WordPress 如何提高安全性

WordPress的安全性是必不可少的。您的WordPress网站可能会被黑客攻击或出现一些安全问题。WordPress网站是黑客的首选目标。

没有人能使网站完全安全。这是不切实际或不可能实现的事情。但是通过采取不同的安全措施，至少可以减少风险。通过本文，您将能够让您的网站相对安全。

为了保护您的网站和浏览者的数据，可以采取以下措施。这些步骤不会消除安全风险，但肯定会将风险降到最低。

• 选择一个主机
• 强密码
• 不要使用admin作为用户名
• 两步登录身份验证
• 限制登录尝试次数
• 禁用登录提示
• 更改登录页面URL
• 可信的主题和插件
• 使用SSL
• 使用WordPress安全密钥
• 使用安全FTP
• 保持WordPress更新
• 保持整洁
• 禁用引用通告

选择一个主机

为您的网站选择一家声誉良好且可靠的主机。不要选择廉价的主机。您的主机公司会对您的网站安全性产生很大影响。

有许多主机供应商使用过时的软件。即使过去没有问题，过时的软件也不能保证未来的安全性。

寻找以下特点来选择一个主机。

• 攻击监控和防护
• 及时更新他们的软件
• 应该能够隔离被黑客攻击的网站，以防止共享服务器上的其他网站受到影响。

选择强密码

为了您的安全，选择一个复杂的密码。在选择密码时，请遵循三个原则（复杂、长和独特）。2.5及以上版本提供了密码强度指示器，可帮助您确定密码是否足够强大。

请记住以下几点：

• 使用新鲜而独特的密码。
• 使用大写和小写字母、符号和数字的组合。
• 避免使用关于您的常见信息，如手机号码、纪念日或生日。
• 密码长度至少为10个字符。
• 尽量使用没有任何意义或含义的密码。
• 定期更改密码。

不要使用admin作为用户名

WordPress的默认用户名是 admin 。作为默认设置，这是最常见的用户名，因此容易被破解。

当人们开始使用WordPress，尤其是第一次使用时，他们会坚持使用admin作为用户名。更改用户名会使黑客破解更困难一些。

要更改用户名：

• 通过单击 用户 > 新用户以管理员特权创建新用户。
• 删除以前的管理员用户。
• 在删除时，WordPress会询问您“对该用户的内容要做什么”，您可以选择删除所有内容或将其分配给新用户。

两步登录认证

两步登录认证（也称为2FA）为您的登录页面增加了更多的安全性。它需要通过手机短信接收的验证代码才能登录您的帐户。

有一些针对2FA的插件可用。

限制登录尝试次数

通常登录页面会受到黑客的攻击。他们可能会尝试多次使用正确的用户名和密码。尽管他们的尝试可能不成功，但他们尝试的次数会消耗大量的服务器内存。因此，您的网站可能会变慢。在共享服务器上，这也会影响到您的网站和邻近的网站。

解决此问题的一种方法是限制登录尝试次数。有一些针对此功能的插件可用，例如 Jetpack 。

禁用登录提示

每当您输入错误的密码或用户名时，您将收到一个提示，提示您用户名或密码不正确。

对于黑客来说，这是非常有用的信息。因此，在WordPress站点上应禁用登录提示。

更改登录页面URL

黑客通常攻击登录页面。如果您将登录页面隐藏起来，将极大地增加您网站的安全性。

这可以通过使用 WPS Hide Login 插件更改登录页面URL来实现。也有一些其他针对此功能的插件可用。它们会拦截页面请求，并使wp-admin目录和wp-login.php页面不可访问。您必须记住在激活插件期间设置的新登录页面。

可信任的主题和插件

当插件或主题没有维护或更新时，它们总是受到怀疑。在下载插件或主题之前，请查看其评论和评论，检查作者是否负责任以及是否免费或付费。

在下载插件或主题之前，请备份您的网站和主题。

使用SSL

SSL代表Secure Socket Layer。它将http转换为https。对于包含敏感信息的页面很重要。它是额外的保护层。

它将您的站点信息转换成不可读的形式，因此当这些信息从服务器传输到浏览器时，它处于不可读的格式，没有任何意义。在浏览器端，使用私钥使数据再次可读。

WordPress安全密钥

WordPress使用Cookie来验证其用户。这些Cookie包含登录信息和身份验证详细信息。密码是使用公钥和私钥进行散列处理的。

在这个Cookie周围可以加上额外的层，用WP安全密钥。这些是一组随机变量，提高了Cookie中存储信息的安全性。

如果重新构建身份验证密钥，一个非加密的密码很容易破解。但是使用WP安全密钥进行加密则非常困难。

如何添加WP安全密钥

• 打开wp-config.php文件。
• 转到“authentication unique keys and salts”行。
• 使用在线自动生成密钥的工具。
• 将在线工具密钥替换wp-config.php文件中的现有密钥并保存。

您可以按照固定时间间隔重复此过程。每当更改安全密钥时，用户将被登出其帐户。

使用安全FTP（SFTP）

在您进行一些更改或更新您网站的信息时，会使用文件传输协议将信息从您的网站传输到您的主机。

FTP连接增加了数据被截获的可能性，而SFTP则大大减少了这种可能性。

保持wp更新

对于您的网站来说，最好的安全措施就是定期更新。将所有文件更新到最新版本可以增加您的WordPress站点的安全性。

从3.7版本开始，WordPress会自动更新。但是您的文件、主题和插件需要通过您的仪表板或FTP进行更新。

保持干净

随时删除您网站上未使用的主题和插件，因为它们可能会带来一些安全问题，因为它们长时间没有更新。始终保持您的网站清洁。

禁用回溯

回溯通知您的网站内容已与另一个网页链接起来。通过回溯，黑客可以攻击您的网站。

所以对于一个新的WordPress网站，通过点击“设置>讨论”来禁用此功能。取消选中“允许其他博客的链接通知”选项。