即使初學者也可以，并且應該采取這些步驟來保護他們的 WordPress 網站免受網絡攻擊。

WordPress 已經驅動了互聯網 30% 的網站，它是世界上增長最快的 內容管理系統(tǒng)content management system(CMS)，而且不難看出原因：通過大量可用的定制化代碼和插件、一流的 搜索引擎優(yōu)化Search Engine Optimization(SEO)，以及在博客界超高的美譽度，WordPress 贏得了很高的知名度。

然而，隨著知名度而來的，也帶來一些不太好的關注。WordPress 是入侵者、惡意軟件和網絡攻擊的常見目標，事實上，在 2019 年被黑客攻擊的 CMS 中，WordPress 約占 90%。

無論你是 WordPress 新用戶或者有經驗的開發(fā)者，這里有一些你可以采取的重要步驟來保護你的 WordPress 網站。以下 6 個關鍵技巧將幫助你起步。

1、選擇可靠的托管主機

主機是所有網站無形的基礎，沒有它，你不能在線發(fā)布你的網站。但是主機的作用遠不止起簡單的托管你的網站，它也要對你的網站速度、性能和安全負責。

第一件要做的事情就是檢查主機在它的套餐中是否包含 SSL 安全協議。

無論你是運行一個小博客或是一個大的在線商店，SSL 協議都是所有網站必需的安全功能。如果你正在進行線上交易，你還需要 高級 SSL 數字證書 ，但是對大多數網站來說，基本免費的 SSL 證書就很好了。

其他需要注意安全功能包括以下幾種：

• 日常的自動離線網站備份
• 惡意軟件和殺毒軟件掃描和刪除
• 分布式服務攻擊Distributed denial of service(DDOS)保護
• 實時網絡監(jiān)控
• 高級防火墻保護

另外除了這些數字安全功能之外，你的主機供應商的 物理 安全措施也是值得考慮的。這些包括用安全警衛(wèi)、閉路監(jiān)控和二次驗證或生物識別來限制對數據中心的訪問。

2、使用安全插件

保護你的網站安全最有效且容易的方法之一是安裝一個安全插件，比如 Sucuri，它是一個 GPLv2 許可的開源軟件。安全插件是非常重要的，因為它們能將安全管理自動化，這意味著你能夠集中精力運行你的網站，而不是花大量的時間來與在線威脅作斗爭。

這些插件探測、阻止惡意攻擊，并提醒你需要注意的任何問題。簡言之，它們持續(xù)在后臺運行，保護你的網站，這意味著你不必保持 7 天 24 小時地保持清醒，與黑客、漏洞和其他數字垃圾斗爭。

一個好的安全插件會免費提供給你所有必要的安全功能，但是一些高級功能需要付費訂閱。舉個例子，如果你想要解鎖 Sucuri 的網站防火墻 ，你就需要付費。開啟 網站應用防火墻web application firewall(WAF)阻擋常見的威脅，并為給你的網站添加一個額外的安全層，所以當選擇安全插件的時候，尋找?guī)в羞@個功能的插件是一個好的主意。

3、選擇值得信任的插件和主題

WordPress 的快樂在于它是開源的，所以任何人、每個人都能提供他們開發(fā)的主題和插件。但當選擇高質量的主題和插件時，這也拋出一些問題。

在挑選免費的主題或插件時，有一些設計較差，或者更糟糕的是，可能會隱藏惡意代碼。

為了避免這種情況，始終從可靠的來源來獲取免費主題和插件，比如 WordPress 主題庫。閱讀對它的評論，并研究查看開發(fā)者是否構建過其他的程序。

過時的或設計不良的主題和插件可以為攻擊者進入你的網站留下“后門”或錯誤，這就是為什么選擇時要謹慎。然而，你也應該提防無效或者破解的主題。這些已經黑客破壞了的高級主題被非法銷售。你可能會購買一個無效的主題，它看起來沒什么問題，但會通過隱藏的惡意代碼破壞你的網站。

為了避免無效主題，不要被打折的價格所吸引，始終堅持可靠的主題商店，比如官方的 WordPress 目錄。如果你在其它地方尋找，堅持選擇大型且值得信任的商店，比如 Themify ，這個主題和插件商店自從 2010 年就已經在經營了。Themify 確保它的所有 WordPress 主題通過了 谷歌友好移動Google Mobile-Friendly 測試，并在 GNU 通用公共許可證 下開源。

4、運行定期更新

這是 WordPress 的基本規(guī)則： 始終保持你的網站最新。然而，不是所有人都堅持了這個規(guī)則，只有 43% 的 WordPress 網站 運行的是最新版本。

問題是，當你的網站過期的時候，由于它在安全和性能修復方面落后的原因，容易受到故障、漏洞、入侵和崩潰的影響。過期的網站不能像更新的網站一樣修復漏洞，攻擊者能夠分辨出哪些網站是過期的。這意味著他們能夠依此來搜索最易受攻擊的網站并襲擊它們。

這就是為什么你始終要運行最新的 WordPress 版本的原因。為了保持網站安全處于最強的狀態(tài)，你必須更新你的插件和主題，以及你的核心 WordPress 軟件。

如果你選擇一個受管理的 WordPress 托管套餐，你可能會發(fā)現你的供應商會為你檢查并運行更新，以了解你的主機是否提供了軟件和插件更新。如果沒有，你可以安裝一個開源插件管理器。比如 GPLv2 許可的 Easy Updates Manager plugin 作為替代品。

5、強化你的登錄

除了通過仔細選擇主題和安裝安全插件來創(chuàng)建一個安全的 WordPress 網站外，你還需要防止未經授權的登錄訪問。

密碼保護

如果你在使用 容易猜到的短語 比如 “123456” 或 “qwerty” ，第一步要做的增強登錄安全最簡單的方法是更改你的密碼。

嘗試使用一個長的密碼而不是一個單詞，這樣它們很難被破解。最好的方式是用一系列你容易記住且不相關的單詞合并起來。

這里有一些其它的提示：

• 絕不要重復使用密碼
• 密碼不要包括像家庭成員的名字或者你喜歡的球隊等明顯的單詞
• 不要和任何人分享你的登錄信息
• 你的密碼要包括大小寫和數字來增加復雜程度
• 不要在任何地方寫下或者存儲你的登錄信息
• 使用 密碼管理器

變更你的登錄地址

將默認登錄網址從標準格式 yourdomain.com/wp-admin 變更是一個好主意。這是因為黑客也知道這個缺省登錄網址，所以不變更它會有被暴力破解的風險。

為避免這種情況，可以將登錄網址變更為不同的網址。使用開源插件比如 GPLv2 許可的 WPS Hide Login 可以更加安全、快速和輕松的自定義登錄地址。

應用雙因素認證

為了提供更多的保護，阻止未授權的登錄和暴力破解，你應該添加雙因素認證。這意味著即使有人 確實 得到了你的登錄信息，但是他們還需要一個直接發(fā)送到你的手機上的驗證碼，來獲得對你的 WordPress 網站管理的權限。

添加雙因素認證是非常容易的，只需要安裝另一個插件，在 WordPress 插件目錄搜索 “two-factor authentication” ，然后選擇你要的插件。其中一個選擇是 Two Factor ，這是一個流行的 GPLv2 許可的插件，已經有超過 10000 次安裝。

限制登錄嘗試

WordPress 可以讓你多次猜測登錄信息來幫助你登錄。然而，這對黑客嘗試獲取未授權訪問 WordPress 網站并發(fā)布惡意代碼也是有幫助的。

為了應對暴力破解，安裝一個插件來限制登錄嘗試，并設置你允許猜測的次數。

6、禁用文件編輯功能

這不是一個適合初學者的步驟，除非你是個自信的程序員，不要嘗試它。并且一定要先備份你的網站。

那就是說，如果你真的想保護你的 WordPress 網站，禁用文件編輯功能 是 一個重要的措施 。如果你不隱藏你的文件，它意味著任何人從管理后臺都可以編輯你的主題和插件代碼，如果入侵者進入，那就危險了。

為了拒絕未授權的訪問，轉到你的 .htaccess 文件并輸入：

    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>

或者，要從你的 WordPress 管理后臺直接刪除主題和插件的編輯選項，可以添加編輯你的 wp-config.php 文件：

define( 'DISALLOW_FILE_EDIT', true );

保存并重新加載這個文件，插件和主題編輯器將會從你的 WordPress 管理后臺菜單中消失，阻止任何人編輯你的主題或者插件代碼，包括你自己。如果你需要恢復訪問你的主題和插件代碼，只需要刪除你添加在 wp-config.php 文件中的代碼即可。

無論你阻止未授權的訪問，還是完全禁用文件編輯功能，采取行動保護你網站代碼是很重要的。否則，不受歡迎的訪問者編輯你的文件并添加新代碼是很容易的。這意味著攻擊者可以使用編輯器從你的 WordPress 站點來獲取數據，或者甚至利用你的網站對其他站點發(fā)起攻擊。

隱藏文件更容易的方式是利用安全插件來為你服務，比如 Sucuri 。

WordPress 安全概要

WordPress 是一個優(yōu)秀的開源平臺，初學者和開發(fā)者都應該享受它，而不用擔心成為攻擊的受害者。遺憾的是，這些威脅不會很快消失，所以保持網站的安全至關重要。

利用以上措施，你可以創(chuàng)建一個更加健壯、更安全的保護水平的 WordPress 站點，并給自己帶來更好的使用體驗。

保持安全是一個持續(xù)的任務，而不是一次性的檢查清單，所以一定要定期重溫這些步驟，并在建立和使用你的CMS時保持警惕。