对WordPress网站进行安装加固的最新详细图文教程

WordPress目前已成为世界上最受欢迎的内容管理系统 (CMS) 之一，世界上超过44%的网站基于其构建。对于我们来说，与任何在线平台一样，安全性应该是大家最关心的问题。在这篇文章中，搬主题将介绍WordPress安全问题，并介绍如何对WordPress网站进行安装加固的最新详细图文教程。

WordPress 安全吗

安全其实是相对的，毕竟WordPress 开发人员努力通过定期进行补丁和更新来维护其平台的安全性。然而，由于 WordPress 是建立在开源框架之上的，黑客可以分析它的构建方式，并经常开发新的方法来控制 WordPress 网站。因此，WordPress 的安全性至关重要。了解与使用 WordPress 相关的风险对于更好地了解如何保护您的网站非常重要。

WordPress 安全问题

运营 WordPress 网站时，需要注意一些潜在风险。最令人担忧的问题之一是黑客。由于 WordPress 如此受欢迎，它吸引了不法分子的注意，他们试图利用过时的插件或核心文件等漏洞来获得对您网站的未经授权的访问。他们可以采用后门、发起暴力攻击、药物攻击、拒绝服务 (DoS) 攻击或跨站点脚本 (XSS)等方法。

如果不解决，可能会造成严重后果，例如恶意软件（旨在窃取您网站访问者信息的恶意代码）、将您的网站转发到完全不同的网站、添加您不知道的内容、可能会损害您的排名的 Google 警告SERP ，或者更糟糕的是，无法登录您的网站。

如何保护您的 WordPress 网站

以下部分将探讨增强 WordPress 安全性的设置方法，以保护您的网站免受潜在威胁。

WordPress 安全：选择好的 WordPress 托管

第一步是与一家优秀的WordPress 托管公司合作。由于可用的选择如此之多，因此很难确定如何选择合适的主机。如果您是初学者，最好选择一个好的托管提供商，例如SiteGround，它将提供 WordPress 的所有安全更新，同时还维护安装它的服务器。

主机地址：https://www.siteground.com/

对于那些更精通技术的人来说，阿里云主机也是一个绝佳的选择。如【阿里云轻量云服务器促销活动 2核2G只要108元/年 2核4G要298/年】

任一选项都会为您提供确保网站安全所需的所有工具，包括：

• 免费 SSL 证书
• Web 应用程序防火墙 (WAF)
• SFTP访问
• 分布式拒绝服务 ( DDoS ) 保护
• 恶意软件防护

确保WordPress登录安全

为了提高 WordPress 安全性，您可以做的另一件简单的事情是锁定您的登录凭据。这可以通过多种方式完成，包括使用插件将登录 URL从 /wp-admin 更改为您选择的内容。您还可以在登录中添加双因素身份验证(2FA) 并限制登录尝试，这将有助于抵御机器人。

保护您的登录信息的另一种方法是使用WordPress 的 Google Apps 登录信息将其链接到您的 Google 帐户。一旦您的登录被锁定，您应该将用户的 IP 地址列入白名单。这确保只有注册用户才能进入，即使他们已经设法找出您的密码。

使用WordPress安全插件

您可以做的另一件非常有用的事情是安装一个好的安全插件，例如iThemes Security。它将允许您添加 2FA、限制登录尝试、安排备份以及隐藏您的 WordPress 登录信息。【iThemes Security Pro汉化中文专业版|WordPress最佳安全防护插件介绍】

除了 WordPress 安全插件之外，如果您的主机不提供备份，还可以考虑安装一个好的备份插件，例如UpdraftPlus，也可以在搬主题网站上进行下载。备份插件可以保护您免于丢失网站文件，从而帮助您避免从头开始重建 WordPress。如果出现问题，您可以轻松地恢复您的网站。最后，合并像WP Activity Log这样的活动日志插件将允许您查明出了什么问题以及何时出现问题。

保持PHP更新

WordPress 需要三件事才能正常工作：PHP、MySQL 和 HTTPS 支持。PHP，即超文本预处理器，是一种用于 Web 开发的流行开源脚本语言，也是 WP 的支柱。与 WordPress 一样，开源使得恶意行为者有机可乘。为了避免这些潜在问题，最好保持PHP 更新。它不仅有助于提高 WordPress 的安全性，还可以使您的网站保持最佳运行状态。

选择强密码

WordPress 安全性最重要的方面之一是选择强密码进行登录。弱密码或容易猜到的密码会使您的网站容易受到未经授权的访问，并使您的网站暴露于僵尸网络。僵尸网络是被恶意软件感染并受到黑客控制的计算机的集合。它们是互联网上 DDoS 攻击的主要原因，但您可以通过采取正确的预防措施来防止您的网站成为它们的受害者。

例如，您可以通过确保所有用户遵守密码策略来保护您的网站。实现此目的的一个好方法是安装类似Password Policy Maker 的插件。

WordPress 安全：保持软件更新

WordPress 安全的另一个简单步骤是保持WordPress核心、插件和主题更新。让软件过时可能会给您的网站带来负面影响，包括安全漏洞、WordPress 白屏死机或任何常见错误。

您可以自行更新或启用自动更新。什么适合您取决于几个因素，包括时间、专业知识以及您安装的 WordPress 运行的软件类型。无论您是处理更新还是选择自动更新，您都应该在执行任何更新之前进行备份。

安装 SSL 证书

如果您与优秀的托管提供商合作，随之而来的好处之一就是免费的SSL证书。但是，在某些情况下，您可能需要自己安装一个。大多数提供商（例如SiteGround）都提供免费的 SSL，只需几分钟即可安装。当您阅读本文时，您可能会问：“为什么我需要 SSL 证书？”。让我们解释一下。

SSL（安全套接字层）将超文本传输​​协议 (HTTP) 扩展为安全超文本传输​​协议 ( HTTPS )，添加了加密和额外的安全层。例如，通过 HTTP 进行购买的消费者可能面临信用卡信息被利用的风险。另一方面，如果他们通过 HTTPS 进行相同的购买，他们的信息将受到保护。如果没有这种安全连接，您的网站及其访问者就会暴露并容易受到攻击。这就是为什么在任何新网站上安装 SSL 证书至关重要。

进行安全审计

一旦您采取措施保护您的网站，偶尔进行WordPress 安全审核就很重要。正如技术每天都在变化一样，黑客的工具库也在不断变化。恶意软件和其他策略会定期出现，因此保护您的 WordPress 网站并不是一件一劳永逸的事情。安排定期安全检查，并查找您的网站可能存在问题的迹象。如果您发现您的网站加载缓慢、流量下降、您发现了未添加的新链接，或者您经历了过多的登录尝试，则可能是时候运行安全扫描以确保您的网站保持安全。

高级WordPress安全技术防护

除了上面列出的步骤之外，还有一些更高级的技术可以合并到您的网站中以增强 WordPress 安全性。

强化wp-config.php文件

黑客的一个常见入口点是 WordPress 网站的wp-config.php文件。它包含有关数据库的信息，包括名称、主机、用户名和密码。让这个重要的文件保持打开状态可能是有害的，因此隐藏它始终是一个好主意。

移动您的wp-config.php文件

要移动 wp-config，您可以将其拖到站点的根文件夹（公共 HTML）中，只要对站点进行 ping 操作，WordPress 就会查找它。但是，如果您网站的文件结构包含htaccess文件，您可以使用以下代码添加指令以拒绝对其进行访问，从而进一步保护它：

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

注意：在执行此操作之前，请确保您的托管提供商尚未采取措施为您移动wp-config文件。有些主机（例如Kinsta）会自动执行此操作以确保您的网站安全。

更改WordPress salt key

保护wp-config文件的另一种方法是更改​​站点的salt key。这些密钥添加了额外的保护层，同时将密码保存到数据库、登录 cookie 以及其他重要的 WordPress 安全方面。如果黑客能够获取您的salt key，他们就可以访问您网站的数据库和文件，包括存储的信用卡信息、密码和其他重要信息。因此，建议定期更换。

更改文件权限

默认情况下，根目录中的文件设置为 644，这意味着它们既可读又可写，从而容易受到不良行为者的攻击。根据 WordPress 的说法，这些不应保留默认权限。相反，它们应该更改为 440 或 400，以防止同一服务器上的其他人读取它们。但是，在对文件权限进行任何更改之前，请务必咨询您的托管提供商。他们可能拥有独特的系统，因此更改权限可能会导致您的网站中断。

禁用XML-RPC

XML-RPC 是一个 WordPress API，可让您将网站连接到第三方应用程序和工具。近年来，它被暴力攻击利用，允许访问 WordPress 网站。它主要用于建立 Zapier 连接或通过应用程序远程访问您的站点。如果您不使用任何这些连接，则应在服务器上禁用 XML-RPC。

有多种方法可以做到这一点，包括通过 htaccess 禁用它、使用代码片段或使用插件。最高级的方法 htaccess 对于初学者来说可能很棘手，因此最推荐的方法是使用代码片段。

对于 htaccess 方法，请使用FTP 客户端访问站点的文件，然后将以下代码添加到 htaccess 文件中：

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

注意：请务必将 IP 123.123.123.123更改为您自己的 IP。

或者，您可以使用AIOSEO插件的工具htaccess 选项卡插入代码：【All in One SEO Pro 4.4.2(又名AIOSEO)完美汉化中文版|功能强大的WordPress站点专业SEO插件】

如果您希望使用代码片段禁用 XML-PRC，则可以使用WPCode插件轻松完成。它有一个内置代码片段，您可以使用它来禁用 API。【WPCode Pro汉化中文版|自定义添加代码片段WordPress插件介绍】

隐藏WordPress版本

在 WordPress 安全方面，这是一个经常被忽视的步骤，但却是一个重要的步骤。默认情况下，WordPress 会在您网站的代码中留下痕迹，显示安装的版本。这可能看起来无害，但通过访问网站的源代码，黑客可以确定您正在运行的 WordPress 版本。如果它已经过时，他们可以使用该信息通过注入恶意软件或恶意脚本来侵入您的网站。

因此，作为额外的 WordPress 安全措施，请隐藏您网站的 WordPress 版本，以使黑客更难控制您的网站。有一些很好的方法可以做到这一点。您可以实现一个代码片段插件来删除源代码中的行，也可以创建一个子主题并将其放入您的functions.php 文件中。

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

或者，如果您想删除元标记、数据库查询字符串和RSS 源中的 WP 版本，请使用以下代码：

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
  
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

如果WordPress网站被黑客入侵该怎么办

即使您所做的一切都是正确的，您也可能会发现自己的网站遭到黑客攻击。值得庆幸的是，您可以采取一些步骤，包括将站点置于恢复模式、从最近的备份恢复或重置密码。如果其他方法都失败，您的托管提供商可能会提供帮助。

关于 WordPress 安全性的最终想法

通过采取必要的步骤来提高 WordPress 的安全性，您可以确保您的网站继续正常运行，同时对访问者来说是安全的。虽然 WordPress 提供了巨大的优势和易用性，但了解其缺点也很重要。值得庆幸的是，有许多 WordPress 安全插件可以帮助保持一切正常。以上只是介绍一些基本的防护办法，当然还有很多WordPress的安全防护办法，比如安装WordPress安全防护插件。【WPMU Dev Defender Pro 3.12.0完美汉化中文版|WordPress高级防火墙安全防护插件】