WordPress實際上有一個免費工具，您可以使用它來生成隨機密鑰。您可以更新存儲在wp-config.php文件中的當前密鑰。
WordPress安全密鑰
閱讀有關(guān)WordPress安全密鑰的更多信息。
3. 更改權(quán)限
通常，WordPress站點根目錄中的文件將設(shè)置為644，這意味著文件的所有者可以讀取和寫入文件，并且該文件的組所有者中的用戶可以讀取文件，其他所有人都可以讀取文件。根據(jù)WordPress文檔，wp-config.php文件的權(quán)限應(yīng)設(shè)置為440或400，以防止服務(wù)器上的其他用戶讀取它。您可以使用FTP客戶端輕松更改此設(shè)置。
wp-config.php權(quán)限
在某些托管平臺上，權(quán)限可能需要不同，因為運行Web服務(wù)器的用戶沒有寫入文件的權(quán)限。如果您對此不確定，請咨詢您的托管服務(wù)提供商。
9. 禁用XML-RPC
在過去幾年中， XML-RPC已成為暴力攻擊的重要目標。正如Sucuri所提到的，XML-RPC的隱藏特性之一是您可以使用system.multicall方法在單個請求中執(zhí)行多個方法。這非常有用，因為它允許應(yīng)用程序在一個HTTP請求中傳遞多個命令。但也會發(fā)生的是，它被用于惡意目的。
有一些像Jetpack這樣的WordPress插件依賴于XML-RPC，但大多數(shù)人不需要這個，簡單地禁用對它的訪問可能是有益的。不確定XML-RPC當前是否在您的網(wǎng)站上運行？Automattic團隊的Danilo Ercoli編寫了一個名為 XML-RPC Validator的小工具。您可以通過它運行您的WordPress站點以查看它是否啟用了XML-RPC。
WordPress XML-RPC驗證器
要完全禁用此功能，您可以安裝免費的Disable XML-RPC插件?；蛘吣梢允褂酶呒塸erfmatters插件禁用它，該插件還包含Web性能改進。
10. 隱藏你的WordPress版本
隱藏您的WordPress版本再次涉及WordPress安全性的主題。其他人對您的WordPress站點配置了解得越少越好。如果他們看到您正在運行過時的WordPress安裝，這可能是入侵者的一個歡迎信號。默認情況下，WordPress版本顯示在您網(wǎng)站源代碼的標題中。同樣，我們建議您確保您的WordPress安裝始終是最新的，這樣您就不必擔心這一點。
源代碼中的WordPress版本
您可以使用以下代碼來刪除它。只需將其添加到您的WordPress主題functions.php文件中。
重要的！如果操作不當，編輯WordPress主題的源代碼可能會破壞您的網(wǎng)站。
function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');
您還可以使用像 perfmatters這樣的高級插件，它允許您一鍵隱藏WordPress版本，以及對WordPress網(wǎng)站的其他優(yōu)化。
使用Perfmatters隱藏WordPress版本
顯示W(wǎng)ordPress版本的另一個地方是每個WordPress版本中包含的默認文件readme.html（如下所示）。它位于安裝的根目錄中，domain.com/readme.html. 您可以通過FTP安全地刪除此文件。
自述文件中的WordPress版本
如果您運行的是WordPress 5.0或更高版本，則不再適用，因為版本號不再包含在文件中。
11. 添加最新的HTTP安全標頭
加強WordPress安全性的另一個步驟是利用HTTP安全標頭。這些通常在Web服務(wù)器級別配置，并告訴瀏覽器在處理您的站點內(nèi)容時如何表現(xiàn)。有許多不同的HTTP安全標頭，但以下通常是最重要的標頭。
Content-Security Policy
X-XSS-Protection
Strict-Transport-Security
X-Frame-Options
Public-Key-Pins
X-Content-Type
如果您想了解更多關(guān)于HTTP安全標頭的信息，KeyCDN有一篇深入說明的文章。
您可以通過啟動Chrome devtools并查看您網(wǎng)站的初始響應(yīng)中的標頭來檢查您的WordPress網(wǎng)站上當前正在運行哪些標頭。以下是一個網(wǎng)站的示例。您可以看到我們正在使用strict-transport-security、x-content-type和x-frame-options標頭。
HTTP安全標頭
您還可以使用Scott Helme提供的免費securityheaders.io工具掃描您的WordPress網(wǎng)站。這將顯示您當前在您的站點上有哪些HTTP安全標頭。如果您不確定如何實施它們，您可以隨時詢問您的主機是否可以提供幫助。
HTTP安全標頭掃描
注意：同樣重要的是要記住，當您實施HTTP安全標頭時，它可能會如何影響您的WordPress子域。例如，如果您添加內(nèi)容安全策略標頭并限制域訪問，則您還需要添加自己的子域。
12. 使用WordPress安全插件
當然，我們必須提及一些WordPress安全插件。有很多優(yōu)秀的開發(fā)人員和公司提供出色的解決方案來幫助更好地保護您的WordPress網(wǎng)站。這是其中的幾個。
Sucuri Security
iThemes Security
WordFence Security
WP fail2ban
SecuPress
部分服務(wù)器提供商具有硬件防火墻、主動和被動安全性、按分鐘正常運行時間檢查和許多其他高級功能，可防止攻擊者訪問您的數(shù)據(jù)。
以下是上述插件的一些典型功能和用途：
創(chuàng)建用戶配置文件時生成并強制使用強密碼
強制密碼過期并定期重置
用戶操作記錄
輕松更新WordPress安全密鑰
惡意軟件掃描
兩因子身份驗證
重新驗證碼
WordPress安全防火墻
IP白名單
IP黑名單
文件更改日志
監(jiān)控DNS更改
阻止惡意網(wǎng)絡(luò)
查看訪問者的WHOIS信息
許多安全插件的一個非常重要的功能包括校驗和實用程序。這意味著他們檢查您的WordPress安裝并查找對WordPress.org提供的核心文件的修改（通過API）。對這些文件的任何更改或修改都可能表明存在黑客攻擊。您還可以使用WP-CLI運行您自己的checksum。
請務(wù)必閱讀我們關(guān)于文件完整性監(jiān)控的詳盡指南。
另一個值得一提的優(yōu)秀插件是WP Security Audit Log插件。 這對于那些在WordPress多站點或只是多作者站點上工作的人來說太棒了。它有助于確保用戶的工作效率，并讓管理員看到正在更改的所有內(nèi)容；例如登錄、密碼更改、主題更改、小工具更改、新文章創(chuàng)建、WordPress更新等。
這是一個完整的WordPress活動日志解決方案。在撰寫本文時，WP Security Audit Log插件已獲得超過100,000次活動安裝。如果您正在尋找與WordPress多站點兼容的安全解決方案，這是一個絕佳的選擇。
安全審核日志查看器
它還具有額外的高級插件，例如電子郵件通知、用戶會話管理、搜索和報告。查看這些額外的WordPress安全插件，它們可以幫助鎖定壞人。
13. 加強數(shù)據(jù)庫安全
有幾種方法可以提高WordPress數(shù)據(jù)庫的安全性。首先是使用一個巧妙的數(shù)據(jù)庫名稱。如果您的網(wǎng)站名為排球技巧，默認情況下您的WordPress數(shù)據(jù)庫很可能命名為wp_volleyballtricks. 通過將您的數(shù)據(jù)庫名稱更改為更隱蔽的名稱，它有助于保護您的網(wǎng)站，使黑客更難以識別和訪問您的數(shù)據(jù)庫詳細信息。
第二個建議是使用不同的數(shù)據(jù)庫表前綴。默認情況下，WordPress使用wp_. 將其更改為類似的東西39xw_可能會更加安全。當您安裝WordPress時，它會要求提供表前綴（如下所示）。還有一些方法可以更改現(xiàn)有安裝的WordPress表前綴。
WordPress表前綴 – img src: jatinarora
14. 始終使用安全連接
我們怎么強調(diào)使用安全連接的重要性都不為過！確保您的WordPress托管它采取預(yù)防措施，例如提供SFTP或SSH。SFTP或安全文件傳輸協(xié)議（也稱為 SSH 文件傳輸協(xié)議）是用于文件傳輸?shù)木W(wǎng)絡(luò)協(xié)議。與標準FTP相比，這是一種更安全的方法。
確保您的家庭路由器設(shè)置正確也很重要。如果有人入侵了您的家庭網(wǎng)絡(luò)，他們可以訪問各種信息，包括可能存儲您關(guān)于WordPress網(wǎng)站的重要信息的位置。以下是一些簡單的提示：
不要啟用遠程管理 (VPN)。典型用戶從不使用此功能，通過將其關(guān)閉，您可以避免將您的網(wǎng)絡(luò)暴露給外界。
路由器默認使用192.168.1.1等范圍內(nèi)的IP。使用不同的范圍，例如10.9.8.7。
在您的Wifi上啟用最高級別的加密。
將您的Wifi列入IP白名單，以便只有擁有密碼和特定IP的人才能訪問它。
保持路由器上的固件是最新的。
在公共場所登錄您的WordPress網(wǎng)站時，請務(wù)必小心。請記住，星巴克不是一個安全的網(wǎng)絡(luò)！在單擊連接之前采取預(yù)防措施，例如驗證網(wǎng)絡(luò)SSID。您還可以使用ExpressVPN等第3方VPN服務(wù)來加密您的互聯(lián)網(wǎng)流量并隱藏您的IP地址以防黑客。
15.檢查文件和服務(wù)器權(quán)限
安裝和Web服務(wù)器上的文件權(quán)限對于增強WordPress安全性至關(guān)重要。如果權(quán)限太松，有人可以輕松訪問您的網(wǎng)站并造成嚴重破壞。另一方面，如果您的權(quán)限過于嚴格，這可能會破壞您網(wǎng)站上的功能。因此，全面設(shè)置正確的權(quán)限非常重要。
文件權(quán)限
如果用戶有權(quán)讀取文件，則分配讀取權(quán)限。
如果用戶有權(quán)寫入或修改文件，則會分配寫入權(quán)限。
如果用戶有權(quán)運行文件和/或?qū)⑵渥鳛槟_本執(zhí)行，則分配執(zhí)行權(quán)限。
目錄權(quán)限
如果用戶有權(quán)訪問識別的文件夾/目錄的內(nèi)容，則分配讀取權(quán)限。
如果用戶有權(quán)添加或刪除文件夾/目錄中包含的文件，則會分配寫權(quán)限。
如果用戶有權(quán)訪問實際目錄并執(zhí)行功能和命令，包括刪除文件夾/目錄中的數(shù)據(jù)的能力，則分配執(zhí)行權(quán)限。
您可以使用iThemes Security之類的免費插件來掃描您的WordPress網(wǎng)站上的權(quán)限。
WordPress文件權(quán)限掃描
以下是關(guān)于WordPress中文件和文件夾權(quán)限的一些典型權(quán)限建議。有關(guān)更深入的說明，請參閱有關(guān)更改文件權(quán)限的WordPress Codex文章。
所有文件應(yīng)為644或640。例外：wp-config.php應(yīng)為440或400，以防止服務(wù)器上的其他用戶讀取它。
所有目錄應(yīng)為755或750。
任何目錄都不應(yīng)該被賦予777，即使是上傳目錄。
16.在WordPress儀表盤中禁用文件編輯
很多 WordPress 網(wǎng)站都有多個用戶和管理員，這會使WordPress的安全性更加復(fù)雜。一個非常糟糕的做法是授予作者或貢獻者管理員訪問權(quán)限，但不幸的是，這種情況一直都在發(fā)生。為用戶提供正確的角色和權(quán)限非常重要，這樣他們就不會破壞任何東西。因此，簡單地禁用WordPress中的“外觀編輯器”可能是有益的。
你們中的大多數(shù)人可能曾經(jīng)去過那里。你去外觀編輯器中快速編輯一些東西，突然你留下了一個白屏死機。最好在本地編輯文件并通過FTP上傳。當然，在最佳實踐中，您應(yīng)該首先在開發(fā)站點上測試這樣的東西。
WordPress外觀編輯器
此外，如果您的WordPress網(wǎng)站被黑客入侵，他們可能做的第一件事就是嘗試通過外觀編輯器編輯PHP文件或主題。這是他們在您的網(wǎng)站上執(zhí)行惡意代碼的快捷方式。如果他們無法從儀表板訪問此信息，首先，它可以幫助防止攻擊。將以下代碼放入您的wp-config.php文件中以刪除所有用戶的“edit_themes”、“edit_plugins”和“edit_files”函數(shù)。
define('DISALLOW_FILE_EDIT', true);

17.防止盜鏈
盜鏈的概念很簡單。您在Internet上的某個地方找到一張圖片，并直接在您的網(wǎng)站上使用該圖片的URL。此圖像將顯示在您的網(wǎng)站上，但將從原始位置提供。這實際上是盜竊，因為它使用了熱鏈接站點的帶寬。這可能看起來沒什么大不了的，但它可能會產(chǎn)生很多額外的成本。
The Oatmeal就是一個很好的例子?！逗辗翌D郵報》熱鏈接了他的一幅由多張圖片組成的卡通片，并獲得了高達1,000美元以上的賬單。
盜鏈賬單
Apache防盜鏈
要實現(xiàn)Apache服務(wù)器的防盜鏈，只需將以下代碼添加到您的.htaccess文件中。
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]
第二行定義了允許的引薦來源——允許直接鏈接到圖像的站點，這應(yīng)該是您的實際網(wǎng)站。如果您想允許多個站點，您可以復(fù)制此行并替換引薦來源網(wǎng)址。如果你想生成一些更復(fù)雜的規(guī)則，看看這個htaccess hotlink protection generator。
NGINX防盜鏈
為了實現(xiàn)NGINX服務(wù)器防盜鏈，只需將以下代碼添加到您的配置文件中。
location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

CDN防盜鏈
如果您從CDN提供圖像，則設(shè)置可能會略有不同。以下是一些流行的CDN提供商的資源。
使用KeyCDN進行防盜鏈保護
使用Cloudflare進行防盜鏈保護
使用MaxCDN進行防盜鏈保護
18. 始終備份
備份是每個人都知道他們需要但并不總是采取的一件事。上面的大多數(shù)建議都是您可以采取的安全措施，以更好地保護自己。但無論您的網(wǎng)站有多安全，它都永遠不會100%安全。因此，您需要備份以防最壞的情況發(fā)生。
大多數(shù)托管WordPress托管服務(wù)提供商現(xiàn)在都提供備份。
如果您的主機沒有備份，則可以使用一些流行的WordPress服務(wù)和插件來自動化該過程。
WordPress備份服務(wù)
WordPress站點備份服務(wù)的月費通常很低，并將您的備份存儲在云中。
VaultPress  （來自Automattic團隊，現(xiàn)在是Jetpack的一部分）
CodeGuard
BlogVault
WordPress備份插件
WordPress備份插件允許您通過FTP獲取備份或與外部存儲源集成，例如Amazon S3、Google Cloud Storage、Google Drive或Dropbox。我們強烈建議使用增量解決方案，以便它使用更少的資源。
Duplicator
WP Time Capsule
BackupBuddy
UpdraftPlus
BackUpWordPress
BackWPup
WP BackItUp
19. DDoS防護
DDoS是一種DOS攻擊，其中多個系統(tǒng)用于針對單個系統(tǒng)導(dǎo)致拒絕服務(wù) (DoS) 攻擊。DDoS攻擊并不是什么新鮮事——根據(jù)Britannica的說法，第一個記錄在案的案例可以追溯到2000年初。與入侵您的網(wǎng)站的人不同，這些類型的攻擊通常不會損害您的網(wǎng)站，而只會讓您的網(wǎng)站癱瘓幾個小時或幾天.
你能做些什么來保護自己？最好的建議之一是使用信譽良好的3rd方安全服務(wù)，例如Cloudflare 或Sucuri。如果您正在經(jīng)營一家企業(yè)，那么投資他們的高級計劃是有意義的。
來自Cloudflare和Sucuri的DDoS保護
他們先進的DDoS保護可用于緩解各種形式和規(guī)模的DDoS攻擊，包括針對UDP和ICMP協(xié)議的攻擊，以及SYN/ACK、DNS放大和第7層攻擊。其他好處包括將您置于有助于隱藏您的原始IP地址的代理后面，盡管它不是萬無一失的。
請務(wù)必查看我們關(guān)于如何阻止DDoS攻擊的案例研究。我們的客戶有一個運行Easy Digital Downloads的小型電子商務(wù)網(wǎng)站，該網(wǎng)站在7天內(nèi)收到了超過500萬次單個頁面的請求。該站點通常每天僅產(chǎn)生30-40MB的帶寬和數(shù)百名訪問者。但出乎意料的是，該網(wǎng)站立即達到了每天15-19GB 的數(shù)據(jù)傳輸量！這增加了4650%。谷歌分析顯示沒有額外的流量。所以這不好。
來自DDoS攻擊的高帶寬
客戶在他們的站點上實施了Sucuri的Web應(yīng)用程序防火墻，所有帶寬                                                

                                                名稱欄目：WordPress安全指南：19個步驟讓您的WordPress安全防線堅如磐石                                                

                                                文章起源：http://www.dlmjj.cn/article/cdgooig.html