終極指南：非開發者博客的 WordPress 安全性

維護博客是一項艱鉅的工作。 這聽起來像是為了滿足博主的虛榮心，但事實並非如此。 一年前我開始了一個網頁設計博客，我預計它的管理會消耗大量時間和資源。

儘管我做了所有的準備，我還是低估了我應該分配多少時間和資源來運行博客：推廣博客帖子比寫它們需要更多時間，主頁從來沒有完全設計過，貨幣化是一項複雜的任務。 這些只是我從這次經歷中學到的一些教訓。

從這個角度來看，忽視博客的安全性是可以理解的，但肯定不是一個聰明的主意。 我是眾多不關心安全性的博主之一。 我有一個強大的防病毒軟件，一個強大的密碼，我試圖遠離“危險網站”。 我以為避免被黑就足夠了，但事實證明我錯了。

因此，幾個月前，我決定開始使用 WordPress 安全性。 現在我想和你分享我的意見。 首先，我是一名非開發者博客作者，我多次將 WordPress 安全性與 PHP 熟練程度聯繫起來。 我和其他博主談過，他們也有同樣的想法； 很高興知道您是否同意我的觀點，或者您是否有不同的觀點。 好吧，現在我認為這是部分正確的——您無需成為 Php 嚮導即可處理您的網站安全。 當然，你對 PHP 了解得越多，你就越能保護你的網站！ 最後，任何人都可以大大提高 WordPress 博客的安全性！ 唯一的要求——激情、時間和一點好運氣！

其次，我認為如果黑客想要攻破我的網站，他/她做到這一點只是時間問題。我沒有改變主意，但我學會瞭如何加固我的博客。 沒有 100% 安全的網站，但您可以採取行動，對網站進行真正的黑客攻擊。 我特意加粗了時間問題——能夠在幾個小時內破解網站與在一周內破解它之間存在巨大差異。 只有具有間諜任務的黑客才會將他/她的資源投入到永久嘗試入侵網站上。

第三，WordPress 的安全特定條款使大多數博主遠離這個領域。 是的，有些術語很難描述和理解，但沒有一個是天生的頂級安全專家。 一步一步，任何博主都可以學習如何保護他的博客以及與網站安全相關的條款。 在接下來的幾行中，我將向您解釋其中的一些術語。

不幸的是，僅僅學習WordPress安全是不夠的，你應該把理論知識付諸實踐。 這是我保護 WordPress 驅動的網站的個人指南。 我相信對於非開發者博主來說，這是一個很好的起點； 它是完美的，我願意接受你的建議。

積極措施

網站安全的黃金法則是預防勝於清除。 我強烈強調，採取積極措施是確保博客安全的最佳方式。 WordPress 背後的開發人員日以繼夜地工作，以製作更好、更安全的版本，但與此同時，黑客們也在盡一切努力尋找新的漏洞。

賓果遊戲，什麼是脆弱？ 該術語描述了允許攻擊者破壞該產品的產品弱點。 這不是一個相當複雜的定義，但我認為它恢復了其含義的本質。 如果您想要更深入的定義，Microsoft 的這篇文章就是您的下一個講座！

最新的 Sucuri 報告表明，網站的安全性並不是奢侈品，而且攻擊也越來越複雜。 除此之外，按攻擊次數計算，WordPress 是領先的 CMS！ 我的目的不是要提醒您，我想介紹確切的情況並為您提供提高網站安全性的計劃。

1. 選擇優質主機

有大量博客討論選擇正確的託管問題； 儘管如此，所有答案都以“它取決於”開頭（如果您想將它們命名為答案，只要它們以“它取決於”開頭）。 WP White Security 告知 41% 的被黑網站是因為託管服務提供商。

很難相信託管評論，因為由於聯盟營銷佣金，這些評論並不准確（不要誤會我的意思，仍然有提供客觀評論的博客）。 但是，我認為 WordPress.org 的建議在可靠性、速度、客戶服務和安全性方面應該是最好的！ 主要缺點是成本，但質量不能用低價來實現！

2. 更新您的 WordPress 版本、主題和插件

請不要僅僅因為這條建議而忽視這篇文章——這很愚蠢，但你應該知道它是黑客最常用來控製網站的漏洞之一。 或者也許這個技巧並不像你想像的那麼愚蠢——聰明的黑客可以通過破解插件或未更新的主題來獲取大量數據。 我想每個人都聽說過巴拿馬文件。 好吧，在巨大的數據丟失背後，據信是一個被廣泛使用的名為 Revolution Slider 的插件的易受攻擊版本！ 在這種情況下，違規行為會產生積極影響——人們發現了向他們隱瞞資金的領導人的名字。

這真是一個悖論，越簡單的方法來防止被黑客入侵，就越被忽視！ 插件漏洞最多（插件後面有更多編碼），但 WordPress 版本和主題也應該更新。 想像一下，黑客發現您使用的是舊的 WordPress 版本。 幾乎可以肯定，任何黑客都有 WordPress 版本及其漏洞的數據庫。 在這方面，這是一個有用的存檔，任何黑客都可以自由使用它！ 當然，一旦發現新漏洞，黑客就會更新他們的數據庫！ 以他們為例，更新您的主題、插件和 WordPress 版本以避免安全問題！

3. 強密碼——強網站

這是另一個廣為人知的安全提示。 儘管如此，仍有近 8% 的人由於密碼薄弱而被黑客入侵。 老實說，我認為你沒有任何藉口被這樣黑客攻擊！ 有時，黑客會使用複雜的方法來竊取您的帳戶憑據，但有時他們會使用蠻力。 是的，這是另一個專門針對網站安全的術語！

蠻力的概念很簡單。 黑客嘗試各種用戶名和密碼組合進入您的網站。 這是一項費力的工作，需要大量的猜測工作和時間。 不幸的是，有些軟件解決方案可以完成骯髒的工作，而且速度非常快。 如果您的用戶名是 admin（這是一個非常常見的用戶名），那麼您給了黑客一個寶貴的幫助！

4.限制登錄嘗試

針對蠻力攻擊的最有效解決方案之一是限制登錄嘗試次數。 這個概念簡單而有效：網站管理員限制嘗試登錄失敗的次數。 例如，如果用戶連續五次嘗試登錄，則他/她的 IP 被封鎖或要求他/她在特定時間後登錄。 幸運的是，有一些值得信賴的插件，例如 Jetpack Protect、Login LockDown 和 Login Security Solution。 當然，這些插件還包含許多其他附加功能——您可以監控 IP 攻擊源、在帳戶被黑客入侵時獲得通知以及自定義登錄嘗試次數。

5.兩步認證

這種措施更加複雜，但它顯著降低了被黑客入侵的風險。 這是關於兩步驗證的——來自網站安全領域的一個新術語。 這指定了使用補充代碼或密碼登錄您的網​​站的方法。 這一點也不復雜，但需要額外的時間。 實際上，您輸入“傳統”憑據，並且需要將代碼發送到您的智能手機。 一旦您收到並將其輸入到提交表單中，您就可以登錄。很難管理黑客使用兩步身份驗證的網站，不是嗎？ 最重要的是，它很容易實現！ 當然，對於任何與 WordPress 相關的問題，都有一個插件可以解決它！ WPMU Dev 為您提供了六個可靠且高效的插件，用於實現兩步驗證。

6.禁用登錄提示

老實說，我沒有註意到當用戶名或密碼輸入錯誤時，您會收到一條消息，提示用戶名輸入錯誤或密碼不匹配。 因此，如果黑客設法竊取您的用戶名，他/她會從您的網站獲得確認。 例如，如果用戶名是“admin”，黑客將被告知他/她輸入了錯誤的密碼——當然任何黑客都嘗試過用戶名“admin”！ 在這種情況下，已經完成了一半的工作。

幸運的是，讓這個提示消失很簡單，只需將下一行代碼添加到您的 functions.php 文件中。 如果您不太熱衷於 WordPress 核心文件，來自 WordPress Beginner 的這段視頻將闡明這個問題。

[php]
functionno_wordpress_errors(){
返回'運氣不好！ 退後！';
}
add_filter('login_errors', 'no_wordpress_errors');
[/php]

7. 確保您的計算機安全

應用上述所有技巧將使您的網站比絕大多數網站更安全，但它仍然容易受到攻擊。 黑客入侵網站的另一種方式是感染網站管理員的計算機。 通常，管理員會定期檢查她/他的網站，很遺憾被存儲在您計算機文件中的病毒入侵！

因此，您應該在所有設備上都安裝了強大的防病毒軟件； 其中一些甚至是免費的，所以你沒有任何藉口！

8. 避免網絡釣魚和魚叉式網絡釣魚攻擊

這兩個術語都是針對網站安全的，在某種程度上，我認為我們所有人都是此類活動的受害者。 如果您收到關於改善性生活的藥物和神奇解決方案的不想要的信息，那麼您就是這種方法的受害者。

正如您可能推斷的那樣，網絡釣魚是一種非法行為，攻擊者試圖通過冒充受信任的實體來獲取憑據或其他類型的登錄信息。 這些攻擊通常通過電子郵件發生。

魚叉式網絡釣魚是網絡釣魚的更好版本——它是一種有針對性的攻擊。 但是，任何人都可能成為網絡釣魚攻擊的受害者！

許多由 WordPress 驅動的網站都是博客，博主用來與很多人取得聯繫——讀者、潛在讚助商、其他博主、客座作家、網站買家等。因此，我建議注意從陌生人那裡收到的任何電子郵件。 例如，我收到一封電子郵件，通知一位來自加拿大的富有投資者有興趣購買我的域名，他準備支付高價。 這對我來說是一個驚喜……事實上太有吸引力了！ 我在網上搜索了“這位富有的投資者”，發現他對許多其他領域也很感興趣。 我應該（從詐騙機構）購買證書並最終向他們提供憑據。 老實說，當我第一次閱讀電子郵件時，我欣喜若狂，幾乎要買證書了。 當然，其他 WordPress 博主也嘗試過同樣的情況和感受。 不太可能，一些博主獲得了證書，並且可能提供了登錄憑據。

如何確定網站是否被黑客入侵

不幸的是，在某些情況下，即使是最警惕的網站管理員也會被病毒或黑客欺騙。 因此，建議您牢牢掌握確定您的網站是否真的被黑客入侵。 此外，在安全漏洞和插件或主題故障之間有一個明確的界限是個好主意。 有時，插件或主題可能由於各種原因無法正常工作，您可能會因為網站被黑客入侵而感到恐慌。

在這裡，我建議您使用一些工具來清楚地評估您的網站安全性！

1.谷歌搜索控制台

谷歌搜索控制台（以前稱為谷歌網站管理員工具）是一種寶貴的資源，可幫助網站管理員獲得有關託管網站的有用見解（索引、搜索流量、抓取方面和安全性）。 Search Console 的用戶可以設置為在 Google 發現有關網站管理的可疑活動時收到通知。 此外，當網站被黑客入侵時，您還可以獲得一些有價值的信息。

總結一下，如果您擁有或管理一個網站，Google Search Console 是一個應該經常使用的工具，您甚至應該開始使用它來保護網站。

2.谷歌安全瀏覽

這是谷歌提供的另一個工具，它遵循相同的模式——簡單而高效。 您應該在搜索框中輸入網站名稱，Google 會立即為您做出裁決。 讓我們希望目前的狀態是“不危險”！

3.谷歌自然搜索

是的，這是檢查您的網站的一個很好的指標，但它應該被視為最後的解決方案。 谷歌用來在搜索列表中標記被黑網站。 很可能，您花費大量資源來獲得搜索結果的第一或第二位置。 當用戶搜索您的關鍵字和 Google 將您的網站標記為“該網站可能會損害您的計算機”或“該網站可能被黑客入侵”時，完全不希望成為第一！ 此外，用戶將避免點擊您的網站名稱！

4. 分析工具

通常，被黑客入侵的網站與流量高峰有關，因此您應該在這方面檢查您的分析。 當然，流量高峰應該是幸福的原因，但有時還是要謹慎！

除了這些工具之外，網站管理員還可以使用許多在線掃描，這些掃描能夠提供有用的信息和有用的安全提示。 以下是 WordPress 用戶最欣賞的一些列表，排名不分先後：

1. Sucuri 在線掃描

Sucuri 是著名的 WordPress 安全解決方案提供商，他們的掃描工具就像磁鐵一樣吸引新客戶。 顯然，它可以讓您知道您的網站是否受到注入垃圾郵件、污損或惡意軟件的影響。

2. 病毒總數

Virus Total 是一款出色的簡單工具。 它允許掃描文件或 URL 並通知發現的病毒 - 我們希望 Virus Total 將報告 0 個發現的病毒。 儘管它的設計很簡單，但這個工具的背後是一個活躍的社區，等待你加入。

3.垃圾屋

SpamHaus 對任何類型的網站都是一個很好的安全幫助。 它有兩個不同的工具：IP 地址查找和域查找。 第一個工具可用於確定 IP 地址是否與垃圾郵件或非法活動相關聯。 例如，如果您注意到一個 IP 地址多次嘗試登錄您的網​​站，您應該檢查它並查找有關的其他信息。

第二個工具，域查找通知您的網站是否在他們的垃圾郵件來源列表中。 我希望您永遠不會被添加到此列表中，但如果您被添加，SpamHaus 會為您提供有關如何解決安全問題並最終從列表中刪除的信息。

4. 奎特拉

Quttera 是另一個令人印象深刻的工具，任何對其網站安全感興趣的人都應該定期使用它。 它分析了很多文件，因此需要幾分鐘才能列出結果。 此外，由於同時分析了多個網站，可能會收到一條消息，要求您稍後嘗試他們的服務。 不好，但服務是免費的，而且質量上乘，所以一點耐心是金！

5. Acunetix

與以前的工具不同，這需要訂閱，但在效率和實用性方面是相似的。 Acunetix 是安全領導者，他們的在線掃描提供了大量寶貴信息。 他們有一個特別優惠 - 14 天免費測試並從他們的服務中受益。

如何清理被黑網站

儘管加強網站安全的工具有這麼多，但每天仍有數十個網站被黑！ 我希望接下來的小段只是提高你的一般知識的閱讀，而不是付諸實踐的東西。 您猜到了，在接下來的幾行中，我們將討論如何清除黑客攻擊。

首先，在這些情況下，備份副本的重要性是不可估量的。 需要新鮮的內容來與讀者保持緊密的聯繫並為搜索引擎的蜘蛛提供食物。 許多 WordPress 創作都是博客或新聞雜誌，所以如果你被黑了，你不應該浪費你的內容。 有大量的解決方案可以備份您的網站，而且很多都是免費的。 查看 WP Beginner 提供的備份插件列表或 WPMU 開發專家撰寫的這篇文章。

其次，你要保持冷靜！ 如果你驚慌失措，很可能會做出錯誤的決定！ 別忘了，沒有什麼是無法修復的。 第三，如果你是非開發者博主，最好向網站安全機構尋求服務。 低預算網站的價格昂貴，但您可以確定清算是由專家完成的。

總之，一個勇敢的非開發者博客作者能夠清理他/她被黑的網站。 這是清理網站的個人策略——我希望您永遠不會被迫將其應用於您的網站，但明智的做法是密切注意以下每個步驟。

1. 與您的房東取得聯繫

通常，在共享主機上，黑客可能會影響更多網站，並且當您尋求幫助時，主機團隊已經收到警報。 此外，可靠的託管公司有一個安全團隊，經常處理各種類型的黑客攻擊。 因此，安全專家能夠幫助非開發人員網站管理員。 遵循他們的建議，您就有很大的機會將黑客影響降至最低。

2.更改密碼並恢復備份

在開始清理受感染的文件之前，您應該更改密碼——包括您自己或其他網站用戶的密碼。 如果您有備份解決方案，那麼您很幸運。 您只需回滾到以前的版本，受感染的文件就會消失。 應用此方法時您仍應保持謹慎 - 您最終可能會丟失重要的內容。 這就是為什麼每天創建備份如此重要的原因。

3.確定被感染文件

這是要求最高的一步； 查找受感染的文件是一項艱鉅的工作。 非開發人員管理員應詢問託管團隊哪些文件被黑客入侵。 通常，主機會通過電子郵件發送一個列表，其中包含受感染文件的名稱以及有關如何清理它們的一些說明。

另一種解決方案是使用在線掃描來提供清潔網站的指導。 這些建議受感染的文件以及您應該採取什麼樣的措施。 一旦您擁有被感染的文件，您應該逐個文件刪除和替換文件。

4.更新一切

好吧，我敢肯定，如果您的網站遭到黑客攻擊，更新 WordPress 核心、主題和插件的問題將會更加嚴重。

5. 請求谷歌審查

如果你被黑了，谷歌很可能是第一個發現的。 網站管理員通過谷歌搜索控制台收到關於可能存在的安全問題的警告，但谷歌也警告互聯網用戶關於被黑客攻擊的網站。 當然，不僅谷歌會警告用戶網站被黑，其他搜索引擎甚至瀏覽器也會通知用戶網站被黑。

當然，它會嚴重損害流量——當谷歌告訴你相應的地址被黑客使用時，誰敢訪問一個網站？ 因此，網站管理員應該快速行動並清理網站。 完成這項工作後，應立即通知 Google 專家該網站是乾淨的，並要求他們進行審查。

我希望安全專家確認該網站沒有任何惡意代碼，對用戶來說是安全的。 但是，這裡有一份由 Google 制定的指南，可幫助您處理此問題。

正如我之前所說，在 WordPress 世界中，奇蹟是可能的，其中許多都以插件的形式變形。 WordPress 存儲庫充滿了高效且活躍的插件，這些插件是強化您網站的無價工具。 在這裡，我為您列出了一些最佳解決方案，排名不分先後。

1. Wordfence 安全

Wordfence Security 有 1+ 百萬次活躍安裝和 4.9 分（滿分 5 分）。 我在 WordPress 存儲庫中花費了很多時間，但我不知道另一個插件同時擁有如此多的活動安裝和如此好的評價。 這些統計數據應該讓你相信它的強大力量。 我是這個插件的用戶（這裡沒有附屬鏈接），我把它推薦給那些不想花太多時間在網站安全上的人。 它可以讓您的網站成為抵禦黑客攻擊的真正防禦工事所需的一切。

難以置信，但插件是免費的！ 即使它是免費版本，您也擁有大量功能。 如果您還想要更多，這個驚人的插件有一個高級計劃。 您應該查看 Wordfence 官方網站了解更多詳情； 學習中心是任何 WordPress 用戶的寶貴信息來源，您應該利用 Wordfence 專家的經驗來強化您的網站。

2.多合一的WP安全和防火牆

這是另一個完全值得您關注的插件。 它是一個流行的插件，被許多 WordPress 網站廣泛使用——換句話說，它可靠、高效且功能強大。 該插件是考慮到非開發人員 WordPress 用戶的需求而構建的，因此在配置時不會出現任何問題。 界面很吸引人，旨在維護用戶的興趣。 例如，安全強度計是一種獨創且引人注目的解決方案。

除其他重要功能外，您還可以防止暴力登錄攻擊、有關帳戶活動的完整信息、計劃備份、添加不同的防火牆和導入/導出安全設置。

3. iThemes 安全性

這是另一個一流的插件，不會讓任何人破解您的網站。 它以前的名字是 Better WP Security； 它是對付網站攻擊者的有效工具。 對於經驗不足的 WordPress 用戶來說，一些設置可能會讓他們感到困惑，但這篇文章對他們來說是一個金塊。 這裡有清晰準確的解釋； 你有一個獎勵——一個關於如何更好地配置插件的短視頻。 除了強化您的網站外，iThemes Security 還創建網站的備份版本，因此它有兩個主要角色——備份解決方案和安全強化插件。

4. 蘇庫里安全

對於任何對在線安全有紮實掌握的人來說，Sucuri 都是一家知名公司。 他們的 WordPress 插件是一個很棒的工具，可以幫助用戶顯著提高他們網站的安全性。 在眾多選項和功能中，開發人員聲稱最被低估的功能之一是安全活動監控。 實際上，網站管理員能夠看到用戶的任何修改/活動。 簡而言之，Sucuri Security 為您提供了防止任何安全漏洞的可能性。 顯然，該插件對蠻力或拒絕服務攻擊很有效。 好吧，是時候換一個術語了——拒絕服務。 來自 Wikipedia 的解釋很清楚，並且示例具有啟發性。
根據 Wikipedia 的說法，拒絕服務與數百人同時努力進入商店的情況進行了比較。

顯然，沒有人可以通過門進入，這樣商店就被封鎖了。 同樣的想法也適用於網站——攻擊者阻止合法用戶登錄網站。

這是我們旅程的終點； 如果您仔細閱讀這篇文章並應用至少一半的提示，被黑客入侵的機會很低，您可以完全專注於其他方面。 儘管如此，網站的安全性是一個動態領域，您應該隨時了解最新消息。 如您所見，強化您的 WordPress 網站並不像對於非開發者博客作者來說聽起來那麼複雜。 幾乎所有事情都可以在插件的幫助下解決。

最後，我很想知道您對 WordPress 安全性的看法以及您將採取哪些措施來提高網站的安全性。 意見越多，對我們所有人都是最好的！ 當然，您可以與朋友分享這些帖子，讓他們知道如何保護他們的網站。