终极指南：非开发者博客的 WordPress 安全性

维护博客是一项艰巨的工作。 这听起来像是为了满足博主的虚荣心，但事实并非如此。 一年前我开始了一个网页设计博客，我预计它的管理会消耗大量时间和资源。

尽管我做了所有的准备，我还是低估了我应该分配多少时间和资源来运行博客：推广博客帖子比写它们需要更多时间，主页从来没有完全设计过，货币化是一项复杂的任务。 这些只是我从这次经历中学到的一些教训。

从这个角度来看，忽视博客的安全性是可以理解的，但肯定不是一个聪明的主意。 我是众多不关心安全性的博主之一。 我有一个强大的防病毒软件，一个强大的密码，我试图远离“危险网站”。 我以为避免被黑就足够了，但事实证明我错了。

因此，几个月前，我决定开始使用 WordPress 安全性。 现在我想和你分享我的意见。 首先，我是一名非开发者博客作者，我多次将 WordPress 安全性与 PHP 熟练程度联系起来。 我和其他博主谈过，他们也有同样的想法； 很高兴知道您是否同意我的观点，或者您是否有不同的观点。 好吧，现在我认为这是部分正确的——您无需成为 Php 向导即可处理您的网站安全。 当然，你对 PHP 了解得越多，你就越能保护你的网站！ 最后，任何人都可以大大提高 WordPress 博客的安全性！ 唯一的要求——激情、时间和一点好运气！

其次，我认为如果黑客想要攻破我的网站，他/她做到这一点只是时间问题。我没有改变主意，但我学会了如何加固我的博客。 没有 100% 安全的网站，但您可以采取行动，对网站进行真正的黑客攻击。 我特意加粗了时间问题——能够在几个小时内破解网站与在一周内破解它之间存在巨大差异。 只有具有间谍任务的黑客才会将他/她的资源投入到永久尝试入侵网站上。

第三，WordPress 的安全特定条款使大多数博主远离这个领域。 是的，有些术语很难描述和理解，但没有一个是天生的顶级安全专家。 一步一步，任何博主都可以学习如何保护他的博客以及与网站安全相关的条款。 在接下来的几行中，我将向您解释其中的一些术语。

不幸的是，仅仅学习WordPress安全是不够的，你应该把理论知识付诸实践。 这是我保护 WordPress 驱动的网站的个人指南。 我相信对于非开发者博主来说，这是一个很好的起点； 它是完美的，我愿意接受你的建议。

积极措施

网站安全的黄金法则是预防胜于清除。 我强烈强调，采取积极措施是确保博客安全的最佳方式。 WordPress 背后的开发人员日以继夜地工作，以制作更好、更安全的版本，但与此同时，黑客们也在尽一切努力寻找新的漏洞。

宾果游戏，什么是脆弱？ 该术语描述了允许攻击者破坏该产品的产品弱点。 这不是一个相当复杂的定义，但我认为它恢复了其含义的本质。 如果您想要更深入的定义，Microsoft 的这篇文章就是您的下一个讲座！

最新的 Sucuri 报告表明，网站的安全性并不是奢侈品，而且攻击也越来越复杂。 除此之外，按攻击次数计算，WordPress 是领先的 CMS！ 我的目的不是要提醒您，我想介绍确切的情况并为您提供提高网站安全性的计划。

1. 选择优质主机

有大量博客讨论选择正确的托管问题； 尽管如此，所有答案都以“它取决于”开头（如果您想将它们命名为答案，只要它们以“它取决于”开头）。 WP White Security 告知 41% 的被黑网站是因为托管服务提供商。

很难相信托管评论，因为由于联盟营销佣金，这些评论并不准确（不要误会我的意思，仍然有提供客观评论的博客）。 但是，我认为 WordPress.org 的建议在可靠性、速度、客户服务和安全性方面应该是最好的！ 主要缺点是成本，但质量不能用低价来实现！

2. 更新您的 WordPress 版本、主题和插件

请不要仅仅因为这条建议而忽视这篇文章——这很愚蠢，但你应该知道它是黑客最常用来控制网站的漏洞之一。 或者也许这个技巧并不像你想象的那么愚蠢——聪明的黑客可以通过破解插件或未更新的主题来获取大量数据。 我想每个人都听说过巴拿马文件。 好吧，在巨大的数据丢失背后，据信是一个被广泛使用的名为 Revolution Slider 的插件的易受攻击版本！ 在这种情况下，违规行为会产生积极影响——人们发现了向他们隐瞒资金的领导人的名字。

这真是一个悖论，越简单的方法来防止被黑客入侵，就越被忽视！ 插件漏洞最多（插件后面有更多编码），但 WordPress 版本和主题也应该更新。 想象一下，黑客发现您使用的是旧的 WordPress 版本。 几乎可以肯定，任何黑客都有 WordPress 版本及其漏洞的数据库。 在这方面，这是一个有用的存档，任何黑客都可以自由使用它！ 当然，一旦发现新漏洞，黑客就会更新他们的数据库！ 以他们为例，更新您的主题、插件和 WordPress 版本以避免安全问题！

3. 强密码——强网站

这是另一个广为人知的安全提示。 尽管如此，仍有近 8% 的人由于密码薄弱而被黑客入侵。 老实说，我认为你没有任何借口被这样黑客攻击！ 有时，黑客会使用复杂的方法来窃取您的帐户凭据，但有时他们会使用蛮力。 是的，这是另一个专门针对网站安全的术语！

蛮力的概念很简单。 黑客尝试各种用户名和密码组合进入您的网站。 这是一项费力的工作，需要大量的猜测工作和时间。 不幸的是，有些软件解决方案可以完成肮脏的工作，而且速度非常快。 如果您的用户名是 admin（这是一个非常常见的用户名），那么您给了黑客一个宝贵的帮助！

4.限制登录尝试

针对蛮力攻击的最有效解决方案之一是限制登录尝试次数。 这个概念简单而有效：网站管理员限制尝试登录失败的次数。 例如，如果用户连续五次尝试登录，则他/她的 IP 被封锁或要求他/她在特定时间后登录。 幸运的是，有一些值得信赖的插件，例如 Jetpack Protect、Login LockDown 和 Login Security Solution。 当然，这些插件还包含许多其他附加功能——您可以监控 IP 攻击源、在帐户被黑客入侵时获得通知以及自定义登录尝试次数。

5.两步认证

这种措施更加复杂，但它显着降低了被黑客入侵的风险。 这是关于两步验证的——来自网站安全领域的一个新术语。 这指定了使用补充代码或密码登录您的网站的方法。 这一点也不复杂，但需要额外的时间。 实际上，您输入“传统”凭据，并且需要将代码发送到您的智能手机。 一旦您收到并将其输入到提交表单中，您就可以登录。很难管理黑客使用两步身份验证的网站，不是吗？ 最重要的是，它很容易实现！ 当然，对于任何与 WordPress 相关的问题，都有一个插件可以解决它！ WPMU Dev 为您提供了六个可靠且高效的插件，用于实现两步验证。

6.禁用登录提示

老实说，我没有注意到当用户名或密码输入错误时，您会收到一条消息，提示用户名输入错误或密码不匹配。 因此，如果黑客设法窃取您的用户名，他/她会从您的网站获得确认。 例如，如果用户名是“admin”，黑客将被告知他/她输入了错误的密码——当然任何黑客都尝试过用户名“admin”！ 在这种情况下，已经完成了一半的工作。

幸运的是，让这个提示消失很简单，只需将下一行代码添加到您的 functions.php 文件中。 如果您不太热衷于 WordPress 核心文件，来自 WordPress Beginner 的这段视频将阐明这个问题。

[php]
functionno_wordpress_errors(){
返回'运气不好！ 退后！';
}
add_filter('login_errors', 'no_wordpress_errors');
[/php]

7. 确保您的计算机安全

应用上述所有技巧将使您的网站比绝大多数网站更安全，但它仍然容易受到攻击。 黑客入侵网站的另一种方式是感染网站管理员的计算机。 通常，管理员会定期检查她/他的网站，很遗憾被存储在您计算机文件中的病毒入侵！

因此，您应该在所有设备上都安装了强大的防病毒软件； 其中一些甚至是免费的，所以你没有任何借口！

8. 避免网络钓鱼和鱼叉式网络钓鱼攻击

这两个术语都是针对网站安全的，在某种程度上，我认为我们所有人都是此类活动的受害者。 如果您收到关于改善性生活的药物和神奇解决方案的不想要的信息，那么您就是这种方法的受害者。

正如您可能推断的那样，网络钓鱼是一种非法行为，攻击者试图通过冒充受信任的实体来获取凭据或其他类型的登录信息。 这些攻击通常通过电子邮件发生。

鱼叉式网络钓鱼是网络钓鱼的更好版本——它是一种有针对性的攻击。 但是，任何人都可能成为网络钓鱼攻击的受害者！

许多由 WordPress 驱动的网站都是博客，博主用来与很多人取得联系——读者、潜在赞助商、其他博主、客座作家、网站买家等。因此，我建议注意从陌生人那里收到的任何电子邮件。 例如，我收到一封电子邮件，通知一位来自加拿大的富有投资者有兴趣购买我的域名，他准备支付高价。 这对我来说是一个惊喜……事实上太有吸引力了！ 我在网上搜索了“这位富有的投资者”，发现他对许多其他领域也很感兴趣。 我应该（从诈骗机构）购买证书并最终向他们提供凭据。 老实说，当我第一次阅读电子邮件时，我欣喜若狂，几乎要买证书了。 当然，其他 WordPress 博主也尝试过同样的情况和感受。 不太可能，一些博主获得了证书，并且可能提供了登录凭据。

如何确定网站是否被黑客入侵

不幸的是，在某些情况下，即使是最警惕的网站管理员也会被病毒或黑客欺骗。 因此，建议您牢牢掌握确定您的网站是否真的被黑客入侵。 此外，在安全漏洞和插件或主题故障之间有一个明确的界限是个好主意。 有时，插件或主题可能由于各种原因无法正常工作，您可能会因为网站被黑客入侵而感到恐慌。

在这里，我建议您使用一些工具来清楚地评估您的网站安全性！

1.谷歌搜索控制台

谷歌搜索控制台（以前称为谷歌网站管理员工具）是一种宝贵的资源，可帮助网站管理员获得有关托管网站的有用见解（索引、搜索流量、抓取方面和安全性）。 Search Console 的用户可以设置为在 Google 发现有关网站管理的可疑活动时收到通知。 此外，当网站被黑客入侵时，您还可以获得一些有价值的信息。

总结一下，如果您拥有或管理一个网站，Google Search Console 是一个应该经常使用的工具，您甚至应该开始使用它来保护网站。

2.谷歌安全浏览

这是谷歌提供的另一个工具，它遵循相同的模式——简单而高效。 您应该在搜索框中输入网站名称，Google 会立即为您做出裁决。 让我们希望目前的状态是“不危险”！

3.谷歌自然搜索

是的，这是检查您的网站的一个很好的指标，但它应该被视为最后的解决方案。 谷歌用来在搜索列表中标记被黑网站。 很可能，您花费大量资源来获得搜索结果的第一或第二位置。 当用户搜索您的关键字和 Google 将您的网站标记为“该网站可能会损害您的计算机”或“该网站可能被黑客入侵”时，完全不希望成为第一！ 此外，用户将避免点击您的网站名称！

4. 分析工具

通常，被黑客入侵的网站与流量高峰有关，因此您应该在这方面检查您的分析。 当然，流量高峰应该是幸福的原因，但有时还是要谨慎！

除了这些工具之外，网站管理员还可以使用许多在线扫描，这些扫描能够提供有用的信息和有用的安全提示。 以下是 WordPress 用户最欣赏的一些列表，排名不分先后：

1. Sucuri 在线扫描

Sucuri 是著名的 WordPress 安全解决方案提供商，他们的扫描工具就像磁铁一样吸引新客户。 显然，它可以让您知道您的网站是否受到注入垃圾邮件、污损或恶意软件的影响。

2. 病毒总数

Virus Total 是一款出色的简单工具。 它允许扫描文件或 URL 并通知发现的病毒 - 我们希望 Virus Total 将报告 0 个发现的病毒。 尽管它的设计很简单，但这个工具的背后是一个活跃的社区，等待你加入。

3.垃圾屋

SpamHaus 对任何类型的网站都是一个很好的安全帮助。 它有两个不同的工具：IP 地址查找和域查找。 第一个工具可用于确定 IP 地址是否与垃圾邮件或非法活动相关联。 例如，如果您注意到一个 IP 地址多次尝试登录您的网站，您应该检查它并查找有关的其他信息。

第二个工具，域查找通知您的网站是否在他们的垃圾邮件来源列表中。 我希望您永远不会被添加到此列表中，但如果您被添加，SpamHaus 会为您提供有关如何解决安全问题并最终从列表中删除的信息。

4. 奎特拉

Quttera 是另一个令人印象深刻的工具，任何对其网站安全感兴趣的人都应该定期使用它。 它分析了很多文件，因此需要几分钟才能列出结果。 此外，由于同时分析了多个网站，可能会收到一条消息，要求您稍后尝试他们的服务。 不好，但服务是免费的，而且质量上乘，所以一点耐心是金！

5. Acunetix

与以前的工具不同，这需要订阅，但在效率和实用性方面是相似的。 Acunetix 是安全领导者，他们的在线扫描提供了大量宝贵信息。 他们有一个特别优惠 - 14 天免费测试并从他们的服务中受益。

如何清理被黑网站

尽管加强网站安全的工具有这么多，但每天仍有数十个网站被黑！ 我希望接下来的小段只是提高你的一般知识的阅读，而不是付诸实践的东西。 您猜到了，在接下来的几行中，我们将讨论如何清除黑客攻击。

首先，在这些情况下，备份副本的重要性是不可估量的。 需要新鲜的内容来与读者保持紧密的联系并为搜索引擎的蜘蛛提供食物。 许多 WordPress 创作都是博客或新闻杂志，所以如果你被黑了，你不应该浪费你的内容。 有大量的解决方案可以备份您的网站，而且很多都是免费的。 查看 WP Beginner 提供的备份插件列表或 WPMU 开发专家撰写的这篇文章。

其次，你要保持冷静！ 如果你惊慌失措，很可能会做出错误的决定！ 别忘了，没有什么是无法修复的。 第三，如果你是非开发者博主，最好向网站安全机构寻求服务。 低预算网站的价格昂贵，但您可以确定清算是由专家完成的。

总之，一个勇敢的非开发者博客作者能够清理他/她被黑的网站。 这是清理网站的个人策略——我希望您永远不会被迫将其应用于您的网站，但明智的做法是密切注意以下每个步骤。

1. 与您的房东取得联系

通常，在共享主机上，黑客可能会影响更多网站，并且当您寻求帮助时，主机团队已经收到警报。 此外，可靠的托管公司有一个安全团队，经常处理各种类型的黑客攻击。 因此，安全专家能够帮助非开发人员网站管理员。 遵循他们的建议，您就有很大的机会将黑客影响降至最低。

2.更改密码并恢复备份

在开始清理受感染的文件之前，您应该更改密码——包括您自己或其他网站用户的密码。 如果您有备份解决方案，那么您很幸运。 您只需回滚到以前的版本，受感染的文件就会消失。 应用此方法时您仍应保持谨慎 - 您最终可能会丢失重要的内容。 这就是为什么每天创建备份如此重要的原因。

3.确定被感染文件

这是要求最高的一步； 查找受感染的文件是一项艰巨的工作。 非开发人员管理员应询问托管团队哪些文件被黑客入侵。 通常，主机会通过电子邮件发送一个列表，其中包含受感染文件的名称以及有关如何清理它们的一些说明。

另一种解决方案是使用在线扫描来提供清洁网站的指导。 这些建议受感染的文件以及您应该采取什么样的措施。 一旦您拥有被感染的文件，您应该逐个文件删除和替换文件。

4.更新一切

好吧，我敢肯定，如果您的网站遭到黑客攻击，更新 WordPress 核心、主题和插件的问题将会更加严重。

5. 请求谷歌审查

如果你被黑了，谷歌很可能是第一个发现的。 网站管理员通过谷歌搜索控制台收到关于可能存在的安全问题的警告，但谷歌也警告互联网用户关于被黑客攻击的网站。 当然，不仅谷歌会警告用户网站被黑，其他搜索引擎甚至浏览器也会通知用户网站被黑。

当然，它会严重损害流量——当谷歌告诉你相应的地址被黑客使用时，谁敢访问一个网站？ 因此，网站管理员应该快速行动并清理网站。 完成这项工作后，应立即通知 Google 专家该网站是干净的，并要求他们进行审查。

我希望安全专家确认该网站没有任何恶意代码，对用户来说是安全的。 但是，这里有一份由 Google 制定的指南，可帮助您处理此问题。

正如我之前所说，在 WordPress 世界中，奇迹是可能的，其中许多都以插件的形式变形。 WordPress 存储库充满了高效且活跃的插件，这些插件是强化您网站的无价工具。 在这里，我为您列出了一些最佳解决方案，排名不分先后。

1. Wordfence 安全

Wordfence Security 有 1+ 百万次活跃安装和 4.9 分（满分 5 分）。 我在 WordPress 存储库中花费了很多时间，但我不知道另一个插件同时拥有如此多的活动安装和如此好的评价。 这些统计数据应该让你相信它的强大力量。 我是这个插件的用户（这里没有附属链接），我把它推荐给那些不想花太多时间在网站安全上的人。 它可以让您的网站成为抵御黑客攻击的真正防御工事所需的一切。

难以置信，但插件是免费的！ 即使它是免费版本，您也拥有大量功能。 如果您还想要更多，这个惊人的插件有一个高级计划。 您应该查看 Wordfence 官方网站了解更多详情； 学习中心是任何 WordPress 用户的宝贵信息来源，您应该利用 Wordfence 专家的经验来强化您的网站。

2.多合一的WP安全和防火墙

这是另一个完全值得您关注的插件。 它是一个流行的插件，被许多 WordPress 网站广泛使用——换句话说，它可靠、高效且功能强大。 该插件是考虑到非开发人员 WordPress 用户的需求而构建的，因此在配置时不会出现任何问题。 界面很吸引人，旨在维护用户的兴趣。 例如，安全强度计是一种独创且引人注目的解决方案。

除其他重要功能外，您还可以防止暴力登录攻击、有关帐户活动的完整信息、计划备份、添加不同的防火墙和导入/导出安全设置。

3. iThemes 安全性

这是另一个一流的插件，不会让任何人破解您的网站。 它以前的名字是 Better WP Security； 它是对付网站攻击者的有效工具。 对于经验不足的 WordPress 用户来说，一些设置可能会让他们感到困惑，但这篇文章对他们来说是一个金块。 这里有清晰准确的解释； 你有一个奖励——一个关于如何更好地配置插件的短视频。 除了强化您的网站外，iThemes Security 还创建网站的备份版本，因此它有两个主要角色——备份解决方案和安全强化插件。

4. 苏库里安全

对于任何对在线安全有扎实掌握的人来说，Sucuri 都是一家知名公司。 他们的 WordPress 插件是一个很棒的工具，可以帮助用户显着提高他们网站的安全性。 在众多选项和功能中，开发人员声称最被低估的功能之一是安全活动监控。 实际上，网站管理员能够看到用户的任何修改/活动。 简而言之，Sucuri Security 为您提供了防止任何安全漏洞的可能性。 显然，该插件对蛮力或拒绝服务攻击很有效。 好吧，是时候换一个术语了——拒绝服务。 来自 Wikipedia 的解释很清楚，并且示例具有启发性。
根据 Wikipedia 的说法，拒绝服务与数百人同时努力进入商店的情况进行了比较。

显然，没有人可以通过门进入，这样商店就被封锁了。 同样的想法也适用于网站——攻击者阻止合法用户登录网站。

这是我们旅程的终点​​； 如果您仔细阅读这篇文章并应用至少一半的提示，被黑客入侵的机会很低，您可以完全专注于其他方面。 尽管如此，网站的安全性是一个动态领域，您应该随时了解最新消息。 如您所见，强化您的 WordPress 网站并不像对于非开发者博客作者来说听起来那么复杂。 几乎所有事情都可以在插件的帮助下解决。

最后，我很想知道您对 WordPress 安全性的看法以及您将采取哪些措施来提高网站的安全性。 意见越多，对我们所有人都是最好的！ 当然，您可以与朋友分享这些帖子，让他们知道如何保护他们的网站。