如何保护您的 wordpress 网站

每个 WordPress 站点的创建者都必须关心他的站点的安全性，Google 每天将超过 10,000 个站点列入黑名单（blacklist），因为这些站点已经感染了恶意软件。

不幸的是，这不仅仅发生在其他人身上。 你越早意识到它对你越好。

即使 WordPress 内核非常安全，这要归功于一百个开发人员，但事实仍然是它仍然容易受到攻击，因为大约 25% 的网站是使用 WordPress 制作的，因此它非常容易成为黑客的目标。

作为网站管理员，您可以做很多事情来提高 WordPress 网站的安全性。

这就是我决定写这篇文章的原因，希望它尽可能简单明了。

您会看到可以采取许多步骤来防止您的网站被黑客感染或破坏。

虽然这些措施不会完全消除风险，但它们会大大降低风险。

如果您的网站已经被恶意软件感染，那么我们建议您按照以下步骤操作，这将指导您从您的网站中删除恶意软件。

所以让我们开始吧。

1：更新 WordPress 及其主题和插件。

WordPress 会定期更新，主题和质量插件也是如此。 这对于您网站的安全性和稳定性至关重要。

2：加强您的密码以保护 WordPress

由于密码相对较弱，最常见的攻击是密码盗窃。

您可以通过加强您的 WordPress 密码以及连接到您的 FTP 帐户、数据库、主机、电子邮件等时的密码来使黑客的任务变得相当复杂。

你们中的许多人不喜欢使用过于复杂的密码，以免忘记密码。 在这种情况下，我建议您使用“密码管理器”。

密码管理器会将您的所有密码存储在安全的云中，并允许您使用单个密码进行管理。

有很多，但我推荐LastPass ，它易于使用且免费。

3：安装备份插件

备份您的网站是修复黑客可能对您的网站造成的任何损害的好方法。

如果发生攻击，备份插件将允许您将站点恢复到攻击之前的状态。

WordPress 有许多备份插件，但并非所有插件都是一样的。 它必须易于使用，允许您备份整个站点，进行定期自动备份，当然还可以将备份保存在主机服务器（硬盘驱动器、云等）之外。

以下是满足上述所有标准的三个。 这三个都有免费和付费版本。

• 上升气流
• 备份伙伴
• 复印机

4：安装安全插件

看到备份后，下一步是安装一个安全插件，该插件会持续监控您的站点并跟踪那里可能发生的任何可疑活动。

• 反恶意软件扫描
• 文件损坏检测
• 阻止用户
• ETC

推荐插件：

• Wordfence（免费和付费版本）
• iThemes 安全性（免费和付费版本）
• 苏库里

5：选择优质主题

优质的 WordPress 主题是一个没有已知漏洞的安全主题，它会定期更新，符合适当的编码标准，并且与您的 WordPress 版本兼容，也与您网站的其他元素（例如插件）兼容。

拥有一个满足所有这些标准的主题不仅可以帮助您避免错误、兼容性错误和一大堆类似问题，而且还可以限制攻击的可能性，因为您的 WordPress 网站可以利用的安全漏洞更少。 因此，不惜一切代价避免任何无效的主题。

以下是我经常闭眼使用和推荐的一些主题：

• 主题： Oceanwp （免费）。
• 主题： ThemeIsle （免费和付费）。
• 主题： Divi （付费）。
• 主题：额外（付费）。
• 主题：生成新闻（免费和付费）。
• 主题： Astra （免费和付费）。

6：更改WordPress用户名

如果在安装最新版本的 WordPress 期间，可以选择著名的“管理员”以外的名称，以前不是这样。 但是，管理员最好不要留下已知的用户名。 当然，在这种情况下，您不应使用管理员的昵称发表文章或回复评论。

有不同的方法可以在 WordPress 中更改您的用户名：

• 手动方法。
• 使用插件

阅读本文以详细了解这两种方法（教程）。

https://www.wpbeginner.com/beginners-guide/how-to-change-your-password-in-wordpress/

7：添加两个识别因素（Two Factor Authentication）

此选项强制用户通过两种不同的方法来识别自己。 使用用户名和密码的经典方法和第二种方法，即在您通常使用的计算机以外的设备上接收代码。

如果您使用Wordfence 、 iThemes Security或UpdraftPlus ，它们都提供此安全功能。

8：自动注销WordPress中的非活动用户？

用户离开屏幕一段时间以保持与 WordPress 的连接是很常见的，这可能会带来安全风险。 有人可以劫持他们的会话、更改他们的密码或更改他们的帐户。

该解决方案包括安装一个插件，该插件将负责在确定的时间段后断开非活动用户的连接。

为此，我推荐插件“Inactive Logout”，它是免费的，配置非常简单并且可以很好地完成工作。

安装后，转到 WordPress 仪表板中的“设置”，然后单击“非活动注销”以配置插件

在那里，您只需要规定断开连接之前的空闲时间，并在发生这种情况时显示一条消息，单击“保存更改”完成。

9：添加安全问题以连接到 WordPress

在 WordPress 登录屏幕中添加安全问题将大大降低未经授权的人访问您帐户的可能性。

您可以通过安装插件添加一个或多个安全问题：WP安全问题

10：更改连接URL

默认情况下，连接到 WordPress 的 URL 始终相同：https://www.yourname.com/wp-admin（我输入了 .com，但它可以是 .net 或其他扩展名）。

为了使想要对您的站点发起“蛮力”攻击的潜在黑客的任务复杂化，您可以更改连接 URL。

请参阅此插件：WPS 隐藏登录。

11： WordPress 病毒或恶意软件扫描程序以及可能的安全漏洞和其他漏洞

如果您尚未在 WordPress 上安装安全插件，并且您注意到流量突然下降或您在搜索引擎中的排名下降，则迫切需要对您的网站进行全面分析。

在这种情况下，有两种选择：

您要么决定安装安全插件并立即开始扫描，要么在以下站点之一上开始在线扫描。 它们都是免费的并且非常易于使用。

只需输入您的站点地址并开始扫描。

• https://wpsec.com/
• https://app.upguard.com/webscan
• https://www.virustotal.com/gui/home/upload

12：消毒您的网站

如果您安装了安全插件，则不太可能被感染。 但是你们中的许多人仍然没有考虑它。

首先，应该理解的是，防止感染您的 WordPress 网站比对其进行消毒要容易得多。

清理 WordPress 网站可能会很耗时，而且您通常需要聘请专业人士，尤其是在您尚未对网站进行完整备份的情况下。

黑客在受感染的网站上安装后门，如果处理不当，您的网站可能会再次被黑客入侵。