终极WordPress安全防护指南-2021 年网站安全强化的详细操作教程

根据Wordfence的数据，每60秒就有约9.1万个WordPress网站被黑。曾经对4万个Alexa前100万个WordPress网站的研究显示，73.2%的网站存在安全漏洞，这并不奇怪。即使是WordPress黑客新手也可以使用基本的自动化工具，在几秒钟内利用你网站的WordPress网站安全漏洞。这里搬主题就分享一下终极WordPress安全防护指南-2021 年网站安全强化的详细操作教程。

所以，你想知道如何保护你的WordPress网站免受黑客攻击是很聪明的。你可能也想知道2021年哪些是最好的WordPress网站安全插件。

如果你有一个完整的WordPress安全检查表可以使用呢？如果你知道哪些WordPress安全漏洞需要提前应对呢？

一、WordPress安全 – 为什么你应该保护你的WordPress网站

近年来，WordPress占了网络上所有被黑的内容管理系统的90%。

其中约67%有后门，50%容易受到SEO垃圾信息的影响。有网店的网站对欺诈者特别有吸引力。

所以保护你的WordPress网站的安全可以帮助保护你的用户、声誉和收入。另外，85%的网上购物者会避开不安全的网站。因此，你需要加强你的WordPress网站，以确保和保护你的客户的详细信息，并反过来吸引、转换和保留他们。

然而，搜索引擎正在对不安全的网站进行惩罚，排名不佳，这可能意味着失去你的观众和收入来源。

经鉴定，2019年的勒索软件案件创下了历史最高纪录，因此如果不采取反击行动，2020年可能会看到更多的勒索软件威胁未遂和成功。

尽管如此，从WordPress的安全漏洞中恢复往往是一个昂贵的、漫长的、令人毛骨悚然的混乱，许多网站管理员从未真正恢复。谷歌每周也会检测并阻止近40000个恶意软件和钓鱼网站。而我们能做哪些防护呢？

在这个WordPress安全防护指南中，你将学习如何保护你的网站，无论你是一个经验丰富的WordPress用户还是刚刚开始的新手。这里不需要编程经验，也没有技术术语。

二、如何在2021年保护你的WordPress网站

我们把安全防护指南分成四个部分。

1. 现在的顶级WordPress安全漏洞
2. 如何保护WordPress：基础知识
3. 如何确保WordPress的安全：核心保护
4. 如何确保WordPress的安全：高级保护

在每一节中，搬主题将尽量推荐最好的WordPress安全插件、第三方工具和更多的资源，以使你的工作更容易和持续地达到一流水平。

当然，太多的选择可能是一件坏事，所以我们不会为同样的工作推荐超过三个的插件。此外，太多的插件会使你的WordPress网站变慢，因为所有的脚本都要提前读取。这将对你的SEO不利。请记住，搜索引擎会惩罚速度慢的网站，把它们降到搜索引擎结果页（SERPs），那里的流量要少得多，因此页面浏览量、点击量和收入都会减少。

就这样，这里有绝对必须做的WordPress安全提示，在2021年的终极WordPress安全防护指南中进行了整理。

1、现在的WordPress安全漏洞排行榜

从2019年开始计算的话，最常见的WordPress安全漏洞包括：

1. 不安全或被盗的密码是成功攻击的主要原因，占81%（Panda Security）。
2. 防范暴力攻击和WordPress插件漏洞可以降低70%的攻击风险（Wordfence
3. 配置不良的S3桶向收集情报的黑客泄露了超过7000万条记录
4. 勒索软件在2019年成倍增加
5. 使用的WordPress主机服务和WordPress插件的安全漏洞占到了51%的攻击（WP White Security）。
6. “Admin”、”admin”、”test”、”root “和 “administrator “是被攻击的顶级用户名（WPSmackDown
7. 当对你的WordPress数据库进行无端访问时，就会发生SQL注入现象
8. 令人震惊的是，有很多人使用过时的WordPress版本，现在只有34.5%的人在运行WordPress 5.3及以上

那么，你如何在2021年保护你的WordPress网站？

如何保护你的WordPress网站–基本原理：这里有简单的、可操作的步骤来加固你的WordPress网站，你可以立即实施。

1.使用最新版本的WordPress、主题和插件

另外，最新的WPScan漏洞数据库显示，已知的WordPress安全漏洞都记录在WordPress 4.0和早期版本中。

只要立即将你的WordPress网站更新到最新版本，你就可以无忧无虑地保护自己。

而你知道吗，多达60%的WordPress攻击都可以追溯到一个有漏洞的插件上？

该数据库还显示了存在漏洞的前5个WordPress插件，都有超过17个已知漏洞。

然后，它继续指出安全漏洞最多的前10个WordPress主题如下：

甚至最新的WordPress版本都不安全。但最新的WordPress安全补丁有助于保护积极主动的网站管理员。一定要下载最新的WordPress更新，避免受影响的插件，并更换有漏洞的WordPress主题。

2. 为WordPress安全添加双因素认证

在你的网站上激活双因素二次认证，使你能够遏制后门攻击、暴力登录尝试、制药攻击和恶意重定向。它应该是你用来加强你的WordPress网站的第一道防线之一。二步认证的工作方式是让你的网站需要一个辅助的登录方法。

在大多数情况下，你需要对你的手机进行设置，以便在你在登录页面上输入你的WordPress用户名和密码后，收到一个秘密密码或电话（密码会读给你听），一个基于时间的一次性密码（OTP），或扫描一个代码。

它之所以有效，是因为黑客很少能同时接触到你的用户名、密码和双因素认证的密码。

WordPress的Google Authenticator插件是一个很好的入门工具。下面是如何用谷歌认证器激活WordPress的两步认证？

谷歌认证器的顶级替代品包括WordPress的MiniOrange OTP认证器和双因素认证。如果你已经在使用WordPress的安全插件，如Wordfence或LastPass，分别有一个手机登录或LastPass认证器选项。

3. 使用聪明的用户名和强大的密码

最好的用户名和密码不必太复杂，以至于你最终会丢失或完全忘记它们。

1. 使用较长的密码
2. 混合特殊字符、数字和字母，使其不那么明显
3. 使用电子邮件ID来登录，而不是用户名
4. 在2020年使用一个顶级的密码管理器，如DashLane、LastPass和1Password。

4. 改变默认的管理员用户名

将WordPress默认的 “admin “用户名替换为更独特、更不容易预测的用户名。

想知道如何改变WordPress中的管理员用户名？你可以通过进入用户>>添加新用户来手动和简单地完成。创建一个可靠的密码和新的用户名后，将角色设置为管理员。然后点击添加新用户。

之后，将所有的内容和领导权限分配给新的管理员账户，并删除旧的账户。

5. 投资于安全的WordPress主机

脆弱的主机服务是黑客攻击的前三个原因之一。与管理的WordPress主机相比，共享的WordPress服务尤其令人担忧。这是因为黑客可以从一个与你共享网络服务器和其他公共资源的网站上攻击你的网站。

但投资于高质量的托管公司，如SiteGround和Bluehost，可以帮助你确保你的网站，无论你选择哪种托管方式。

SiteGround主机地址：https://www.siteground.com/

6. 使用最好的WordPress安全插件

接下来，确保你有一个永远在线的监控和系统审计插件来捕捉你可能没有的东西。使用顶级的WordPress安全插件，如iThemes Security（以前的Best WP Security）、Sucuri Security和WebARX等，会对你有所帮助。

1. 通知你失败的登录尝试
2. 网站防火墙
3. 隐藏你的WordPress版本号
4. 监控文件的完整性
5. 扫描恶意软件

最好的往往是用于WordPress网站的多合一WordPress安全插件，因此你不必使用不同供应商的多个工具，也不必拖慢你的网站。

iThemes Security Pro汉化中文专业版下载：

https://www.banzhuti.com/ithemes-security-pro.html

7. 删除WordPress的版本号

当一个黑客预先知道你使用的WordPress版本时，他们可以根据他们发现的那个版本的漏洞来准备和指挥攻击。当版本号被隐藏时，他们将不得不继续猜测。你可以手动做到这一点，包括从RSS feeds中删除这个数字，在你的function.php文件中添加这个功能。

但我们确实承诺了一个不那么技术性的方法。所以，看看你安装的WordPress安全插件，因为它们很容易删除WordPress的版本号。  

8. 注销闲置用户

如果一个普通用户获得了对开放的wp-admin面板的访问权，他们可以改变用户账户，甚至有办法发动全站攻击。因此，请使用一个工具，如不活跃注销插件或防弹安全插件，以简单和自动注销闲置的WordPress用户。一旦你安装了这两个插件，就到设置中去激活它。

2、如何保护你的WordPress网站–核心保护措施

9. 谨慎添加用户账户

随着你的WordPress网站的发展，比如多用户站点，你将不得不把管理员的权限扩展到其他人，比如你的。

• 管理员
• 编辑
• SEO经理
• 访客
• 订阅者
• 作者

使用WordPress安全插件，如Force Strong Passwords，确保每个人都使用可靠的密码来保护管理面板。也要让大家敏感地认识到在登录和使用网站权限时尽职尽责的重要性。

10. 在WordPress登录屏幕上添加安全问题

在设置>>安全问题下，你可以在WordPress登录屏幕上添加、替换或删除自定义安全问题，为你的网站添加一层保护。

11. 使用SSL对数据进行加密

HTTPS协议有助于加密用户的浏览器和你的网站之间的数据传输。当你的网站在地址栏中的域名左边显示一个绿色的小挂锁图标时，你就知道你的网站已经启用了SSL。这意味着它已经从更脆弱的HTTP协议转变为更安全的HTTPS协议。

现在你可以在许多虚拟主机服务中抓取一个免费的SSL证书，如Kinsta，它也提供TSL证书。现在很多站点都有免费的SSL证书申请了，包括腾讯云或者BT宝塔官方直接自带申请免费SSL证书。

同样，如果你确实可以在SFTP和FTP之间做出选择，一定要选择SFTP。

12. 改变WordPress数据库前缀

默认的WordPress表前缀是wp-，它使网站容易受到SQL注入攻击。考虑在一开始安装WordPress的时候就把前缀改成mywp-或newwp-。

登录到你的主机账户并访问cPanel。进入文件管理器 >> WordPress目录 >> wp-config.php。

表的前缀将显示为：

$table_prefix = 'egwp_7676_'

然后退出文件管理器。随后进入PHP管理区，修改所有的表前缀–大约共有11个，所以这是一个相当大的动手过程。如果你能在SQL标签中输入一个SQL查询，可能会更容易和更快。怎么做？

通过输入这个：

然后运行另一个SQL查询，以确保一切都被修改为新的前缀。确保你使用数字和字母的混合，使其真正独特。

是不是感觉太专业，要手动操作出问题怎么办？那么你可以选择插件。使用一个顶级的WordPress数据库插件，如 SecuPress Pro 或WP-DManager来改变你的WordPress数据库前缀。

SecuPress Pro完美汉化中文版下载：

https://www.banzhuti.com/secupress-pro.html

13. 注销闲置用户

就像你的WordPress登录页面的密码一样，确保你用一个强大的密码来保护你的网站的核心。

如果你已经在使用LastPass作为你最喜欢的WordPress密码管理器，你也可以用它来生成强密码并自动保存，这样你就不必记住它们在未来使用它们。

如果你想在登录服务器时消除对密码的需求，可以使用SSH密钥。

14. 禁用WordPress仪表板中的文件编辑

黑客可以利用广泛开放的文件编辑权限，在你不知情的情况下接管或改变你的网站工作方式。你可能需要插入一些代码来实现这一点。但是，如果你已经使用了Sucuri WordPress安全插件，它可以通过激活其硬化功能下的程序来为你做这件事。

如果你能接受一点代码工作，那么在仪表板>>外观下插入以下代码：

在这里找到放置它的位置：

然后还有更高级的方法来保护你的WordPress网站。

3、WordPress安全 – 高级保护措施

上面的内容有些可能需要你编辑一两行代码，但大多数不需要，所以不用担心。

15. 保护 wp-config.php 文件

请记住这是你的WordPress安装中最重要的文件。wp-config.php文件有多重要？它承载着你的WordPress数据库安全密钥和登录信息。安全密钥处理cookies的信息加密。

对于这个文件，你可能要做一些编码工作。

注意：如果你不确定如何做，请让你的虚拟主机服务或WordPress安全提供商为你处理，因为如果处理不当，它实际上会使你的网站崩溃。

如下代码操作：

1. 将该文件复制到一个非www文件，然后在原来的wp-config.php文件中放置以下片段，以包括新的文件，从而将该文件移到离线状态。
2. 创建新的WordPress安全密钥，特别是在迁移或从别人那里购买WordPress网站之后。你可以简单地使用WordPress工具来创建新的随机安全密钥。
3. WordPress建议改变设置根目录下的WordPress文件为400或440，而不是默认的640，这让每个人都有权限查看和改变文件。使用你的FTP客户端来做这个。同样，如果不确定如何做，向你的主机提供商寻求帮助是明智的。

16. 限制登录尝试以保护你的WordPress网站

WordPress平台默认允许无限次的登录尝试。但是，如果一个有决心的黑客将其引向你的网站，这种设置可能会使你陷入暴力入侵的境地。现代黑客使用的程序会想出密码的组合来尝试登录。

最简单的方法是使用最好的插件来做这件事。

这里有两个选择。

• 登录锁定插件：记录失败的登录尝试的时间戳和IP地址。你决定并设置同一IP范围内的失败尝试的触发数，以促使该插件采取行动，禁用检测到的范围内的所有登录尝试。

一旦安装，你可以在仪表板>>设置>>登录锁定下激活它。

• Cerber登录限制尝试：你可以用Cerber做更多的事情，包括设置IP黑名单和白名单，如果你想更多的实践，可以设置锁定期限。

17. 禁用WordPress中的XML-RPC

黑客利用system.multicall技术的能力，将一个请求用于多个执行方法。它的目的是通过在一个HTTP请求中传递多个命令来欺骗你的登录尝试监控。更少的尝试意味着你的监控器可能不会在黑客入侵之前发出警告。

要禁用XML-RPC，你首先需要知道它是否在你的网站上活跃。

例如，如果你使用WordPress的Jetpack，该插件使用XML-RPC。

使用XML-RPC验证器：如果你没有它，它会返回一个错误信息。

如果你有，请使用免费的禁用XML-RPC插件。或者使用Perfmatters来禁用它，也可以提高你的WordPress网站性能。

18. 添加最新的HTTP安全标头

这些都是在服务器层面上配置的，所以你可能不得不要求你的主机为你做这个。或者雇用一个你可以信任的专门的WordPress安全服务。HTTP安全头文件告诉你的浏览器在与你的网站内容互动时应该如何行事。

它们有一堆，所以使用像securityheaders.io这样的工具来扫描并找到你的网站上有哪些。

如果你不确定实施HTTP安全标头会对你的网站产生什么影响，请要求你的主机提供商进行干预。

19. 预防盗链

盗链可以增加你的账单中的托管费用。这是指有人使用你网站上的图像URL，直接在他们的网站上显示该图像。这个人就会使用你的资源带宽。这样做的人越多，你的带宽费用就越高。

要在WordPress中禁用盗链，请到WP Security >> Firewall >> Prevent Hotlink >> Prevent Image Hotlinking (check) >> Save Settings。然后你就完成了。

如果你使用内容交付系统（CDN），请使用Cloudflare、KeyCDN或MaxCDN等插件。

20. 应用DDoS保护

分布式拒绝服务（DDOS）攻击，虽然没有直接破坏你的网站，但当你的终端用户无法访问你的网站时，是超级令人沮丧的。它可以使你失去业务。从字面上看是这样：

使用CloudFlare来对抗简单和复杂的DDOS攻击。

21. 使用顶级的WordPress备份插件来恢复你的WordPress网站

定期备份你的网站意味着你可以把它恢复到以前的工作状态，以防发生棘手的事情。

使用最好的WordPress备份插件之一，如UpdraftPlus、VaultPress来实现。VaultPress还检查恶意软件，并让你知道是否有什么不对劲。

根据你在你的WordPress网站上创造了多少变化，你可以把它设置为每周、几天或每天备份一次你的网站。

UpdraftPlus 插件下载

https://www.banzhuti.com/updraftplus.html

三、WordPress安全 – 你准备好保护你的WordPress网站了吗？ 

考虑到全球所有网站中约有35%是由WordPress驱动的，因此看到WordPress网站成为黑客攻击的头号目标是很自然的。WordPress拥有超过60%的内容管理系统（CMS）市场份额，也是如此。

也许更有趣的是，WordPress也主导着电子商务，这是一个在线欺诈磁铁。WordPress最流行的两个电子商务插件是Easy Digital Downloads和WooCommerce。一个被黑的网站可能意味着毁坏的声誉、业务、无法克服的挫折和巨大的经济损失。

因此根据本文尽量去保护你的WordPress网站，从而可以让自己站点更加稳定。