2022最新WordPress 5.9x 安全指南- WordPress

如果您認真對待您的網站，那麼您需要注意 WordPress 安全最佳實踐。我們有許多可操作的步驟，您可以採取這些步驟來保護您的網站免受安全漏洞的影響。以下將分享所有重要的WordPress 安全提示，以協助您保護您的網站免受駭客和惡意軟體的侵害。

我們相信安全不僅僅是消除風險。這也與降低風險有關。作為網站所有者，您可以做很多事情來提高您的WordPress 安全性。

雖然WordPress 核心軟體非常安全，並且有數百名開發人員定期對其進行審核，但仍有許多工作可以確保您的網站安全。

為方便起見，我們創建了一個目錄來幫助您輕鬆瀏覽我們的終極WordPress 安全指南。

WordPress 安全指南

為什麼網站安全很重要？

被駭的WordPress 網站可能會對您的業務收入和聲譽造成嚴重損害。駭客可以竊取使用者資訊、密碼、安裝惡意軟體，甚至可以將惡意軟體分發給您的使用者。

最糟糕的是，您可能會發現自己向駭客支付勒索軟體只是為了重新訪問您的網站。

2016 年3 月，Google報告稱，超過5,000 萬網站用戶已被警告他們正在訪問的網站可能包含惡意軟體或竊取資訊。

此外，Google每週將約20,000 個惡意軟體網站和約50,000 個網路釣魚網站列入黑名單。

如果您的網站是一家企業，那麼您需要特別注意您的WordPress 安全性。

類似於企業主有責任保護他們的實體店建築，作為線上企業主，您有責任保護您的企業網站。

保持WordPress 更新

WordPress 是一個定期維護和更新的開源軟體。預設情況下，WordPress 會自動安裝次要更新。對於主要版本，您需要手動啟動更新。

WordPress 還附帶了數以千計的外掛程式和主題，您可以將它們安裝在您的網站上。這些外掛程式和主題由定期發布更新的第三方開發人員維護。

這些WordPress 更新對於您的WordPress 網站的安全性和穩定性至關重要。您需要確保您的WordPress 核心、外掛和主題是最新的。

強密碼和使用者權限

最常見的WordPress 駭客攻擊嘗試使用被盜密碼。您可以透過使用網站獨有的更強密碼來解決這個問題。不僅適用於WordPress 管理區域，也適用於FTP 帳號、資料庫、WordPress 託管帳戶以及使用您網站網域的自訂電子郵件地址。

許多初學者不喜歡使用強密碼，因為它們很難記住。好處是您不再需要記住密碼。您可以使用密碼管理器。請參閱我們關於如何管理WordPress 密碼的指南。

降低風險的另一種方法是不要讓任何人存取您的WordPress 管理員帳戶，除非您絕對必須這樣做。如果您有一個大型團隊或來賓作者，請確保您了解WordPress 中的使用者角色和功能，然後再將新使用者帳戶和作者新增至您的WordPress 網站。

WordPress託管的作用

您的WordPress 託管服務在您的WordPress 網站的安全性中扮演著最重要的角色。像Bluehost或Siteground這樣的優秀共享託管服務提供者會採取額外措施來保護他們的伺服器免受常見威脅。

以下是一家優秀的網站寄存公司如何在後台工作以保護您的網站和資料。

他們持續監控其網路中的可疑活動。
所有優秀的託管公司都有防止大規模DDOS 攻擊的工具
他們使伺服器軟體、php 版本和硬體保持最新，以防止駭客利用舊版本中的已知安全漏洞。
他們已準備好部署災難復原和事故計劃，以便在發生重大事故時保護您的資料。

在共享託管計劃中，您與許多其他客戶共享伺服器資源。這會帶來跨網站污染的風險，駭客可以利用相鄰網站攻擊您的網站。

使用託管WordPress 託管服務可為您的網站提供更安全的平台。託管WordPress 託管公司提供自動備份、自動WordPress 更新和更進階的安全配置來保護您的網站

我們推薦WPEngine作為我們首選的託管WordPress 託管服務提供者。它們也是業界最受歡迎的一種。

簡單步驟中的WordPress 安全性（無編碼）

我們知道提高WordPress 的安全性對於初學者來說可能是一個可怕的想法。特別是如果你不是技術人員。你猜怎麼著——你並不孤單。

我們已經幫助成千上萬的WordPress 用戶加強了他們的WordPress 安全性。

我們將向您展示如何透過點擊幾下（無需編碼）來提高您的WordPress 安全性。

如果你可以點擊，你可以做到這一點！

安裝WordPress 備份解決方案

備份是您抵禦任何WordPress 攻擊的第一道防線。請記住，沒有什麼是100% 安全的。如果政府網站可以被駭客入侵，那麼您的網站也可以。

備份可讓您快速恢復您的WordPress 網站，以防萬一發生不好的事情。

您可以使用許多免費和付費的WordPress 備份插件。關於備份，您需要知道的最重要的事情是您必須定期將全網站備份保存到遠端位置（而不是您的主機帳戶）。

我們建議將其儲存在Amazon、Dropbox 等雲端服務或Stash 等私有雲上。

根據您更新網站的頻率，理想的設定可能是每天一次或即時備份。

值得慶幸的是，這可以透過使用UpdraftPlus或BlogVault等插件輕鬆完成。它們既可靠又最重要的是易於使用（無需編碼）。

最佳WordPress 安全插件

備份後，我們需要做的下一件事是設定一個審核和監控系統，以追蹤您網站上發生的所有事情。

這包括檔案完整性監控、登入嘗試失敗、惡意軟體掃描等。

值得慶幸的是，這一切都可以透過最好的免費 WordPress 安全性插件Sucuri Scanner 來解決。

您需要安裝並激活免費的Sucuri Security 插件。

啟動後，您需要前往WordPress 管理員中的Sucuri 選單。您將被要求做的第一件事是產生免費的API 金鑰。這將啟用稽核日誌記錄、完整性檢查、電子郵件警報和其他重要功能。

接下來，您需要做的是從設定選單中點擊「強化」標籤。瀏覽每個選項，然後按一下「套用增強」按鈕。

這些選項可協助您鎖定駭客在攻擊中經常使用的關鍵區域。唯一付費升級的強化選項是Web 應用程式防火牆，我們將在下一步中解釋它，所以現在跳過它。

我們也在本文後面為那些想要在不使用外掛程式或需要額外步驟（例如「資料庫前綴變更」或「更改管理員使用者名稱」）的情況下執行此操作的人介紹了許多這些「強化」選項。

在加固部分之後，預設插件設定對於大多數網站來說已經足夠好了，不需要任何更改。我們唯一建議自訂的是「電子郵件警報」。

預設警報設定可能會使您的收件匣中充滿電子郵件。我們建議接收有關插件變更、新用戶註冊等關鍵操作的警報。您可以透過前往Sucuri 設定»警報來設定警報。

這個WordPress 安全插件非常強大，因此請瀏覽所有選項卡和設定以查看它所做的一切，例如惡意軟體掃描、審核日誌、登入嘗試失敗追蹤等。

啟用Web 應用程式防火牆(WAF)

保護您的網站並對您的WordPress 安全性充滿信心的最簡單方法是使用Web 應用程式防火牆(WAF)。

網站防火牆在所有惡意流量到達您的網站之前就封鎖了它。

DNS 等級網站防火牆– 這些防火牆透過其雲端代理伺服器路由您的網站流量。這允許他們只向您的網頁伺服器發送真正的流量。

應用程式級防火牆——這些防火牆外掛程式在流量到達您的伺服器但在載入大多數WordPress 腳本之前檢查流量。這種方法在減少伺服器負載方面不如DNS 級防火牆有效。

要了解更多信息，請參閱我們的最佳 WordPress 防火牆插件列表。

我們使用並推薦 Sucuri作為WordPress 的最佳Web 應用程式防火牆。

Sucuri 防火牆最好的部分是它還附帶惡意軟體清理和黑名單刪除保證。基本上，如果您在他們的監視下被駭客入侵，他們保證他們會修復您的網站（無論您擁有多少頁面）。

這是一個非常強大的保證，因為修復被駭網站的成本很高。安全專家通常每小時收費250 美元。而您可以以每年199 美元的價格獲得整個Sucuri 安全堆疊。

使用Sucuri 防火牆提高您的WordPress 安全性»

Sucuri 並不是唯一的DNS 等級防火牆提供者。另一個受歡迎的競爭對手是 Cloudflare。

將您的WordPress 網站移至SSL/HTTPS

SSL（安全通訊端層）是一種加密您的網站和使用者瀏覽器之間的資料傳輸的協定。這種加密使某人更難嗅探和竊取資訊。

啟用SSL 後，您的網站將使用HTTPS 而不是HTTP，您也會在瀏覽器中的網站位址旁看到掛鎖標誌。

SSL 憑證通常由憑證授權單位頒發，其價格從每年80 美元到數百美元不等。由於成本增加，大多數網站所有者選擇繼續使用不安全的協議。

為了解決這個問題，一個名為Let's Encrypt 的非營利組織決定向網站所有者提供免費的SSL 憑證。他們的計畫得到了Google Chrome、Facebook、Mozilla 和更多公司的支持。

現在，開始對所有WordPress 網站使用SSL 比以往任何時候都容易。許多託管公司現在為您的WordPress 網站提供免費的SSL 憑證。

如果您的託管公司不提供，那麼您可以從Domain.com購買。他們擁有市場上最好、最可靠的SSL 交易。它附帶10,000 美元的安全保固和TrustLogo 安全印章。

DIY 用戶的WordPress 安全性

如果你做了我們迄今為止提到的所有事情，那麼你的狀態就很好。

但與往常一樣，您可以採取更多措施來加強WordPress 的安全性。

其中一些步驟可能需要編碼知識。

更改預設的“admin”用戶名

在過去，預設的WordPress 管理員使用者名稱是「admin」。由於使用者名稱佔登入憑證的一半，這使得駭客更容易進行暴力攻擊。

值得慶幸的是，WordPress 已經改變了這一點，現在要求您在安裝WordPress時選擇自訂使用者名稱。

但是，一些一鍵式WordPress 安裝程式仍將預設管理員使用者名稱設定為「admin」。如果您注意到這種情況，那麼切換您的虛擬主機可能是個好主意。

由於WordPress 預設不允許您更改使用者名，因此您可以使用三種方法來變更使用者名稱。

建立一個新的管理員使用者名稱並刪除舊的。
使用使用者名稱更改插件
從phpMyAdmin 更新用戶名

我們在有關如何正確更改WordPress 使用者名稱（逐步）的詳細指南中涵蓋了所有這三個方面。

注意：我們談論的是名為「admin」的用戶名，而不是管理員角色。

禁用文件編輯

WordPress 隨附一個內建的程式碼編輯器，可讓您直接從WordPress 管理區域編輯您的主題和外掛程式檔案。在壞人手中，此功能可能會帶來安全風險，這就是我們建議將其關閉的原因。

您可以透過在wp-config.php文件中添加以下程式碼輕鬆地做到這一點。

// Disallow file edit

define( 'DISALLOW_FILE_EDIT', true );

或者，您可以使用我們上面提到的免費Sucuri 插件中的強化功能一鍵完成此操作。

在某些WordPress 目錄中停用PHP 檔案執行

加強WordPress 安全性的另一種方法是在不需要的目錄中停用PHP 檔案執行，例如/wp-content/uploads/。

您可以透過開啟像記事本這樣的文字編輯器並貼上以下程式碼來執行此操作：

deny from all

接下來，您需要將此文件儲存為.htaccess並使用FTP 用戶端將其上傳到您網站上的/wp-content/uploads/ 資料夾。

有關更詳細的說明，請參閱我們的指南，了解如何在某些WordPress 目錄中停用PHP 執行

或者，您可以使用我們上面提到的免費Sucuri插件中的強化功能一鍵完成此操作。

限制登入嘗試

預設情況下，WordPress 允許使用者嘗試多次登入。這會使您的WordPress 網站容易受到暴力攻擊。駭客試圖透過嘗試使用不同的組合登入來破解密碼。

這可以透過限制用戶可以進行的失敗登入嘗試來輕鬆解決。如果您使用的是前面提到的Web 應用程式防火牆，那麼它會自動處理。

但是，如果您沒有設定防火牆，請繼續執行下列步驟。

首先，您需要安裝並激活Login LockDown插件。

啟動後，訪問設定»登入鎖定頁面以設定插件。

新增兩步驟身份驗證

雙重認證技術要求用戶使用兩步驟身份驗證方法登入。第一個是使用者名稱和密碼，第二步需要您使用單獨的裝置或應用程式進行身份驗證。

大多數頂級線上網站，如Google、Facebook、Twitter，都允許您為您的帳戶啟用它。您也可以將相同的功能新增至您的WordPress 網站。

首先，您需要安裝並激活兩步驟身份驗證插件。啟動後，您需要點擊WordPress 管理側邊欄中的「雙重認證」連結。

接下來，您需要在手機上安裝並開啟身份驗證器應用程式。其中有幾種可用，例如Google Authenticator、Authy 和LastPass Authenticator。

我們建議使用LastPass Authenticator或Authy，因為它們都允許您將帳戶備份到雲端。這在您的手機遺失、重置或購買新手機時非常有用。您的所有帳戶登入都將輕鬆恢復。

我們將在本教程中使用LastPass Authenticator。但是，所有身份驗證應用程式的說明都相似。打開您的身份驗證器應用程序，然後按一下“新增”按鈕。

系統將詢問您是要手動掃描網站還是掃描條碼。選擇掃描條碼選項，然後將手機的相機對準插件設定頁面上顯示的二維碼。

就是這樣，您的身份驗證應用程式現在將保存它。下次您登入您的網站時，您將在輸入密碼後被要求提供兩步驟驗證碼。

只需在手機上打開身份驗證器應用程式並輸入您在其上看到的代碼。

更改WordPress 資料庫前綴

預設情況下，WordPress 使用wp_ 作為WordPress 資料庫中所有表的前綴。如果您的WordPress 網站使用預設的資料庫前綴，那麼駭客就更容易猜測您的表名是什麼。這就是為什麼我們建議更改它。

注意：如果沒有正確完成，這可能會破壞您的網站。只有在您對自己的編碼技能感到滿意的情況下才能繼續。

密碼保護WordPress 管理員和登入頁面

通常，駭客可以不受任何限制地請求您的wp-admin 資料夾和登入頁面。這使他們可以嘗試他們的駭客技巧或運行DDoS 攻擊。

您可以在伺服器端層級新增額外的密碼保護，這將有效地阻止這些請求。

停用目錄索引和瀏覽

駭客可以使用目錄瀏覽來找出您是否有任何具有已知漏洞的文件，因此他們可以利用這些文件來獲得存取權限。

其他人也可以使用目錄瀏覽來查看您的檔案、複製圖像、找出您的目錄結構和其他資訊。這就是為什麼強烈建議您關閉目錄索引和瀏覽。

您需要使用FTP 或cPanel 的檔案管理器連接到您的網站。接下來，在您網站的根目錄中找到.htaccess 檔案。

之後，您需要在.htaccess 檔案的末尾添加以下行：

Options -Indexes

不要忘記將.htaccess 檔案儲存並上傳回您的網站。

在WordPress 中停用XML-RPC

XML-RPC 在WordPress 3.5 中預設為啟用，因為它有助於將您的WordPress 網站與Web 和行動應用程式連接起來。

由於其強大的特性，XML-RPC 可以顯著放大暴力攻擊。

例如，傳統上，如果駭客想在您的網站上嘗試500 個不同的密碼，他們將不得不進行500 次單獨的登入嘗試，這些嘗試將被登入鎖定插件捕獲並阻止。

但是使用XML-RPC，駭客可以使用system.multicall函數嘗試數千個密碼，例如20 或50 個請求。

這就是為什麼如果您不使用XML-RPC，那麼我們建議您停用它。

提示： .htaccess 方法是最好的方法，因為它所佔用的資源最少。

如果您使用的是前面提到的Web 應用程式防火牆，那麼這可以由防火牆來處理。

自動登出WordPress 中的空閒用戶

登入的使用者有時會離開螢幕，這會帶來安全風險。有人可以劫持他們的會話、更改密碼或更改他們的帳戶。

這就是為什麼許多銀行和金融網站會自動註銷非活動用戶的原因。您也可以在您的WordPress 網站上實現類似的功能。

您將需要安裝並激活Inactive Logout插件。啟動後，訪問設定»非活動註銷頁面以配置插件設定。

只需設定持續時間並新增註銷訊息。不要忘記點擊儲存變更按鈕來儲存您的設定。

掃描WordPress 中的惡意軟體和漏洞

如果您安裝了WordPress 安全插件，那麼這些插件將定期檢查惡意軟體和安全漏洞的跡象。

但是，如果您發現網站流量或搜尋排名突然下降，那麼您可能需要手動執行掃描。您可以使用WordPress 安全插件，或使用其中一種惡意軟體和安全掃描程序。

執行這些線上掃描非常簡單，您只需輸入您的網站URL，它們的爬蟲就會透過您的網站尋找已知的惡意軟體和惡意程式碼。

現在請記住，大多數WordPress 安全掃描程式只能掃描您的網站。他們無法刪除惡意軟體或清理被駭的WordPress 網站。

這將我們帶到下一部分，清理惡意軟體和被駭的WordPress 網站。

修復被駭的WordPress 網站

許多WordPress 用戶直到他們的網站被駭客入侵後才意識到備份和網站安全的重要性。

清理WordPress 網站可能非常困難且耗時。我們的第一個建議是讓專業人士來處理它。

駭客在受影響的網站上安裝後門，如果這些後門沒有妥善修復，那麼您的網站很可能會再次被駭客入侵。

允許像 Sucuri 這樣的專業安全公司修復您的網站將確保您的網站可以安全地再次使用。它還將保護您免受未來的任何攻擊。

額外提示：身分盜用和網路保護

作為小型企業主，保護我們的數位和財務身分至關重要，因為不這樣做可能會導致重大損失。駭客和犯罪分子可以使用您的身分盜取您的網站網域、入侵您的銀行帳戶，甚至實施您可能要承擔的罪行。

2020 年，美國聯邦貿易委員會(FTC) 報告了470 萬起身分盜用和信用卡詐欺事件。

這就是為什麼我們建議使用像Aura這樣的身分盜竊保護服務（我們自己使用Aura）。

他們透過免費VPN（虛擬私人網路）提供設備和wifi 網路保護，無論您身在何處，都可以透過軍用級加密保護您的網路連線。當您旅行或從星巴克等公共場所連接到您的WordPress 管理員時，這非常有用，因此您可以安全且私密地在線上工作。

他們的暗網監控服務使用人工智慧持續監控暗網，並在您的密碼、社會保險號碼和銀行帳戶被盜時提醒您。

這使您可以更快地採取行動，更好地保護您的數位身分。

WordPress 安全性對於每個網站所有者來說都是一個非常重要的主題。谷歌每天將約10,000 多個網站列入惡意軟體黑名單，每週將約50,000 個網站列入網路釣魚黑名單。

就是這樣，我們希望本文能幫助您了解頂級WordPress 安全最佳實踐，並為您的網站發現最佳WordPress 安全外掛。

評分