WordPress 安全 – 保護您的網站免受黑客攻擊的 24 條提示

管理網站時，WordPress 的安全性應該是首要任務。 您設計網站、發佈內容、在線銷售產品，但如果您不認真對待 WordPress 安全，您的網站隨時可能被黑客入侵。

每天有 30,000 個網站被黑，超過 2,000 個網站被 Google 列入黑名單。 你也不例外。 如果政府網站可以被黑，那為什麼不是你的呢？

一天早上，您醒來發現您的 WordPress 網站無法訪問，並看到隨機消息，例如，

“您的網站被xyz黑客入侵” –該網站被黑客入侵

“前面的網站包含惡意軟件​​”——被谷歌列入黑名單

這是您在網站上可能遇到的最糟糕的事情。

但是，為什麼是 WordPress？

WordPress 為網絡上超過 31%（8000 萬）的網站提供支持。 根據 W3Techs 的說法， WordPress 擁有 60% 的 CMS 市場份額，比其他平台多，這是吸引黑客的一個非常充分的理由。

但不要驚慌。 加強 WordPress 安全性非常容易，您也可以做到。

在本文中，我將分享 24 個最佳 WordPress 安全提示，以保護您的網站免受黑客和惡意軟件的侵害。

“為什麼不在他們發現之前讓你宮殿的大門消失呢？” – WPMyWeb

常見的 WordPress 安全問題

在深入探討 WordPress 安全最佳實踐之前，讓我們先了解一些常見的 WordPress 安全問題。

許多用戶認為 WordPress 不是用於企業的安全平台，這根本不是真的。 這是由於缺乏 WordPress 安全知識、系統管理不善、使用過時的 WordPress 軟件和插件等。

許多 WordPress 初學者認為創建網站是結束，它不需要任何安全維護。 這就是您使您的網站易受攻擊的方式。

一旦黑客在您的網站中發現漏洞，他們就可以輕鬆地利用您的網站。

讓我們看看一些常見的 WordPress 安全問題。

1.蠻力攻擊：

在蠻力攻擊中，使用自動化腳本來生成用戶名和密碼的各種組合。 黑客使用 WordPress 的登錄頁面進行暴力攻擊。

如果您使用的是簡單的用戶名和密碼，那麼您可能成為此攻擊的下一個受害者。

2.跨站腳本（XSS）：

跨站點腳本是一種攻擊類型，攻擊者將惡意代碼/腳本注入到受信任的網站上。 這種黑客攻擊方法對於瀏覽網站的用戶來說是完全不可見的。

這些惡意腳本匿名加載並從用戶的瀏覽器中竊取信息。 即使用戶以任何形式輸入任何數據，數據也可能被竊取。

3. SQL注入：

WordPress 使用 MySQL 數據庫來存儲博客信息。

當黑客訪問 WordPress 數據庫時，就會發生 SQL 注入。 通過入侵 WordPress 數據庫，黑客可以創建一個具有對您網站的完全訪問權限的新管理員帳戶。

他們還可以將數據插入您的 MySQL 數據庫，並添加指向惡意或垃圾郵件網站的鏈接。

4.後門：

通過名稱“後門”，您可以理解它的含義。

後門是一種黑客方法，允許黑客繞過正常的身份驗證過程進入網站，甚至不被網站所有者發現。

黑客入侵網站後，黑客通常會留下他們的足跡，這樣即使黑客被刪除，他們也可以重新訪問該網站。

5.製藥黑客：

WordPress Pharma hacks 是一種網站垃圾郵件，它在搜索引擎結果中填充垃圾藥房內容，這些內容在網絡上被禁止，如偉哥、Nexium、Cialis 等。

與其他 WordPress hack 不同，pharma hack 結果僅對搜索引擎可見。 因此，您無法僅通過查看您的網站或源代碼來發現黑客攻擊。

轉到 Google 並輸入site:domain.com。 如果搜索結果顯示您的網站內容（不是藥房內容），那麼您的網站不會受到 pharma 黑客的影響。

此 hack 的目標是通過使用有害鏈接覆蓋標題標籤來利用您最有價值的頁面。 更不用說，如果你不及早檢查此事，谷歌、必應等搜索引擎會將你的網站列入黑名單，以提供惡意內容。

6.惡意重定向：

WordPress 惡意重定向是一種黑客攻擊，您的網站訪問者會自動重定向到垃圾郵件網站，如賭博、色情、約會網站。 當惡意代碼注入您網站的文件或數據庫時，就會發生這種黑客攻擊。

如果您的網站將訪問者重定向到非法或惡意網站，您的網站可能會被 Google 列入黑名單。

為什麼 WordPress 安全性很重要？

您的網站代表您的品牌、您的業務，最重要的是與您的客戶的第一次接觸。

您可能花了幾年的時間努力維持您的業務並增加您的流量。 您的觀眾喜歡您的文章並信任您的產品，這就是他們與您保持聯繫的原因。

如果您的 WordPress 網站不安全，您的網站和客戶都會受到多種影響。 黑客可以竊取用戶的個人信息、密碼、信用卡詳細信息、交易信息，並可以向您的用戶分發惡意軟件。

如果您的網站被黑客入侵，您會注意到您的流量急劇下降。 此外，谷歌會將您的網站列入黑名單。

根據谷歌博客，與 2015 年相比，2016 年被黑網站的數量增加了約 20%。

在一項研究中，Securi 報告稱，谷歌每天將超過 10,000 個網站列入黑名單。

如果您認真對待您的業務，則需要特別注意您的 WordPress 安全性。

最佳 WordPress 安全指南

1. 獲得一個好的 WordPress 主機
2. 保持 WordPress 版本更新
3. 不要使用任何無效/破解的主題或插件
4. 使用強密碼
5. 添加（2FA）兩因素身份驗證
6. 更改 WordPress 登錄 URL
7. 限制登錄嘗試
8. 定期備份您的網站
9. 使用 WordPress 安全插件
10. 自動註銷空閒用戶
11. 向 WordPress 登錄頁面添加安全問題
12. 更改默認的“admin”用戶名
13. 將用戶分配給可能的最低角色
14. 監控文件更改和用戶活動
15. 安裝 SSL 證書
16. 刪除未使用的主題和插件
17. 在 WordPress 儀表板中禁用文件編輯
18. 密碼保護 WordPress 登錄頁面
19. 禁用目錄瀏覽
20. 刪除您的 WordPress 版本號
21. 更改 WordPress 數據庫表前綴
22. 僅使用受信任的 WordPress 主題和插件
23. 禁用 PHP 錯誤報告
24. 將 HTTP 安全標頭添加到 WordPress

準備好？ 開始吧。

1.獲得一個好的 WordPress 主機

WordPress 託管在提高 WordPress 安全性方面發揮著重要作用。

您正在為託管服務付費，並且您的網站仍在他們的控制之下。 因此，在為您的網站選擇一個好的 WordPress 託管之前，您應該小心。

A2Hosting、Bluehost 等共享主機是運行低流量博客的最佳託管選項。 但是在共享主機中，總會有跨站點污染的機會。

當黑客能夠通過易受攻擊的網站訪問 Web 服務器，然後利用同一 Web 服務器上的所有其他網站時，就會發生跨站點污染。

我們建議使用託管的 WordPress 託管服務提供商。 託管 WordPress 託管公司為網站提供多層安全選項。 他們的託管平台高度安全，他們提供每日惡意軟件掃描並防止任何外部攻擊。 如果無論如何，他們在他們的服務器上發現惡意軟件，他們會承擔責任並立即將其刪除。

他們還提供每日備份、免費 SSL 證書、24×7 專家支持。

我們推薦 WPEngine 管理的 WordPress 託管公司。 它們提供多個安全層來保護您的 WordPress 網站。 通過他們的計劃，您將獲得每日備份、免費 SSL、全球 CDN 和 24×7 專家支持。

訪問WPEngine 。 [此鏈接中添加了折扣碼]

回到頂部

2.保持WordPress版本更新

使您的 WordPress 網站保持最新是加強 WordPress 安全性的良好安全實踐。 此更新包括 WordPress 版本、插件和主題。

在最近的一項研究中，Securi 分析說，受 WordPress 感染的網站總數中有 56% 仍然是最新的。 如果你是他們中的一員，你就處於危險之中。

每天都會發現新的漏洞，並且無法阻止它們。 過時的軟件和插件可能包含黑客可以用來利用網站的漏洞。

每次更新時，開發人員都會添加新功能、修補安全漏洞、修復錯誤等。與 WordPress 軟件一樣，您還需要更新 WordPress 主題和插件。

好消息是 WordPress 會自動推出更新並通知用戶。

更新 WordPress 版本、插件和主題非常容易，您可以通過 WordPress 管理儀表板來完成。

如何更新 WordPress、插件和主題？

首先登錄到您的 WordPress 儀表板並轉到Dashboard> Updates 。 在那裡您可以查看是否有可用的新更新。

注意：在更新您的 WordPress 版本之前，請對您的文件和數據庫進行完整備份。 如果發生錯誤，您可以輕鬆地將站點恢復到以前的版本。 只需單擊一下，您就可以使用 BlogVault 輕鬆備份和恢復您的站點。

從頁面中，您可以看到“有可用的 WordPress 更新版本” 。 單擊立即更新按鈕以更新您的 WordPress 版本，此過程可能需要幾秒鐘。

更新完成後，向下滾動以更新您的 WordPress 插件。 我們建議您一一更新插件。 首先，選擇一個插件並點擊Update Plugins 。

同樣，在下面更新您的主題。

但是，對於一些用戶來說，更新過程有點棘手，尤其是那些不精通技術的用戶。

一些託管的 WordPress 託管服務提供商，如 SiteGround、Kinsta、FlyWheel 提供自動更新功能。 因此，如果您的日程很忙或懶得更新，這可能會很有用。

另請閱讀，如何手動更新 WordPress 版本、插件和主題

回到頂部

3.永遠不要使用任何無效/破解的主題和插件

難怪高級插件和主題包含更多功能並且看起來更專業。 但是，沒有一個高級產品是免費的。 它帶有價格，購買任何高級產品後，用戶需要輸入產品密鑰才能激活產品。

但是，有許多惡意網站免費提供高級主題和插件。 那些破解的主題和插件不需要序列號來激活並且永遠不會更新。

這就是我的意思：

那些無效的主題和插件對您的網站非常危險。 黑客專門在其中註入惡意代碼並為您的站點設置後門。 因此，他們可以輕鬆訪問您的網站並破解您的網站，包括數據庫。

所以永遠不要使用任何無效或破解的 WordPress 主題和插件。

我們強烈建議您僅從 WordPress.org 下載免費主題或插件。

我們了解免費主題或插件的功能非常有限。 但是，這些免費主題或插件可以安全使用並定期更新。

另請閱讀，WordPress 的 7 個最佳高級博客主題

回到頂部

4.使用強密碼

密碼是訪問 WordPress 網站的主鍵。 如果它簡單而簡短，那麼黑客可以輕鬆破解您的密碼。 超過80%的與黑客相關的違規行為是由於密碼弱或密碼被盜造成的。

在最近的一項研究中，SplashData 揭示了 2017 年 100 個最糟糕的密碼。

以下是其中一些：

1. 123456
2. 密碼
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. 讓我進去
8. 1234567
9. 足球
10. 我愛你
11. 行政
12. 歡迎
13. 猴子（笑）

如果您的密碼像上面一樣簡單，請立即更改。 一個良好的強度密碼應至少為 10 位數字，並包含大寫、小寫、數字和特殊字符。

您可以使用在線密碼生成器工具立即創建數以千計的安全密碼。

您還需要將密碼保存到您的計算機。

為方便起見，您可以使用密碼管理器軟件來管理您的所有密碼，例如 LastPass、Dashlane 等。

對用戶實施強密碼

默認情況下，WordPress 不提供防止用戶輸入弱密碼的功能。 大多數情況下，用戶為他們的帳戶設置了一個弱密碼並且幾乎沒有更改它。

如果您正在運行一個多用戶 WordPress 博客，那麼您應該強制用戶使用強密碼。

為了簡化此過程，您可以使用插件。 安裝並激活 Force Strong Passwords 插件，您就完成了。 這將防止用戶甚至管理員輸入弱密碼。

回到頂部

5.添加兩因素身份驗證（2FA）

加強 WordPress 安全性的另一種簡單方法是在 WordPress 登錄頁面中添加雙重身份驗證 (2FA)。 基本上，雙因素身份驗證或兩步驗證是一個安全過程，需要兩種方法來驗證您的身份。

默認情況下，我們通常輸入用戶名和密碼來登錄網站。 通過添加雙因素身份驗證，您將需要一個額外的驗證過程，例如智能手機應用程序來批准身份驗證過程。

因此，如果有人知道您的用戶名和密碼，他們需要您的智能手機來獲取登錄您網站的驗證碼。

通過添加雙重身份驗證，您不僅可以保護您的 WordPress 登錄頁面，還可以防止暴力攻擊。

您可以使用 Google 雙重身份驗證器 WordPress 插件輕鬆啟用雙重身份驗證。

激活後，轉到用戶> 用戶配置文件並激活插件。

然後從您的手機下載 Google 身份驗證器應用程序並掃描條形碼或從您的網站輸入密碼（見上面的屏幕截圖）以添加您的網站。

添加後，從您的站點註銷。 在登錄頁面上，您將看到一個額外的字段，您需要在其中輸入來自 Google Authenticator 移動應用程序的驗證碼。

有關詳細說明，請參閱有關如何在 WordPress 登錄頁面上添加 Google 雙重身份驗證的指南。

回到頂部

6.更改 WordPress 登錄頁面 URL

默認情況下，任何人都可以通過在您的域名末尾添加“wp-admin”或“wp-login.php”來訪問您的登錄頁面，例如： “domain.com/wp-admin”或“domain.com/” wp-login.php” 。

你猜怎麼著！ 黑客可以使用您的登錄頁面進行暴力攻擊。 如果您使用的密碼非常簡單，那麼黑客可以輕鬆破解您的密碼並進入您的網站。

但是如果他們不知道從哪裡攻擊呢？ 是的，你猜對了。

如果您隱藏或重命名您的登錄頁面 URL，那麼黑客將無法進行暴力攻擊。

在 WordPress 中，您可以使用插件輕鬆隱藏或重命名登錄頁面。 從 WordPress 插件庫中，安裝並激活 WPS 隱藏登錄插件。

激活後，轉到“設置”>“常規” ，在底部，您可以找到WP 隱藏登錄選項。

只需將登錄 URL “login”更改為其他難以猜測的內容，然後單擊Save Changes 。

完成後，為新的登錄頁面添加書籤，您就完成了。

回到頂部

7.限制登錄嘗試

默認情況下，WordPress 不限制通過登錄表單嘗試登錄的次數。 這意味著任何知道您的登錄 URL 的人都可以根據需要多次嘗試登錄功能。 通過這種方式，黑客會進行暴力攻擊以破解您的“用戶名”和“密碼”以訪問您的網站。

通過限制登錄嘗試，您可以加強 WordPress 安全性並保護您的登錄頁面免受暴力攻擊。

您可以設置用戶可以從同一 IP 地址進行的錯誤登錄嘗試的最大次數。 如果用戶超出限制，用戶的 IP 將被封鎖一段時間。

要限制 WordPress 中的登錄嘗試，請安裝 Login LockDown 插件。 激活後，轉到“設置”>“登錄鎖定”以配置插件。

有關詳細說明，請參閱我們的指南，了解如何限制 WordPress 中的登錄嘗試

回到頂部

8.定期備份您的網站

備份就像時間機器。 如果你有它，你的網站是安全的。

但是，網站備份不能保護您的網站免受黑客攻擊，但它可以幫助您恢復您的網站。

例如，如果您的網站在更新期間出現問題或您的網站被黑客入侵，您將如何再次修復您的網站？ 您可能會丟失您的網站。

但是，如果您有網站的備份，您可以輕鬆地在網站被黑客入侵或崩潰之前恢復您的網站。

這就是為什麼我們強烈建議您使用可靠的 WordPress 備份插件。 但是，許多託管公司提供免費的網站備份，但如果發生災難性故障，他們可以保證您的網站的可用性。 因此，您需要將備份保存到遠程位置，例如 Google Drive、Amazon S3、Dropbox 等。

值得慶幸的是，這可以通過使用 BlogVault 或 BackUpBuddy WordPress 備份插件來完成。 它們都提供每日備份和一鍵還原。 您還可以免費創建臨時站點。

回到頂部

9.使用WordPress 安全插件

加強WordPress 安全性所需的下一件事是安全插件。 有許多可用的 WordPress 安全插件可以鎖定您的網站免受黑客和惡意軟件的攻擊。

如果惡意軟件存在於您的網站中，WordPress 安全插件將檢測並消除它。 此外，他們實時監控用戶活動，通知您是否有任何變化，如果插件包含惡意軟件​​，阻止垃圾郵件流量等等。

我們推薦 Securi WordPress 安全插件。 Securi Security 提供不同類型的安全功能，例如安全活動審計、網站監控、網站防火牆等等。

Securi 最好的一點是，如果您的網站在使用他們的服務時被 Google 入侵或列入黑名單，他們保證會修復您的網站。

大多數 WordPress 安全專家收取 300 多美元來修復被黑網站，而您每年只需199美元即可獲得所有安全服務。 這是加強 WordPress 安全性的一項很好的投資。

回到頂部

10.自動註銷空閒用戶

如果用戶在您的站點上保持空閒或不活動的時間過長，這可能會導致暴力攻擊。

當用戶長時間處於非活動狀態時，黑客可能會使用 cookie 或會話劫持方法來未經授權訪問您的網站。 這就是為什麼大多數教育和金融相關的網站，如銀行和支付網關網站都使用用戶會話超時功能。 因此，當用戶離開頁面並在一段時間後不進行交互時，網站會自動註銷非活動用戶。

您可以將相同的功能添加到您的 WordPress 網站以提高您的 WordPress 安全性。 在 WordPress 上添加自動註銷空閒用戶非常簡單。 你只需要安裝一個插件。

首先，下載並安裝 Inactive Logout WordPress 插件。 然後激活它並轉到設置>非活動註銷以配置插件。

從設置中，您可以更改空閒超時。 因此，在此時間之後，您站點中的所有用戶都將自動註銷。

如果需要，您還可以更改空閒超時消息並修改其他設置。

完成後，單擊保存更改以存儲設置。

有關詳細說明，請參閱我們的指南，了解如何在 WordPress 中自動註銷空閒用戶

回到頂部

11.向 WordPress 登錄頁面添加安全問題

通過向您的 WordPress 登錄頁面添加安全問題，您不僅可以保護您的 WordPress 登錄頁面，還可以加強 WordPress 的安全性。

安全問題增加了額外的安全層，以在登錄期間進一步驗證您的身份。如果您正在運行多作者 WordPress 博客，這將非常有用。

如果您的任何用戶或密碼被盜，那麼安全問題可以挽救生命。

因為用戶名和密碼很容易被破解，但選擇正確的安全問題和答案幾乎是不可能的。 通過這種方式，您可以保護您的 WordPress 登錄頁面免受黑客和暴力攻擊。

要在 WordPress 登錄頁面上添加安全問題，請安裝WP 安全問題插件。

激活後，轉到WP 安全問題 > 插件設置以配置插件。

默認情況下，該插件添加了許多常見問題。 但是，您可以從列表中添加或刪除任何安全問題。

在底部，您可以在登錄頁面、註冊和忘記密碼頁面啟用安全問題。 插件配置完成後，別忘了點擊保存設置。

注意：只有新用戶才能在註冊時設置安全問題和答案。 所以註冊用戶需要自己手動設置安全問題和答案。 您還可以為他們設置安全問題和答案。 這可以從用戶配置文件頁面完成。

有關詳細說明，請參閱我們的指南，了解如何向 WordPress 登錄頁面添加安全問題

回到頂部

12.更改默認的“管理員”用戶名

安裝 WordPress 後，您可以根據需要多次更改密碼。 但是，一旦設置了用戶名，您可以更改嗎？ 沒有權利？

默認情況下，WordPress 不允許用戶更改用戶名。 但是你為什麼要改變它呢？

如果您使用的是非常常見的用戶名，例如“admin”，那麼黑客可以在您的用戶名的幫助下運行暴力附加。

但不要驚慌。 您可以通過多種方式輕鬆更改 WordPress。

但是，為了使過程更容易，我們將使用插件。 首先，下載並安裝用戶名更改插件。 然後轉到用戶>您的個人資料並找到用戶名選項。 在那裡你會找到“更改用戶名”選項。

單擊更改用戶名按鈕並輸入您的新用戶名。 完成後，單擊更新配置文件。

如果您想手動更改您的用戶名（不使用插件），請查看文章更改 WordPress 用戶名的 3 種不同方法。

回到頂部

13.將用戶分配到可能的最低角色

如果您正在運行一個多作者 WordPress 站點，那麼在將角色分配給用戶之前需要小心。

很多時候，WordPress 網站所有者為新用戶分配了更高的用戶角色，這樣您就可以將所有權限授予用戶，因此，任何用戶都可以執行任何他們想要的任務。

例如，如果您不知道編輯用戶角色可以執行什麼操作，並且您將該角色分配給普通用戶，那麼該用戶可以刪除您的所有帖子、編輯鏈接、創建垃圾帖子、將惡意鏈接添加到您的博客帖子。 這就是用戶可以輕鬆破壞您的網站的方式。

默認情況下，WordPress 帶有 5 種不同的用戶角色。

• 行政人員
• 編輯
• 作者
• 貢獻者
• 訂戶

1. 管理員：管理員是 WordPress 網站中最強大的用戶角色。 他們可以創建、編輯和刪除用戶帳戶，可以在整個 WordPress 管理面板中執行任何任務，可以控制所有內容區域，還可以管理評論。
2. 編輯：具有編輯角色的用戶可以完全控制所有內容。 他們可以創建、編輯和刪除任何帖子，包括其他用戶創建的帖子。 他們還可以審核評論和修改鏈接。
3. 作者：作者只能發布、編輯或刪除自己的帖子。 他們可以上傳媒體文件以在他們的帖子中使用。 他們可以查看評論，但不能批准或刪除任何評論。
4. 投稿人：具有投稿人角色的用戶只能撰寫、編輯或刪除自己未發布的帖子，但不能發布自己的帖子。
5. 訂閱者：訂閱者只能編輯他們的帳戶信息，包括密碼，但他們無權訪問內容或網站設置。 它們在 WordPress 網站中具有最低的功能。

通過了解 WordPress 用戶角色，您可以輕鬆管理它們而沒有任何風險。

我們還建議您將新用戶默認角色設置為訂閱者。 轉到設置>常規設置並從他們設置的新用戶默認角色-訂閱者中單擊保存更改。

有關更多詳細信息，請閱讀 WordPress 用戶角色和功能初學者指南

回到頂部

14.監控文件更改和用戶活動

加強 WordPress 安全性的另一種智能方法是監視用戶活動和文件更改。

如果您正在運行一個多用戶 WordPress 站點，那麼您應該跟踪用戶行為，以更好地了解他們在您的 WordPress 站點中的活動。

誰知道，如果用戶正在做一些可疑的工作或試圖破解您的網站？ 你怎麼知道？

跟踪用戶活動和文件更改的唯一方法是使用用戶活動 WordPress 插件。 通過在 WordPress 中使用用戶活動插件，您可以：

• 實時查看誰登錄以及他們在做什麼
• 當用戶登錄和註銷時
• 用戶嘗試登錄但失敗的次數

此外，如果編輯在未經您許可的情況下對帖子或頁面進行了任何更改，那麼您可以輕鬆找到並將其還原。 用戶活動插件的好處是，如果出現問題，它會立即向您發送電子郵件通知。

WP Security Audit Log 是實時監控用戶活動和文件更改的最佳插件。 這是插件如何工作的屏幕截圖。

另請閱讀，在 WordPress 中監控用戶活動的 5 個最佳插件（替代插件）

回到頂部

15.實施 SSL 和 HTTPS

沒有 SSL 證書就無法提高WordPress 的安全性。 SSL（安全套接層）是網站安全的支柱。

SSL 是一種標準安全技術，可在在線通信（如在線交易）中在服務器和 Web 瀏覽器之間創建加密鏈接。 因此，所有敏感數據（如密碼、信用卡詳細信息等）都通過加密鏈接傳遞。

如果您經營在線業務或接受付款的博客，那麼 SSL 證書是必須的。 它將保護您客戶的數據免受黑客攻擊。 對於在線商店或 WooCommerce 網站，SSL 證書的成本約為 20-170 美元。

如果您正在運行 WordPress 博客，則不需要付費 SSL 證書。 如果您使用的是 SiteGround、WPEngine 等 cPanel 託管，那麼您可以一鍵免費安裝 SSL 證書。

首先，登錄到您的託管 cPanel 帳戶並導航到Security 。 （下面是 SiteGround 託管 cPanel 的截圖。）

轉到SSL/TLS 管理器並單擊安裝 SSL 證書。 從頁面中，選擇您的域，然後單擊Autofill by domain 。 該過程是自動的，因此您無需編輯或修改任何內容。

現在單擊“安裝證書”按鈕以完成設置過程。

完成後，登錄到您的 WordPress 管理儀表板以修改您的站點 URL。 轉到設置>常規並在您的站點 URL 之前添加將 HTTP 替換為 HTTPS。 這是下面的屏幕截圖。

更新後，單擊Save Changes 。

如何在 WordPress 中將 HTTP 重定向到 HTTPS

如果您已正確安裝 SSL 證書，則您的站點可通過 HTTPS 訪問。

但是，如果有人在瀏覽器地址欄上只鍵入您的網站名稱（即 domain.com），則該網站可能會顯示“連接不安全”消息。 這意味著您的網站可以通過 HTTP 訪問。

要解決此問題，您需要在 WordPress 中強制使用 HTTPS，因此您的網站只會使用 HTTPS 加載。 您可以輕鬆地在 WordPress 中強制使用 HTTPS。

首先登錄到您的託管 cPanel 並轉到您網站的根文件夾並找到.htaccess文件。 編輯 .htaccess 文件並在最後添加以下代碼。

重寫引擎開啟
RewriteCond %{HTTPS} 關閉
重寫規則 ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

保存文件，您就完成了。 現在您的網站只能通過 HTTPS 訪問。

如果您的網絡託管服務提供商不提供免費的 SSL 證書，那麼您可以手動安裝 SSL 證書。 這是有關如何安裝免費 SSL 證書的指南。

回到頂部

16.刪除未使用的主題和插件

在加強 WordPress 安全性方面，我們不應忽視任何可能使您的網站易受攻擊的小步驟。

大多數情況下，WordPress 網站所有者會安裝不同的主題和插件來測試哪個主題在他們的網站上看起來更好，或者哪個插件具有更多功能。 沒關係。 但是保留那些未使用的主題和插件會使您的網站容易受到攻擊。

因為保留許多 WordPress 主題和插件需要像您正在使用的那樣定期更新。 如果您不更新它們，它們就會變得易受攻擊，黑客可以通過易受攻擊的主題和插件輕鬆利用您的網站。 此外，保留如此多的主題和插件會使 WordPress 網站變慢。

因此，您應該始終刪除未使用的主題和插件，以提高網站性能和 WordPress 安全性。

要刪除未使用的插件，請轉到Plugins> Installed Plugins 。 然後找到你不再需要的插件。 首先，停用插件並單擊Delete 。

同樣，要刪除主題，請轉到Appearance> Themes並單擊Theme Details 。 然後在右側底部，單擊Delete 。

回到頂部

17.在 WordPress 儀表板中禁用文件編輯

默認情況下，WordPress 允許用戶直接從 WordPress 儀表板編輯主題和插件文件。 對於經常需要編輯主題和插件文件的用戶來說，這是一個有用的選項。

但是，保持啟用此功能可能是一個嚴重的安全問題。 如果黑客訪問您的網站，他們通常會通過將惡意代碼注入網站文件來留下足跡。 如果您啟用了 WordPress 文件編輯功能，那麼黑客可以很容易地將惡意代碼注入您不知道的主題或插件文件中。

為了提高 WordPress 的安全性，您需要從 WordPress 儀表板禁用文件編輯功能。 在 WordPress 中禁用 WordPress 主題和插件編輯器非常簡單。

首先，您需要登錄到您的託管 cPanel 帳戶並轉到您的 WordPress 站點的根文件夾。 從那裡，找到wp-config.php。 單擊編輯並在最後添加以下代碼。

定義（'DISALLOW_FILE_EDIT'，真）；

現在保存文件並刷新您的 WordPress 儀表板。 您將看到主題和插件編輯器選項已消失。 通過這個小技巧，您可以輕鬆提高 WordPress 的安全性。

閱讀有關如何在 WordPress 中禁用主題和插件編輯器的詳細指南

回到頂部

18.密碼保護WordPress登錄頁面

提高 WordPress 安全性的另一個好方法是密碼保護 WordPress 登錄頁面。

通過密碼保護您的 WordPress 登錄（/wp-login.php）或管理員（/wp-admin）頁面，您可以防止黑客訪問您的登錄頁面，因為它需要密碼才能訪問登錄頁面。 啟用此功能後，您的站點將提示所有訪問登錄頁面的用戶使用用戶名和密碼窗口。 簡而言之，在訪問您的 WordPress 管理儀表板之前，所有用戶都需要使用不同的用戶名和密碼登錄兩次。

通過這樣做，您可以加強您的 WordPress 安全性，並為您的登錄頁面增加一層額外的安全性。

閱讀我們關於如何密碼保護 WordPress 登錄頁面的深入指南。

回到頂部

19.禁用 WordPress 中的目錄瀏覽

默認情況下，Apache、NGINX 和 LiteSpeed 等大多數 Web 服務器都允許任何用戶瀏覽包含 WordPress 文件和文件夾的目錄。 他們還可以查看您正在使用的主題和插件，並了解有關您網站結構的更多信息。

此信息可能會導致您的 WordPress 網站易受攻擊，並在試圖破壞您的網站時幫助黑客。

為了增強 WordPress 的安全性，我們建議您禁用此選項。 要在 WordPress 中禁用目錄瀏覽，只需將以下行添加到您的.htacces文件中。

選項所有索引

有關詳細說明，請閱讀我們關於如何在 WordPress 中禁用目錄瀏覽的指南

回到頂部

20.刪除你的 WordPress 版本

默認情況下，WordPress 會自動在顯示您正在使用的 WordPress 版本的不同位置添加元標記。

事情是這樣的：如果黑客知道您運行的是過時的 WordPress 版本，他們可以通過舊 WordPress 版本中存在的已知漏洞來利用您的網站。

因此，最好刪除 WordPress 版本以提高 WordPress 安全性。 WordPress 在多個地方添加元標記，例如，在 WordPress 儀表板中、在標題中、在樣式和 javascript 中以及在 RSS 提要中。

從標題和 RSS 中刪除 WordPress 版本

要從標題和 RSS 中刪除版本，請在functions.php文件的末尾添加以下行。

功能 remove_wordpress_version() {
返回 '​​';
}
add_filter('the_generator', 'remove_wordpress_version');

從腳本和 CSS 中刪除 WordPress 版本號

要從 CSS 和腳本中刪除 WordPress 版本，請在functions.php文件的末尾添加以下行。

// 從腳本和样式中挑選出版本號
函數 remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg('ver', $src);
返回 $src;
}
add_filter('style_loader_src', 'remove_version_from_style_js');
add_filter('script_loader_src', 'remove_version_from_style_js');

完成後，保存functions.php文件。

而已。 通過這個簡單的技巧，您肯定可以提高您的 WordPress 安全性。 但是，我們始終建議您定期更新 WordPress 版本以及主題和插件。

有關詳細說明，請閱讀我們關於如何隱藏或刪除 WordPress 版本的指南

回到頂部

21.更改 WordPress 數據庫表前綴

在 WordPress 安裝期間，它會詢問您是否要使用不同的數據庫前綴。 我們通常會跳過這一步，因此 WordPress 會自動使用(WP_)作為默認的數據庫表前綴。 我們建議您將其更改為強大而獨特的內容。

使用默認 (WP_) 前綴會使您的 WordPress 數據庫容易受到 SQL 注入攻擊。 可以通過將數據庫前綴 (WP_) 更改為唯一值來防止此類攻擊。

安裝 WordPress 後，您可以使用插件或手動輕鬆更改默認數據庫表前綴。 BackupBuddy、Brozzme DB Prefix 等插件讓您只需單擊即可更改表前綴。

為了本教程的目的，我將展示如何使用 Brozzme DB Prefix 插件對其進行更改。

注意：在對數據庫進行任何操作之前，請確保備份您的站點和數據庫。 如果出現問題，您可以恢復您的網站。

首先，安裝並激活 Brozzme DB Prefix 插件。 在您的 WordPress 儀表板中，轉到工具 > 數據庫前綴並為數據庫前綴輸入一個新的唯一名稱。

輸入新前綴後，單擊Change DB Prefix 。

對於手動過程，請閱讀如何使用 phpMyAdmin 更改數據庫表前綴

回到頂部

22.只使用受信任的 WordPress 插件

WordPress 附帶超過 48,000 個插件。 這並不意味著所有插件都是有用且安全的。

因為 WordPress 插件庫中有許多可用的插件，它們很長一段時間都沒有更新，通常它們變得容易受到攻擊。 此外，如果插件破壞了您的網站，您將不會獲得任何支持。

在您使用任何免費插件之前，您需要檢查兩件重要的事情，

• 檢查插件的最後更新時間：如果插件不經常更新或不再由插件開發人員維護，那麼您應該避免使用該插件。

• 檢查插件是否具有最大正面評價：接下來您需要檢查插件是否具有最大正面或負面評價。 如果插件有最大的負面評價，你不應該使用它。

您還可以查看插件的評論和支持頁面，了解其他用戶對該插件的評價。

但是，別擔心。 您可以從 WordPress 插件庫中找到許多類似的插件。

如果您想使用高級插件，則無需擔心。 高級插件會定期更新，您將從插件開發人員那裡獲得 24 倍的支持。

回到頂部

23.禁用PHP錯誤報告

加強 WordPress 安全性的另一個好方法是在 WordPress 中禁用 PHP 錯誤報告。 很多時候，當您安裝過時的插件或主題時，您可能會看到 PHP 錯誤警告。

但是，如果黑客獲取它，因為它顯示代碼和文件位置，它可能會導致您的網站易受攻擊。 為了將風險降到最低，您可以在 WordPress 中禁用 PHP 錯誤報告。

在 WordPress 中禁用 PHP 錯誤警告非常簡單。 首先，編輯您的wp-config.php文件並找到包含以下代碼的行：

定義（'WP_DEBUG'，假）；

您可能會看到“真”而不是“假”。 現在用以下代碼替換該行。

ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
定義（'WP_DEBUG'，假）；
定義（'WP_DEBUG_DISPLAY'，假）；

保存文件，您就完成了。

我們還建議您使用最新且評價良好的插件來避免此類問題。

回到頂部

24.將 HTTP 安全標頭添加到 WordPress

加強 WordPress 安全性的另一個好方法是將 HTTP 安全標頭添加到您的 WordPress 站點。

當有人訪問您的網站時，瀏覽器會向您的網絡服務器發出請求。 然後 Web 服務器響應請求以及 HTTP 標頭。 這些 HTTP 標頭傳遞諸如內容編碼、緩存控制、內容類型、連接等信息。

通過添加安全的 HTTP 響應標頭，您可以提高 WordPress 的安全性並防止緩解攻擊和安全漏洞。

以下是以下 HTTP 標頭：

• HTTP 嚴格傳輸安全 (HSTS) ： HTTP 嚴格傳輸安全 (HSTS) 強制 Web 瀏覽器在與網站通信時僅使用安全連接 (HTTPS)。 這可以防止 SSL 協議黑客攻擊、cookie 劫持、SSL 剝離等。
• X-Frame-Options ： X-Frame-Options 是一種 HTTP 標頭，它指定是否允許瀏覽器在框架中呈現網站。 這可以防止點擊劫持攻擊並確保您的網站不會使用 <frame> 嵌入到其他網站中。
• X-XSS-Protection ： X-XSS-Protection 是 Internet Explorer、Google Chrome、Firefox 和 Safari 瀏覽器的內置功能，如果從用戶輸入中插入了惡意腳本，則會阻止頁面加載。
• X-Content-Type-Options ： X-Content-Type-Options 是一種 HTTP 響應標頭，其值為 nosniff，可防止 Web 瀏覽器 MIME 嗅探來自聲明的內容類型的響應。
• Referrer-Policy： Referrer 策略是一個 HTTP 響應標頭，可防止跨域 referrer 洩漏。

要在 WordPress 中添加 HTTP 安全標頭，只需將以下代碼行添加到您的.htaccess文件中。

標頭集 Strict-Transport-Security "max-age=31536000" env=HTTPS
標頭始終附加 X-Frame-Options SAMEORIGIN
標頭集 X-XSS-Protection "1; mode=block"
標頭集 X-Content-Type-Options nosniff
Header Referrer-Policy: no-referrer-when-downgrade

現在去 securityheaders.com 檢查代碼是否有效。 我們沒有添加“內容安全政策”，因為它可能會破壞您的網站。 但是，這足以使您的 WordPress 網站安全。

回到頂部

結論

有很多方法可以加強WordPress 的安全性，例如：使用託管 WordPress 主機、為帳戶使用強密碼、監控用戶活動、使用 WordPress 安全插件、實施 SSL 和 HTTPS 等等。

Harding WordPress 安全性不是火箭科學。 通過實施我們在本文中分享的 WordPress 安全最佳實踐，您可以輕鬆地保護您的 WordPress 網站。 通過實施它們，您不僅可以保護您的 WordPress 網站，還可以防止黑客訪問您的網站。

完成後，您無需擔心 WordPress 的安全性。 此外，您可以提高工作效率並擺脫壓力。

現在輪到你了。 徹底閱讀這篇文章並將它們實施到您的網站。 你會很高興你做到了。

我們是否錯過了任何重要的 WordPress 安全提示？ 請隨時在評論部分告訴我們。

WordPress 安全信息圖