23 个基本的 WordPress 安全提示

网络安全是一个不断发展的领域。 随着系统技术人员努力修复漏洞和弱点以防止安全问题，黑客找到了更多绕过它们的方法。 出于这个原因，没有网站可以免受猛烈攻击。

有些人错误地认为，如果他们使用受信任的网站托管服务，例如 WordPress，就可以免除这些风险。 然而，事实恰恰相反。

在 WordPress 中进行网页设计时，需要考虑的不仅仅是插件或模板。 与所有托管服务一样，WordPress 具有独特的安全问题，如果您想确保网站或博客的安全，必须解决这些问题。 这些保护功能不容忽视，这是每个设计师都应该在他们的网页设计概念中投入的东西。

1.使用安全托管

是的，您可以免费使用 WordPress，但这只是意味着您将拥有更少的安全功能和支持。 在浏览您的选项时，选择最便宜的选项并不总是有益的。 仔细查看每个人提供的安全选项、评论和评级，以及成本与风险收益，以帮助您在最终选择中更加明智。

2. 安装插件前的画面

一些插件可能带有恶意代码，这些代码可能会破坏您的网站并为黑客打开大门。 在安装插件之前，请务必检查插件的评级并阅读评论。 对于不是由受信任的开发人员创建的免费插件，这一点尤其重要。

此外，请务必定期升级您的 WordPress 插件。 进行这些更新是为了保持插件正常运行并保护它们免受已知漏洞的影响。

3.限制访问

请小心共享您的登录信息。 用户之间浮动的登录过多会很快变得混乱，从而难以记住谁有权访问。 同样，您并不总是知道在员工和设计师同行中您可以信任谁。 只允许少数人访问，并经常更改用户名和密码，以避免过多的人访问。

4.聘请专家

无论您是想要建立网站的设计师还是商人，在网站安全方面，您都不能太小心。 聘请专家帮助您确定安全规范始终是一个好主意。 与熟悉该领域的人一起去，在安装安全功能方面有丰富的经验，并且有来自以前客户的好评和推荐。 您的专家还可以运行测试以确保为您的 WordPress 设计提供足够的保护。

5.经常更改密码

密码保持不变的时间越长，黑客就越容易接管它。 在开发阶段和运营阶段之间，请务必多次更改密码。 这也将有助于减少可以访问您的 WordPress 网站的不必要的人数。

6.使密码强大

根据 I-Sight.com 的总结，黑客只需 10 分钟即可破解六个小写字母的密码。 如果你只添加几个大写字母、数字和一个符号，时间量就会跳到 44,530 年。 简而言之，最好选择一个比您容易记住的密码更复杂的密码。

7. 保护您的计算机

有时，特洛伊木马和病毒会通过安装潜入您的计算机，而您并没有意识到这一点。 然后它将允许黑客访问存储在您计算机上的敏感信息。 使用最新的软件、病毒防护和安全的浏览历史记录来锁定您的计算机。

其他时候，这些病毒会削弱您的计算机。 一旦它无法正常运行，黑客将能够从硬盘驱动器中检索宝贵的信息，而您将无法采取任何措施来阻止攻击。

8. 保持软件更新

更新是有原因的。 他们在那里建立保护并修复软件中易受错误代码影响的弱点。 作为警告，请仅从 WordPress.org 下载更新，以免安装会变成病毒或更严重的东西。

9.分配一个真实的用户名

为了让不受欢迎的访问者更难访问您的网站，请选择“admin”以外的用户名。 这是所有 WordPress 网站的默认用户名，但使用起来有风险。 机器人黑客经常开始攻击仍然使用“admin”用户名的网站，因为它更容易破解。

已经有许多针对用户名“admin”并将其与通用密码配对以破解数千个 WordPress 帐户的黑客尝试。 与修复的容易程度相比，这是一个太常见的弱点。

10. 将您的用户名与网站的 URL 分开

如果您的用户名在您网站上的作者存档 URL 中，他们将更容易访问您的页面。 最好将您的用户名隐藏在您的数据库中。

11. 在登录页面添加验证码

验证码很烦人，但它们在保护您的页面免受机器人攻击方面做得很好。 它还可以帮助保护您的网站免受暴力攻击。 验证码是在 WordPress 网站上添加另一层防御的好方法。

12. 进行安全审计

安全审计是发现弱点和漏洞并提供一些修复它们的建议的最佳方式。 它将暴露软件和硬件安全漏洞，否则会影响内容管理系统本身。

13. 使用在线工具

自从网络意识到网络安全威胁以来，它就被解决方案炸毁了。 虽然并非所有在线工具都有帮助，但具有高评级的知名工具将有助于保护网站。 在下载任何工具之前阅读评论并查看评级。

14. 防止恶意 URL 请求

创建恶意 URL 的目的是破坏网站。 它们通常包含在垃圾邮件或网络钓鱼邮件中，并且可以在您不知情的情况下潜入您的网站。 查找旨在保护您的网站免受恶意 URL 请求的片段解决方案、工具和其他软件。

15.警惕免费主题

如前所述，“免费”这个词对于网页设计师来说并不总是一个好兆头。 许多主题将具有良好的质量和高安全性，但通常很难判断哪些主题将完全保护您的网站。 尽可能避免使用免费主题，尤其是那些不是由知名开发人员创建的主题。

许多免费主题将包含垃圾邮件内容，例如 base64 编码，这些内容可能附带垃圾邮件链接和恶意代码。 一项研究表明，80% 的免费主题都有这种类型的代码。 为避免头痛，请购买具有高评价和好评如潮的主题。

16.有足够的存储和备份

太多的开发人员和公司推迟备份网站，直到为时已晚。 由于与互联网和网络安全相关的风险，您根本不知道黑客是否会开始对您的网站进行暴力攻击。

正确存储和备份数据是业务和网站成功不可或缺的一部分。 一项研究发现，从网站丢失数据的公司中有 60% 在事件发生后的六个月内失败。 积极主动地安装一个备份系统，以保持重要数据的持续记录。

17. 小心添加安全插件

安全插件是保护您的网站免受损害的绝佳方式，但如果未正确添加它们也可能造成损害。 添加安全插件似乎很容易，但如果您不知道自己在做什么，您可以轻松地在您的网站中开发更多漏洞。 如果您没有安装安全插件的经验，最好寻求专业人士的帮助。

18. 避免文件上传

作为一般经验法则，禁止从您的网站上传文件。 即使您的用户只是上传个人资料图片或不同的头像，这些文件也更有可能使您的网站面临恶意文件或不知情的错误文件的风险。 同样，在个人将内容上传到您的网站时要小心。 仅上传真实内容以避免对您的代码的攻击。

19.禁用目录浏览

许多博主和网页设计师没有考虑保护对其 WordPress 插件目录的访问，这使网站容易受到攻击。 这就像晚上睡觉时不锁门，这样小偷就可以自由游荡。 通过使用“.htaccess 文件”或将空白“index.html”文件上传到目录来阻止对这些目录的访问。 那应该永远把门锁在入侵者面前。

20. 使用 SSL 加密

大多数网站和博客都发送和接收数据，如果这些数据没有受到保护，它可能会带回病毒、错误代码和恶意间谍软件。 同样，如果您正在传输敏感数据并且它没有受到保护，那么任何人都可以访问它。 通常 WordPress SSL 加密功能是完全免费且易于安装的，这意味着您真的没有理由不保护传输。

21. 删除额外账户

经常清点附加到您网站的帐户并删除所有额外内容非常重要。 事实上，如果可能，最好只使用一个与需要访问权限的人共享的密封管理员帐户，而不是使用多个帐户。 至少，始终删除过时和未使用的帐户。 让他们闲置会使其他人更容易窃取信息。

22.找到被黑的文件

如果您怀疑您的 WordPress 文件已被黑客入侵，最好使用一些工具来消除问题。 Exploit Scanner、Sucuri、Wordfence 和 WordPress File Monitor Plus 都是恢复文件和添加额外保护的绝佳选择。

23.更改数据库前缀

建立一个基本的 WordPress 网站非常方便，但这种方便可能会成为网页设计师的失败。 它鼓励懒惰，因此，您更有可能错过诸如更改数据库前缀之类的事情，这是一个常见的黑客攻击点。 始终记得检查数据库前缀是否已更改，以保护站点数据库的表名。 这个简单的步骤不会阻止最有经验的黑客，但它至少会阻止机器人攻击。

与许多网页设计师的看法相反，安装某些安全功能并采取某些措施来保护 WordPress 网站是您作为网页设计师的责任。 有太多的威胁不能忽视网络网络风险。 确实，经验丰富的 IT 部门或安全专家可以稍后加入并添加此处列出的每个功能，但总体而言，最好在一开始就安装这些功能。 如果每个网页设计师在发布 WordPress 网站之前都花时间保护他们的安全，那么成功的黑客攻击尝试的数量很容易减少一半。