WordPress 安全 – 保护您的网站免受黑客攻击的 24 条提示

管理网站时，WordPress 的安全性应该是首要任务。 您设计网站、发布内容、在线销售产品，但如果您不认真对待 WordPress 安全，您的网站随时可能被黑客入侵。

每天有 30,000 个网站被黑，超过 2,000 个网站被 Google 列入黑名单。 你也不例外。 如果政府网站可以被黑，那为什么不是你的呢？

一天早上，您醒来发现您的 WordPress 网站无法访问，并看到随机消息，例如，

“您的网站被xyz黑客入侵” –该网站被黑客入侵

“前面的网站包含恶意软件”——被谷歌列入黑名单

这是您在网站上可能遇到的最糟糕的事情。

但是，为什么是 WordPress？

WordPress 为网络上超过 31%（8000 万）的网站提供支持。 根据 W3Techs 的说法， WordPress 拥有 60% 的 CMS 市场份额，比其他平台多，这是吸引黑客的一个非常充分的理由。

但不要惊慌。 加强 WordPress 安全性非常容易，您也可以做到。

在本文中，我将分享 24 个最佳 WordPress 安全提示，以保护您的网站免受黑客和恶意软件的侵害。

“为什么不在他们发现之前让你宫殿的大门消失呢？” – WPMyWeb

常见的 WordPress 安全问题

在深入探讨 WordPress 安全最佳实践之前，让我们先了解一些常见的 WordPress 安全问题。

许多用户认为 WordPress 不是用于企业的安全平台，这根本不是真的。 这是由于缺乏 WordPress 安全知识、系统管理不善、使用过时的 WordPress 软件和插件等。

许多 WordPress 初学者认为创建网站是结束，它不需要任何安全维护。 这就是您使您的网站易受攻击的方式。

一旦黑客在您的网站中发现漏洞，他们就可以轻松地利用您的网站。

让我们看看一些常见的 WordPress 安全问题。

1.蛮力攻击：

在蛮力攻击中，使用自动化脚本来生成用户名和密码的各种组合。 黑客使用 WordPress 的登录页面进行暴力攻击。

如果您使用的是简单的用户名和密码，那么您可能成为此攻击的下一个受害者。

2.跨站脚本（XSS）：

跨站点脚本是一种攻击类型，攻击者将恶意代码/脚本注入到受信任的网站上。 这种黑客攻击方法对于浏览网站的用户来说是完全不可见的。

这些恶意脚本匿名加载并从用户的浏览器中窃取信息。 即使用户以任何形式输入任何数据，数据也可能被窃取。

3. SQL注入：

WordPress 使用 MySQL 数据库来存储博客信息。

当黑客访问 WordPress 数据库时，就会发生 SQL 注入。 通过入侵 WordPress 数据库，黑客可以创建一个具有对您网站的完全访问权限的新管理员帐户。

他们还可以将数据插入您的 MySQL 数据库，并添加指向恶意或垃圾邮件网站的链接。

4.后门：

通过名称“后门”，您可以理解它的含义。

后门是一种黑客方法，允许黑客绕过正常的身份验证过程进入网站，甚至不被网站所有者发现。

黑客入侵网站后，黑客通常会留下他们的足迹，这样即使黑客被删除，他们也可以重新访问该网站。

5.制药黑客：

WordPress Pharma hacks 是一种网站垃圾邮件，它在搜索引擎结果中填充垃圾药房内容，这些内容在网络上被禁止，如伟哥、Nexium、Cialis 等。

与其他 WordPress hack 不同，pharma hack 结果仅对搜索引擎可见。 因此，您无法仅通过查看您的网站或源代码来发现黑客攻击。

转到 Google 并输入site:domain.com。 如果搜索结果显示您的网站内容（不是药房内容），那么您的网站不会受到 pharma 黑客的影响。

此 hack 的目标是通过使用有害链接覆盖标题标签来利用您最有价值的页面。 更不用说，如果你不及早检查此事，谷歌、必应等搜索引擎会将你的网站列入黑名单，以提供恶意内容。

6.恶意重定向：

WordPress 恶意重定向是一种黑客攻击，您的网站访问者会自动重定向到垃圾邮件网站，如赌博、色情、约会网站。 当恶意代码注入您网站的文件或数据库时，就会发生这种黑客攻击。

如果您的网站将访问者重定向到非法或恶意网站，您的网站可能会被 Google 列入黑名单。

为什么 WordPress 安全性很重要？

您的网站代表您的品牌、您的业务，最重要的是与您的客户的第一次接触。

您可能花了几年的时间努力维持您的业务并增加您的流量。 您的观众喜欢您的文章并信任您的产品，这就是他们与您保持联系的原因。

如果您的 WordPress 网站不安全，您的网站和客户都会受到多种影响。 黑客可以窃取用户的个人信息、密码、信用卡详细信息、交易信息，并可以向您的用户分发恶意软件。

如果您的网站被黑客入侵，您会注意到您的流量急剧下降。 此外，谷歌会将您的网站列入黑名单。

根据谷歌博客，与 2015 年相比，2016 年被黑网站的数量增加了约 20%。

在一项研究中，Securi 报告称，谷歌每天将超过 10,000 个网站列入黑名单。

如果您认真对待您的业务，则需要特别注意您的 WordPress 安全性。

最佳 WordPress 安全指南

1. 获得一个好的 WordPress 主机
2. 保持 WordPress 版本更新
3. 不要使用任何无效/破解的主题或插件
4. 使用强密码
5. 添加（2FA）两因素身份验证
6. 更改 WordPress 登录 URL
7. 限制登录尝试
8. 定期备份您的网站
9. 使用 WordPress 安全插件
10. 自动注销空闲用户
11. 向 WordPress 登录页面添加安全问题
12. 更改默认的“admin”用户名
13. 将用户分配给可能的最低角色
14. 监控文件更改和用户活动
15. 安装 SSL 证书
16. 删除未使用的主题和插件
17. 在 WordPress 仪表板中禁用文件编辑
18. 密码保护 WordPress 登录页面
19. 禁用目录浏览
20. 删除您的 WordPress 版本号
21. 更改 WordPress 数据库表前缀
22. 仅使用受信任的 WordPress 主题和插件
23. 禁用 PHP 错误报告
24. 将 HTTP 安全标头添加到 WordPress

准备好？ 开始吧。

1.获得一个好的 WordPress 主机

WordPress 托管在提高 WordPress 安全性方面发挥着重要作用。

您正在为托管服务付费，并且您的网站仍在他们的控制之下。 因此，在为您的网站选择一个好的 WordPress 托管之前，您应该小心。

A2Hosting、Bluehost 等共享主机是运行低流量博客的最佳托管选项。 但是在共享主机中，总会有跨站点污染的机会。

当黑客能够通过易受攻击的网站访问 Web 服务器，然后利用同一 Web 服务器上的所有其他网站时，就会发生跨站点污染。

我们建议使用托管的 WordPress 托管服务提供商。 托管 WordPress 托管公司为网站提供多层安全选项。 他们的托管平台高度安全，他们提供每日恶意软件扫描并防止任何外部攻击。 如果无论如何，他们在他们的服务器上发现恶意软件，他们会承担责任并立即将其删除。

他们还提供每日备份、免费 SSL 证书、24×7 专家支持。

我们推荐 WPEngine 管理的 WordPress 托管公司。 它们提供多个安全层来保护您的 WordPress 网站。 通过他们的计划，您将获得每日备份、免费 SSL、全球 CDN 和 24×7 专家支持。

访问WPEngine 。 [此链接中添加了折扣码]

回到顶部

2.保持WordPress版本更新

使您的 WordPress 网站保持最新是加强 WordPress 安全性的良好安全实践。 此更新包括 WordPress 版本、插件和主题。

在最近的一项研究中，Securi 分析说，受 WordPress 感染的网站总数中有 56% 仍然是最新的。 如果你是他们中的一员，你就处于危险之中。

每天都会发现新的漏洞，并且无法阻止它们。 过时的软件和插件可能包含黑客可以用来利用网站的漏洞。

每次更新时，开发人员都会添加新功能、修补安全漏洞、修复错误等。与 WordPress 软件一样，您还需要更新 WordPress 主题和插件。

好消息是 WordPress 会自动推出更新并通知用户。

更新 WordPress 版本、插件和主题非常容易，您可以通过 WordPress 管理仪表板来完成。

如何更新 WordPress、插件和主题？

首先登录到您的 WordPress 仪表板并转到Dashboard> Updates 。 在那里您可以查看是否有可用的新更新。

注意：在更新您的 WordPress 版本之前，请对您的文件和数据库进行完整备份。 如果发生错误，您可以轻松地将站点恢复到以前的版本。 只需单击一下，您就可以使用 BlogVault 轻松备份和恢复您的站点。

从页面中，您可以看到“有可用的 WordPress 更新版本” 。 单击立即更新按钮以更新您的 WordPress 版本，此过程可能需要几秒钟。

更新完成后，向下滚动以更新您的 WordPress 插件。 我们建议您一一更新插件。 首先，选择一个插件并点击Update Plugins 。

同样，在下面更新您的主题。

但是，对于一些用户来说，更新过程有点棘手，尤其是那些不精通技术的用户。

一些托管的 WordPress 托管服务提供商，如 SiteGround、Kinsta、FlyWheel 提供自动更新功能。 因此，如果您的日程很忙或懒得更新，这可能会很有用。

另请阅读，如何手动更新 WordPress 版本、插件和主题

回到顶部

3.永远不要使用任何无效/破解的主题和插件

难怪高级插件和主题包含更多功能并且看起来更专业。 但是，没有一个高级产品是免费的。 它带有价格，购买任何高级产品后，用户需要输入产品密钥才能激活产品。

但是，有许多恶意网站免费提供高级主题和插件。 那些破解的主题和插件不需要序列号来激活并且永远不会更新。

这就是我的意思：

那些无效的主题和插件对您的网站非常危险。 黑客专门在其中注入恶意代码并为您的站点设置后门。 因此，他们可以轻松访问您的网站并破解您的网站，包括数据库。

所以永远不要使用任何无效或破解的 WordPress 主题和插件。

我们强烈建议您仅从 WordPress.org 下载免费主题或插件。

我们了解免费主题或插件的功能非常有限。 但是，这些免费主题或插件可以安全使用并定期更新。

另请阅读，WordPress 的 7 个最佳高级博客主题

回到顶部

4.使用强密码

密码是访问 WordPress 网站的主键。 如果它简单而简短，那么黑客可以轻松破解您的密码。 超过80%的与黑客相关的违规行为是由于密码弱或密码被盗造成的。

在最近的一项研究中，SplashData 揭示了 2017 年 100 个最糟糕的密码。

以下是其中一些：

1. 123456
2. 密码
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. 让我进去
8. 1234567
9. 足球
10. 我爱你
11. 行政
12. 欢迎
13. 猴子（笑）

如果您的密码像上面一样简单，请立即更改。 一个良好的强度密码应至少为 10 位数字，并包含大写、小写、数字和特殊字符。

您可以使用在线密码生成器工具立即创建数以千计的安全密码。

您还需要将密码保存到您的计算机。

为方便起见，您可以使用密码管理器软件来管理您的所有密码，例如 LastPass、Dashlane 等。

对用户实施强密码

默认情况下，WordPress 不提供防止用户输入弱密码的功能。 大多数情况下，用户为他们的帐户设置了一个弱密码并且几乎没有更改它。

如果您正在运行一个多用户 WordPress 博客，那么您应该强制用户使用强密码。

为了简化此过程，您可以使用插件。 安装并激活 Force Strong Passwords 插件，您就完成了。 这将防止用户甚至管理员输入弱密码。

回到顶部

5.添加两因素身份验证（2FA）

加强 WordPress 安全性的另一种简单方法是在 WordPress 登录页面中添加双重身份验证 (2FA)。 基本上，双因素身份验证或两步验证是一个安全过程，需要两种方法来验证您的身份。

默认情况下，我们通常输入用户名和密码来登录网站。 通过添加双因素身份验证，您将需要一个额外的验证过程，例如智能手机应用程序来批准身份验证过程。

因此，如果有人知道您的用户名和密码，他们需要您的智能手机来获取登录您网站的验证码。

通过添加双重身份验证，您不仅可以保护您的 WordPress 登录页面，还可以防止暴力攻击。

您可以使用 Google 双重身份验证器 WordPress 插件轻松启用双重身份验证。

激活后，转到用户> 用户配置文件并激活插件。

然后从您的手机下载 Google 身份验证器应用程序并扫描条形码或从您的网站输入密码（见上面的屏幕截图）以添加您的网站。

添加后，从您的站点注销。 在登录页面上，您将看到一个额外的字段，您需要在其中输入来自 Google Authenticator 移动应用程序的验证码。

有关详细说明，请参阅有关如何在 WordPress 登录页面上添加 Google 双重身份验证的指南。

回到顶部

6.更改 WordPress 登录页面 URL

默认情况下，任何人都可以通过在您的域名末尾添加“wp-admin”或“wp-login.php”来访问您的登录页面，例如： “domain.com/wp-admin”或“domain.com/” wp-login.php” 。

你猜怎么着！ 黑客可以使用您的登录页面进行暴力攻击。 如果您使用的密码非常简单，那么黑客可以轻松破解您的密码并进入您的网站。

但是如果他们不知道从哪里攻击呢？ 是的，你猜对了。

如果您隐藏或重命名您的登录页面 URL，那么黑客将无法进行暴力攻击。

在 WordPress 中，您可以使用插件轻松隐藏或重命名登录页面。 从 WordPress 插件库中，安装并激活 WPS 隐藏登录插件。

激活后，转到“设置”>“常规” ，在底部，您可以找到WP 隐藏登录选项。

只需将登录 URL “login”更改为其他难以猜测的内容，然后单击Save Changes 。

完成后，为新的登录页面添加书签，您就完成了。

回到顶部

7.限制登录尝试

默认情况下，WordPress 不限制通过登录表单尝试登录的次数。 这意味着任何知道您的登录 URL 的人都可以根据需要多次尝试登录功能。 通过这种方式，黑客会进行暴力攻击以破解您的“用户名”和“密码”以访问您的网站。

通过限制登录尝试，您可以加强 WordPress 安全性并保护您的登录页面免受暴力攻击。

您可以设置用户可以从同一 IP 地址进行的错误登录尝试的最大次数。 如果用户超出限制，用户的 IP 将被封锁一段时间。

要限制 WordPress 中的登录尝试，请安装 Login LockDown 插件。 激活后，转到“设置”>“登录锁定”以配置插件。

有关详细说明，请参阅我们的指南，了解如何限制 WordPress 中的登录尝试

回到顶部

8.定期备份您的网站

备份就像时间机器。 如果你有它，你的网站是安全的。

但是，网站备份不能保护您的网站免受黑客攻击，但它可以帮助您恢复您的网站。

例如，如果您的网站在更新期间出现问题或您的网站被黑客入侵，您将如何再次修复您的网站？ 您可能会丢失您的网站。

但是，如果您有网站的备份，您可以轻松地在网站被黑客入侵或崩溃之前恢复您的网站。

这就是为什么我们强烈建议您使用可靠的 WordPress 备份插件。 但是，许多托管公司提供免费的网站备份，但如果发生灾难性故障，他们可以保证您的网站的可用性。 因此，您需要将备份保存到远程位置，例如 Google Drive、Amazon S3、Dropbox 等。

值得庆幸的是，这可以通过使用 BlogVault 或 BackUpBuddy WordPress 备份插件来完成。 它们都提供每日备份和一键还原。 您还可以免费创建临时站点。

回到顶部

9.使用WordPress 安全插件

加强WordPress 安全性所需的下一件事是安全插件。 有许多可用的 WordPress 安全插件可以锁定您的网站免受黑客和恶意软件的攻击。

如果恶意软件存在于您的网站中，WordPress 安全插件将检测并消除它。 此外，他们实时监控用户活动，通知您是否有任何变化，如果插件包含恶意软件，阻止垃圾邮件流量等等。

我们推荐 Securi WordPress 安全插件。 Securi Security 提供不同类型的安全功能，例如安全活动审计、网站监控、网站防火墙等等。

Securi 最好的一点是，如果您的网站在使用他们的服务时被 Google 入侵或列入黑名单，他们保证会修复您的网站。

大多数 WordPress 安全专家收取 300 多美元来修复被黑网站，而您每年只需199美元即可获得所有安全服务。 这是加强 WordPress 安全性的一项很好的投资。

回到顶部

10.自动注销空闲用户

如果用户在您的站点上保持空闲或不活动的时间过长，这可能会导致暴力攻击。

当用户长时间处于非活动状态时，黑客可能会使用 cookie 或会话劫持方法来未经授权访问您的网站。 这就是为什么大多数教育和金融相关的网站，如银行和支付网关网站都使用用户会话超时功能。 因此，当用户离开页面并在一段时间后不进行交互时，网站会自动注销非活动用户。

您可以将相同的功能添加到您的 WordPress 网站以提高您的 WordPress 安全性。 在 WordPress 上添加自动注销空闲用户非常简单。 你只需要安装一个插件。

首先，下载并安装 Inactive Logout WordPress 插件。 然后激活它并转到设置>非活动注销以配置插件。

从设置中，您可以更改空闲超时。 因此，在此时间之后，您站点中的所有用户都将自动注销。

如果需要，您还可以更改空闲超时消息并修改其他设置。

完成后，单击保存更改以存储设置。

有关详细说明，请参阅我们的指南，了解如何在 WordPress 中自动注销空闲用户

回到顶部

11.向 WordPress 登录页面添加安全问题

通过向您的 WordPress 登录页面添加安全问题，您不仅可以保护您的 WordPress 登录页面，还可以加强 WordPress 的安全性。

安全问题增加了额外的安全层，以在登录期间进一步验证您的身份。如果您正在运行多作者 WordPress 博客，这将非常有用。

如果您的任何用户或密码被盗，那么安全问题可以挽救生命。

因为用户名和密码很容易被破解，但选择正确的安全问题和答案几乎是不可能的。 通过这种方式，您可以保护您的 WordPress 登录页面免受黑客和暴力攻击。

要在 WordPress 登录页面上添加安全问题，请安装WP 安全问题插件。

激活后，转到WP 安全问题 > 插件设置以配置插件。

默认情况下，该插件添加了许多常见问题。 但是，您可以从列表中添加或删除任何安全问题。

在底部，您可以在登录页面、注册和忘记密码页面启用安全问题。 插件配置完成后，别忘了点击保存设置。

注意：只有新用户才能在注册时设置安全问题和答案。 所以注册用户需要自己手动设置安全问题和答案。 您还可以为他们设置安全问题和答案。 这可以从用户配置文件页面完成。

有关详细说明，请参阅我们的指南，了解如何向 WordPress 登录页面添加安全问题

回到顶部

12.更改默认的“管理员”用户名

安装 WordPress 后，您可以根据需要多次更改密码。 但是，一旦设置了用户名，您可以更改吗？ 没有权利？

默认情况下，WordPress 不允许用户更改用户名。 但是你为什么要改变它呢？

如果您使用的是非常常见的用户名，例如“admin”，那么黑客可以在您的用户名的帮助下运行暴力附加。

但不要惊慌。 您可以通过多种方式轻松更改 WordPress。

但是，为了使过程更容易，我们将使用插件。 首先，下载并安装用户名更改插件。 然后转到用户>您的个人资料并找到用户名选项。 在那里你会找到“更改用户名”选项。

单击更改用户名按钮并输入您的新用户名。 完成后，单击更新配置文件。

如果您想手动更改您的用户名（不使用插件），请查看文章更改 WordPress 用户名的 3 种不同方法。

回到顶部

13.将用户分配到可能的最低角色

如果您正在运行一个多作者 WordPress 站点，那么在将角色分配给用户之前需要小心。

很多时候，WordPress 网站所有者为新用户分配了更高的用户角色，这样您就可以将所有权限授予用户，因此，任何用户都可以执行任何他们想要的任务。

例如，如果您不知道编辑用户角色可以执行什么操作，并且您将该角色分配给普通用户，那么该用户可以删除您的所有帖子、编辑链接、创建垃圾帖子、将恶意链接添加到您的博客帖子。 这就是用户可以轻松破坏您的网站的方式。

默认情况下，WordPress 带有 5 种不同的用户角色。

• 行政人员
• 编辑
• 作者
• 贡献者
• 订户

1. 管理员：管理员是 WordPress 网站中最强大的用户角色。 他们可以创建、编辑和删除用户帐户，可以在整个 WordPress 管理面板中执行任何任务，可以控制所有内容区域，还可以管理评论。
2. 编辑：具有编辑角色的用户可以完全控制所有内容。 他们可以创建、编辑和删除任何帖子，包括其他用户创建的帖子。 他们还可以审核评论和修改链接。
3. 作者：作者只能发布、编辑或删除自己的帖子。 他们可以上传媒体文件以在他们的帖子中使用。 他们可以查看评论，但不能批准或删除任何评论。
4. 投稿人：具有投稿人角色的用户只能撰写、编辑或删除自己未发布的帖子，但不能发布自己的帖子。
5. 订阅者：订阅者只能编辑他们的帐户信息，包括密码，但他们无权访问内容或网站设置。 它们在 WordPress 网站中具有最低的功能。

通过了解 WordPress 用户角色，您可以轻松管理它们而没有任何风险。

我们还建议您将新用户默认角色设置为订阅者。 转到设置>常规设置并从他们设置的新用户默认角色-订阅者中单击保存更改。

有关更多详细信息，请阅读 WordPress 用户角色和功能初学者指南

回到顶部

14.监控文件更改和用户活动

加强 WordPress 安全性的另一种智能方法是监视用户活动和文件更改。

如果您正在运行一个多用户 WordPress 站点，那么您应该跟踪用户行为，以更好地了解他们在您的 WordPress 站点中的活动。

谁知道，如果用户正在做一些可疑的工作或试图破解您的网站？ 你怎么知道？

跟踪用户活动和文件更改的唯一方法是使用用户活动 WordPress 插件。 通过在 WordPress 中使用用户活动插件，您可以：

• 实时查看谁登录以及他们在做什么
• 当用户登录和注销时
• 用户尝试登录但失败的次数

此外，如果编辑在未经您许可的情况下对帖子或页面进行了任何更改，那么您可以轻松找到并将其还原。 用户活动插件的好处是，如果出现问题，它会立即向您发送电子邮件通知。

WP Security Audit Log 是实时监控用户活动和文件更改的最佳插件。 这是插件如何工作的屏幕截图。

另请阅读，在 WordPress 中监控用户活动的 5 个最佳插件（替代插件）

回到顶部

15.实施 SSL 和 HTTPS

没有 SSL 证书就无法提高WordPress 的安全性。 SSL（安全套接层）是网站安全的支柱。

SSL 是一种标准安全技术，可在在线通信（如在线交易）中在服务器和 Web 浏览器之间创建加密链接。 因此，所有敏感数据（如密码、信用卡详细信息等）都通过加密链接传递。

如果您经营在线业务或接受付款的博客，那么 SSL 证书是必须的。 它将保护您客户的数据免受黑客攻击。 对于在线商店或 WooCommerce 网站，SSL 证书的成本约为 20-170 美元。

如果您正在运行 WordPress 博客，则不需要付费 SSL 证书。 如果您使用的是 SiteGround、WPEngine 等 cPanel 托管，那么您可以一键免费安装 SSL 证书。

首先，登录到您的托管 cPanel 帐户并导航到Security 。 （下面是 SiteGround 托管 cPanel 的截图。）

转到SSL/TLS 管理器并单击安装 SSL 证书。 从页面中，选择您的域，然后单击Autofill by domain 。 该过程是自动的，因此您无需编辑或修改任何内容。

现在单击“安装证书”按钮以完成设置过程。

完成后，登录到您的 WordPress 管理仪表板以修改您的站点 URL。 转到设置>常规并在您的站点 URL 之前添加将 HTTP 替换为 HTTPS。 这是下面的屏幕截图。

更新后，单击Save Changes 。

如何在 WordPress 中将 HTTP 重定向到 HTTPS

如果您已正确安装 SSL 证书，则您的站点可通过 HTTPS 访问。

但是，如果有人在浏览器地址栏上只键入您的网站名称（即 domain.com），则该网站可能会显示“连接不安全”消息。 这意味着您的网站可以通过 HTTP 访问。

要解决此问题，您需要在 WordPress 中强制使用 HTTPS，因此您的网站只会使用 HTTPS 加载。 您可以轻松地在 WordPress 中强制使用 HTTPS。

首先登录到您的托管 cPanel 并转到您网站的根文件夹并找到.htaccess文件。 编辑 .htaccess 文件并在最后添加以下代码。

重写引擎开启
RewriteCond %{HTTPS} 关闭
重写规则 ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

保存文件，您就完成了。 现在您的网站只能通过 HTTPS 访问。

如果您的网络托管服务提供商不提供免费的 SSL 证书，那么您可以手动安装 SSL 证书。 这是有关如何安装免费 SSL 证书的指南。

回到顶部

16.删除未使用的主题和插件

在加强 WordPress 安全性方面，我们不应忽视任何可能使您的网站易受攻击的小步骤。

大多数情况下，WordPress 网站所有者会安装不同的主题和插件来测试哪个主题在他们的网站上看起来更好，或者哪个插件具有更多功能。 没关系。 但是保留那些未使用的主题和插件会使您的网站容易受到攻击。

因为保留许多 WordPress 主题和插件需要像您正在使用的那样定期更新。 如果您不更新它们，它们就会变得易受攻击，黑客可以通过易受攻击的主题和插件轻松利用您的网站。 此外，保留如此多的主题和插件会使 WordPress 网站变慢。

因此，您应该始终删除未使用的主题和插件，以提高网站性能和 WordPress 安全性。

要删除未使用的插件，请转到Plugins> Installed Plugins 。 然后找到你不再需要的插件。 首先，停用插件并单击Delete 。

同样，要删除主题，请转到Appearance> Themes并单击Theme Details 。 然后在右侧底部，单击Delete 。

回到顶部

17.在 WordPress 仪表板中禁用文件编辑

默认情况下，WordPress 允许用户直接从 WordPress 仪表板编辑主题和插件文件。 对于经常需要编辑主题和插件文件的用户来说，这是一个有用的选项。

但是，保持启用此功能可能是一个严重的安全问题。 如果黑客访问您的网站，他们通常会通过将恶意代码注入网站文件来留下足迹。 如果您启用了 WordPress 文件编辑功能，那么黑客可以很容易地将恶意代码注入您不知道的主题或插件文件中。

为了提高 WordPress 的安全性，您需要从 WordPress 仪表板禁用文件编辑功能。 在 WordPress 中禁用 WordPress 主题和插件编辑器非常简单。

首先，您需要登录到您的托管 cPanel 帐户并转到您的 WordPress 站点的根文件夹。 从那里，找到wp-config.php。 单击编辑并在最后添加以下代码。

定义（'DISALLOW_FILE_EDIT'，真）；

现在保存文件并刷新您的 WordPress 仪表板。 您将看到主题和插件编辑器选项已消失。 通过这个小技巧，您可以轻松提高 WordPress 的安全性。

阅读有关如何在 WordPress 中禁用主题和插件编辑器的详细指南

回到顶部

18.密码保护WordPress登录页面

提高 WordPress 安全性的另一个好方法是密码保护 WordPress 登录页面。

通过密码保护您的 WordPress 登录（/wp-login.php）或管理员（/wp-admin）页面，您可以防止黑客访问您的登录页面，因为它需要密码才能访问登录页面。 启用此功能后，您的站点将提示所有访问登录页面的用户使用用户名和密码窗口。 简而言之，在访问您的 WordPress 管理仪表板之前，所有用户都需要使用不同的用户名和密码登录两次。

通过这样做，您可以加强您的 WordPress 安全性，并为您的登录页面增加一层额外的安全性。

阅读我们关于如何密码保护 WordPress 登录页面的深入指南。

回到顶部

19.禁用 WordPress 中的目录浏览

默认情况下，Apache、NGINX 和 LiteSpeed 等大多数 Web 服务器都允许任何用户浏览包含 WordPress 文件和文件夹的目录。 他们还可以查看您正在使用的主题和插件，并了解有关您网站结构的更多信息。

此信息可能会导致您的 WordPress 网站易受攻击，并在试图破坏您的网站时帮助黑客。

为了增强 WordPress 的安全性，我们建议您禁用此选项。 要在 WordPress 中禁用目录浏览，只需将以下行添加到您的.htacces文件中。

选项所有索引

有关详细说明，请阅读我们关于如何在 WordPress 中禁用目录浏览的指南

回到顶部

20.删除你的 WordPress 版本

默认情况下，WordPress 会自动在显示您正在使用的 WordPress 版本的不同位置添加元标记。

事情是这样的：如果黑客知道您运行的是过时的 WordPress 版本，他们可以通过旧 WordPress 版本中存在的已知漏洞来利用您的网站。

因此，最好删除 WordPress 版本以提高 WordPress 安全性。 WordPress 在多个地方添加元标记，例如，在 WordPress 仪表板中、在标题中、在样式和 javascript 中以及在 RSS 提要中。

从标题和 RSS 中删除 WordPress 版本

要从标题和 RSS 中删除版本，请在functions.php文件的末尾添加以下行。

功能 remove_wordpress_version() {
返回 '​​';
}
add_filter('the_generator', 'remove_wordpress_version');

从脚本和 CSS 中删除 WordPress 版本号

要从 CSS 和脚本中删除 WordPress 版本，请在functions.php文件的末尾添加以下行。

// 从脚本和样式中挑选出版本号
函数 remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg('ver', $src);
返回 $src;
}
add_filter('style_loader_src', 'remove_version_from_style_js');
add_filter('script_loader_src', 'remove_version_from_style_js');

完成后，保存functions.php文件。

而已。 通过这个简单的技巧，您肯定可以提高您的 WordPress 安全性。 但是，我们始终建议您定期更新 WordPress 版本以及主题和插件。

有关详细说明，请阅读我们关于如何隐藏或删除 WordPress 版本的指南

回到顶部

21.更改 WordPress 数据库表前缀

在 WordPress 安装期间，它会询问您是否要使用不同的数据库前缀。 我们通常会跳过这一步，因此 WordPress 会自动使用(WP_)作为默认的数据库表前缀。 我们建议您将其更改为强大而独特的内容。

使用默认 (WP_) 前缀会使您的 WordPress 数据库容易受到 SQL 注入攻击。 可以通过将数据库前缀 (WP_) 更改为唯一值来防止此类攻击。

安装 WordPress 后，您可以使用插件或手动轻松更改默认数据库表前缀。 BackupBuddy、Brozzme DB Prefix 等插件让您只需单击即可更改表前缀。

为了本教程的目的，我将展示如何使用 Brozzme DB Prefix 插件对其进行更改。

注意：在对数据库进行任何操作之前，请确保备份您的站点和数据库。 如果出现问题，您可以恢复您的网站。

首先，安装并激活 Brozzme DB Prefix 插件。 在您的 WordPress 仪表板中，转到工具 > 数据库前缀并为数据库前缀输入一个新的唯一名称。

输入新前缀后，单击Change DB Prefix 。

对于手动过程，请阅读如何使用 phpMyAdmin 更改数据库表前缀

回到顶部

22.只使用受信任的 WordPress 插件

WordPress 附带超过 48,000 个插件。 这并不意味着所有插件都是有用且安全的。

因为 WordPress 插件库中有许多可用的插件，它们很长一段时间都没有更新，通常它们变得容易受到攻击。 此外，如果插件破坏了您的网站，您将不会获得任何支持。

在您使用任何免费插件之前，您需要检查两件重要的事情，

• 检查插件的最后更新时间：如果插件不经常更新或不再由插件开发人员维护，那么您应该避免使用该插件。

• 检查插件是否具有最大正面评价：接下来您需要检查插件是否具有最大正面或负面评价。 如果插件有最大的负面评价，你不应该使用它。

您还可以查看插件的评论和支持页面，了解其他用户对该插件的评价。

但是，别担心。 您可以从 WordPress 插件库中找到许多类似的插件。

如果您想使用高级插件，则无需担心。 高级插件会定期更新，您将从插件开发人员那里获得 24 倍的支持。

回到顶部

23.禁用PHP错误报告

加强 WordPress 安全性的另一个好方法是在 WordPress 中禁用 PHP 错误报告。 很多时候，当您安装过时的插件或主题时，您可能会看到 PHP 错误警告。

但是，如果黑客获取它，因为它显示代码和文件位置，它可能会导致您的网站易受攻击。 为了将风险降到最低，您可以在 WordPress 中禁用 PHP 错误报告。

在 WordPress 中禁用 PHP 错误警告非常简单。 首先，编辑您的wp-config.php文件并找到包含以下代码的行：

定义（'WP_DEBUG'，假）；

您可能会看到“真”而不是“假”。 现在用以下代码替换该行。

ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
定义（'WP_DEBUG'，假）；
定义（'WP_DEBUG_DISPLAY'，假）；

保存文件，您就完成了。

我们还建议您使用最新且评价良好的插件来避免此类问题。

回到顶部

24.将 HTTP 安全标头添加到 WordPress

加强 WordPress 安全性的另一个好方法是将 HTTP 安全标头添加到您的 WordPress 站点。

当有人访问您的网站时，浏览器会向您的网络服务器发出请求。 然后 Web 服务器响应请求以及 HTTP 标头。 这些 HTTP 标头传递诸如内容编码、缓存控制、内容类型、连接等信息。

通过添加安全的 HTTP 响应标头，您可以提高 WordPress 的安全性并防止缓解攻击和安全漏洞。

以下是以下 HTTP 标头：

• HTTP 严格传输安全 (HSTS) ： HTTP 严格传输安全 (HSTS) 强制 Web 浏览器在与网站通信时仅使用安全连接 (HTTPS)。 这可以防止 SSL 协议黑客攻击、cookie 劫持、SSL 剥离等。
• X-Frame-Options ： X-Frame-Options 是一种 HTTP 标头，它指定是否允许浏览器在框架中呈现网站。 这可以防止点击劫持攻击并确保您的网站不会使用 <frame> 嵌入到其他网站中。
• X-XSS-Protection ： X-XSS-Protection 是 Internet Explorer、Google Chrome、Firefox 和 Safari 浏览器的内置功能，如果从用户输入中插入了恶意脚本，则会阻止页面加载。
• X-Content-Type-Options ： X-Content-Type-Options 是一种 HTTP 响应标头，其值为 nosniff，可防止 Web 浏览器 MIME 嗅探来自声明的内容类型的响应。
• Referrer-Policy： Referrer 策略是一个 HTTP 响应标头，可防止跨域 referrer 泄漏。

要在 WordPress 中添加 HTTP 安全标头，只需将以下代码行添加到您的.htaccess文件中。

标头集 Strict-Transport-Security "max-age=31536000" env=HTTPS
标头始终附加 X-Frame-Options SAMEORIGIN
标头集 X-XSS-Protection "1; mode=block"
标头集 X-Content-Type-Options nosniff
Header Referrer-Policy: no-referrer-when-downgrade

现在去 securityheaders.com 检查代码是否有效。 我们没有添加“内容安全政策”，因为它可能会破坏您的网站。 但是，这足以使您的 WordPress 网站安全。

回到顶部

结论

有很多方法可以加强WordPress 的安全性，例如：使用托管 WordPress 主机、为帐户使用强密码、监控用户活动、使用 WordPress 安全插件、实施 SSL 和 HTTPS 等等。

Harding WordPress 安全性不是火箭科学。 通过实施我们在本文中分享的 WordPress 安全最佳实践，您可以轻松地保护您的 WordPress 网站。 通过实施它们，您不仅可以保护您的 WordPress 网站，还可以防止黑客访问您的网站。

完成后，您无需担心 WordPress 的安全性。 此外，您可以提高工作效率并摆脱压力。

现在轮到你了。 彻底阅读这篇文章并将它们实施到您的网站。 你会很高兴你做到了。

我们是否错过了任何重要的 WordPress 安全提示？ 请随时在评论部分告诉我们。

WordPress 安全信息图