创网站长资源 WordPress安全 2024-05-02

WordPress安全指南:让你的WordPress安全防线坚如磐石的19个步骤

温馨提示：注册会员付费购买资源可永久免费下载更新版本

说到WordPress的安全性，你可以采取许多措施来锁定你的网站，以防止黑客和漏洞影响你的电子商务网站或博客。你最不想发生的事情就是某天早上醒来发现你的网站一团糟。因此，今天我们将分享许多技巧、策略和技术，你可以用它们来提高WordPress的安全性并保持安全。

WordPress安全吗？

你可能想知道的第一个问题是WordPress是否安全？可能是对的。然而，WordPress通常会受到批评，因为它容易出现安全漏洞，本质上不是企业的安全平台。这通常是因为用户遵循了业内公认的最糟糕的安全实践。

使用过时的WordPress软件，无效的插件，糟糕的系统管理，凭证管理，以及非技术WordPress用户缺乏必要的Web和安全知识，使得黑客能够控制他们的网络犯罪游戏。即使是行业领导者也不总是使用最佳实践。路透社被黑是因为他们用了过时的WordPress版本。

从根本上说，安全并不是一个完全安全的系统。这些东西可能不切实际或者不可能找到和/或维护。然而，安全是降低风险，而不是消除风险。而是在一个合理的范围内，使用一切可用的适当控制，这样你就可以改善自己的整体姿态，从而降低自己成为众矢之的，然后被黑的可能性。–WordPress安全代码

现在，这并不是说漏洞不存在。根据多平台安全公司Sucuri的一项研究，2017年第三季度，WordPress在其工作的受感染网站中继续领先(83%)。这一比例高于2016年的74%。

WordPress安全漏洞

WordPress支持互联网上超过43.0%的网站，拥有数十万个主题和插件组合，所以存在漏洞并不断被发现并不奇怪。然而，在WordPress平台周围也有一个很棒的社区来确保这些东西尽快得到修补。截至2022年，WordPress安全团队由大约50名(高于2017年的25名)专家组成，包括首席开发人员和安全研究人员——其中大约一半是Automattic的员工，其他人在网络安全领域工作。

WordPress漏洞

看看下面一些不同类型的WordPress安全漏洞。

后门(后门)

制药黑客

暴力登录尝试(暴力登录尝试)

恶意重定向(恶意重定向)

跨站点脚本(XSS)。

拒绝服务

后门(后门)

这个名副其实的后门漏洞，为黑客提供了一个绕过安全加密，通过非正常方式(wp-Admin、SFTP、FTP等)访问WordPress网站的隐藏通道。).一旦被利用，后门程序使黑客能够通过跨站点污染对托管服务器造成严重破坏，危及同一服务器上托管的多个站点。2017年第三季度，Sucuri报告称，后门仍然是攻击者采取的许多黑客攻击后行动之一，71%的受感染网站都有某种形式的后门注入。

恶意软件家族分布

后门通常被加密，看起来像合法的WordPress系统文件，并通过利用平台过时版本中的弱点和错误进入WordPress数据库。TimThumb的惨败，就是利用见不得人的脚本和过时的软件，攻破数百万网站后门漏洞的典型例子。

幸运的是，这个漏洞的预防和处理相当简单。你可以用SiteCheck之类的工具扫描你的WordPress网站，很容易检测出常见的后门程序。双因素认证，屏蔽IP，限制管理员访问，防止PHP文件非授权执行，可以轻松解决常见的后门威胁，下面我们会详细介绍。Canton Becker也有一篇关于清理WordPress安装的后门混乱的好文章。

制药黑客

Pharma Hack漏洞用于在WordPress网站和插件的过时版本中插入恶意代码，导致搜索引擎在搜索受感染网站时返回药品广告。与传统的恶意软件相比，这个漏洞更像是一个垃圾邮件威胁，但它给了搜索引擎足够的理由来阻止网站传播垃圾邮件的指控。

Pharma Hack的移动部分包括数据库中的插件和后门，可以根据Sucuri博客中的说明进行清理。然而，这些漏洞通常是隐藏在数据库中的加密恶意注入的恶意变种，这需要彻底的清理过程来修复漏洞。然而，通过使用推荐的WordPress主机服务提供商和最新的服务器，并定期更新你的WordPress安装、主题和插件，你可以很容易地防止制药黑客。

暴力登录试图使用自动化脚本来利用弱密码并访问您的网站。两步验证、限制登录尝试、监控未授权登录、阻止IP和使用强密码是防止暴力攻击的一些最简单和最有效的方法。不幸的是，许多WordPress网站所有者未能实施这些安全措施，而黑客可以轻松地使用暴力攻击在一天内摧毁多达3万个网站。

恶意重定向(恶意重定向)

恶意重定向利用FTP、s FTP、wp-admin等协议，在WordPress安装中创建后门，将重定向代码注入网站。重定向通常放在。htaccess文件和其他编码形式的WordPress核心文件，将网络流量导向恶意网站。我们将在下面的WordPress安全步骤中介绍一些防止这些问题的方法。

跨站点脚本(XSS)

跨站点脚本(XSS)是指将恶意脚本注入到受信任的网站或应用程序中。攻击者利用它在终端用户不知情的情况下向他们发送恶意代码，通常是浏览器端脚本。通常目的是获取cookie或会话数据，甚至可能重写页面上的HTML。

据WordFence介绍，跨站脚本漏洞是WordPress插件中最常见的漏洞。

拒绝服务

可能是最危险的一种，拒绝服务(DDoS)利用代码中的错误和错误来淹没网站操作系统的内存。黑客通过DDoS攻击利用过时和易受攻击的WordPress软件版本，入侵数百万网站，赚取数百万美元。尽管出于经济动机的网络犯罪分子不太可能以小公司为目标，但他们通常会破坏过时的易受攻击的网站，以创建僵尸网络链来攻击大企业。

即使是最新版本的WordPress软件也不能完全防御高调的DDoS攻击，但它至少可以帮助你避免陷入金融机构和老练的网络犯罪分子的交叉火力中。别忘了2016年10月21日。这是互联网被DNS DDoS攻击瘫痪的一天。

WordPress安全指南2022

据互联网实时统计，每天有超过10万个网站被黑。这就是为什么花点时间阅读以下关于如何更好地加强WordPress安全性的建议是如此重要。

WordPress网站每天都被黑。

随着WordPress平台的变化和新漏洞的出现，我们将确保及时更新本文的相关信息。

安全WordPress托管

使用最新的PHP版本。

智能用户名和密码

1.安全WordPress托管

说到WordPress的安全性，不仅仅是锁定你的网站，尽管我们会在下面为你提供如何做的最佳建议。你的WordPress主机也负责网络服务器级别的安全。

选择一个你可以信任的主机是非常重要的。或者，如果你在自己的VPS上托管WordPress，那么你需要有技术知识来自己做这些事情。

安全WordPress托管

服务器加固是维护一个完全安全的WordPress环境的关键。它需要多层次的硬件和软件安全措施，以确保托管WordPress站点的IT基础设施能够抵御复杂的物理和虚拟威胁。

因此，托管WordPress的服务器应该更新最新的操作系统和(安全)软件，并彻底测试和扫描漏洞和恶意软件。

在服务器上安装WordPress之前，服务器级的防火墙和入侵检测系统要到位，即使在WordPress安装和网站建设过程中也能得到很好的保护。然而，安装在机器上保护WordPress内容的每个软件都应该与最新的数据库管理系统兼容，以保持最佳性能。服务器还应该配置为使用安全的网络和文件传输加密协议(如SFTP而不是FTP)来隐藏敏感内容，防止恶意入侵者。

托管服务器架构示例

2.使用最新的PHP版本

PHP是你的WordPress网站的主干，所以在你的服务器上使用最新版本是非常重要的。PHP的每个主要版本通常在发布后的两年内得到完全支持。在此期间，将定期修复和修补错误和安全问题。截至目前，任何运行在PHP 7.1或更早版本上的人都不再有安全支持，面临未打补丁的安全漏洞。

支持的PHP版本

你猜怎么着？根据WordPress官方统计页面，截至本文撰写时，超过57%的WordPress用户仍在使用PHP 5.6或更低版本。如果这与PHP 7.0结合起来，高达77.5%的用户目前使用的是不再受支持的PHP版本。太可怕了！

有时，企业和开发人员确实需要时间来测试和确保与他们的代码的兼容性，但是他们没有借口在没有安全支持的情况下运行。更不用说在老版本上运行的巨大性能影响了。

WordPress PHP版本统计

你知道你目前用的是哪个版本的PHP吗？大多数主机通常会将它包含在您网站的标题请求中。快速检查的方法是通过Pingdom运行您的站点。单击第一个请求，并查找X-Powered-By参数。通常，这将显示您的Web服务器当前使用的PHP版本。但是，出于安全原因，一些主机会删除此报头。有些服务器会默认删除这个头，以保证你网站的安全。

在Pingdom中检查PHP版本

在Pagoda Panel中，你甚至可以通过仪表盘中的按钮在PHP版本之间切换。

宝塔面板开关PHP版本

如果你在使用cPanel的WordPress主机上，你通常可以通过点击软件类别下的“PHP选择”来切换PHP版本。

CPanel PHP版本

3.使用智能用户名和密码

令人惊讶的是，加强WordPress安全性的最好方法之一就是简单地使用巧妙的用户名和密码。听起来很简单，对吧？好吧，来看看SplashData的2019年最常被盗密码年度榜单(按热门程度排序)。

123456

密码

123456789

12345678

一二三四五

111111

1234567

阳光

标准英语打字键盘的

我爱你

没错！最流行的密码是“123456”，其次是一个惊人的“密码”。

强制使用安全的WordPress密码

核心WordPress的wp_hash_password函数使用phpass密码散列框架和八个基于MD5的散列。

一些最好的安全措施始于基础。对于如何选择强密码，Google有一些很好的建议。或者，您可以使用在线工具，如强密码生成器。你可以在这里了解更多关于如何更改你的WordPress密码。

每个网站使用不同的密码也很重要。存储它们的最佳方式是将它们存储在本地计算机上的加密数据库中。KeePass是一个很好的免费工具。如果不想走这条路，网上有密码管理器，比如1Password或者LastPass。即使你的数据安全地存放在云中，这些通常也更安全，因为你不会在多个站点上使用同一个密码。它还可以防止您使用便笺条。

就你的WordPress安装而言，你不应该使用默认的“admin”用户名。为管理员帐户创建一个唯一的WordPress用户名，并删除“admin”用户(如果存在的话)。您可以通过在仪表板中的“Users”下添加一个新用户并为其分配一个“Administrator”配置文件来实现这一点(如下所示)。

WordPress管理员角色

将管理员角色分配给新帐户后，您可以返回并删除原来的“管理员”用户。当您点按“删除”时，请确保选择“将所有内容归于”选项并选择新的管理员配置文件。这将指定此人为这些文章的作者。

将所有内容归属于管理员。

您还可以使用以下命令在phpMyAdmin中手动重命名您当前的管理员用户名。请确保在编辑该表之前备份您的数据库。

UPDATE wp_users SET user_login = ‘newcomplexadminuser’ WHERE user_login = ‘admin’;

4.总是使用最新版本的WordPress，插件和主题

加强WordPress安全性的另一个非常重要的方法是经常更新它。这包括WordPress核心、插件和主题(来自WordPress插件库和高级版)。这些更新是有原因的，很多时候包括安全增强和错误修复。我们建议您阅读我们关于WordPress自动更新如何工作的深入指南。

保持WordPress最新

不幸的是，数以百万计的企业正在运行WordPress软件和插件的过时版本，但仍然相信他们正走在通往商业成功的正确道路上。他们列举了不更新的原因，如“他们的网站会崩溃”或“核心修改会消失”或“插件X无法工作”或“他们只是不需要新功能”。

事实上，网站崩溃主要是因为旧WordPress版本的错误。知道相关风险的WordPress团队和专家开发者从不推荐核心修改。WordPress更新主要包括必要的安全补丁和运行最新插件所需的附加功能。

你知道插件漏洞占黑客已知入口的55.9%吗？这是WordFence在一项研究中发现的。他们采访了1000多名WordPress网站所有者，他们都是攻击的受害者。通过更新你的插件，你可以更好地确保你不是这些受害者之一。

被黑的WordPress网站

还建议您仅安装受信任的插件。WordPress插件库中的“特色”和“流行”类别可能是一个很好的起点。或者直接从开发商网站下载。我们强烈反对使用无效的WordPress插件和主题。

首先，你永远不知道修改后的代码可能包含什么。这很容易导致你的网站被黑。不为先进的WordPress插件付费，对整个社区的发展没有任何帮助。我们需要支持开发者。

以下是如何正确删除WordPress主题。

你可以使用像VirusTotal这样的在线工具来扫描插件或主题的文件，看看它是否检测到任何类型的恶意软件。

病毒总数

如何更新WordPress核心

有几种简单的方法来更新你的WordPress安装。

要更新WordPress核心，你可以点击WordPress仪表盘中的“更新”,然后点击“立即更新”按钮。

更新WordPress核心

你也可以通过下载最新版本并通过SFTP上传来手动更新WordPress。

重要！如果操作不正确，覆盖错误的文件夹可能会损坏您的网站。如果你对此感到不适，请先咨询开发者。

请按照以下步骤更新现有安装:

删除旧的wp-includes和wp-admin目录。

上传新的wp-includes和wp-admin目录。

将新文件夹中的单个文件上传到现有的wp-content文件夹，覆盖现有的文件。不要删除现有的wp-content文件夹。不要删除现有wp-content目录中的任何文件或文件夹(被新文件覆盖的除外)。

将新版本根目录中所有新的松散文件上传到你现有的WordPress根目录。

如何更新WordPress插件

更新WordPress插件的过程和更新WordPress内核的过程非常相似。点击WordPress仪表盘中的更新，选择你想要更新的插件，然后点击更新插件。

更新WordPress插件

同样，您可以手动更新插件。只需从插件开发者或WordPress插件库中获取最新版本，并通过FTP上传，覆盖目录中现有的插件/wp-content/plugins。

同样需要注意的是，开发者并不总是让他们的插件保持最新。WP的团队很好的分析了资源库中有多少WordPress插件没有跟上当前的WordPress核心。根据他们的研究，插件库中有近50%的插件已经超过2年没有更新。

这并不意味着该插件不适合当前版本的WordPress，但是建议你选择一个主动更新的插件。过时的插件更有可能包含安全漏洞。

Img: WP循环

当涉及到插件时，使用你最好的判断。检查“最后更新”日期和插件有多少评级。如下例所示，这款已经过时，评论很差，我们大概会建议远离它。WordPress在大部分有段时间没有更新的插件顶部也有一个警告。

评分很低的旧WordPress插件

还有很多资源可以帮助你及时了解最新的WordPress安全更新和漏洞。请参考以下部分内容:

WP Bloggers:一个伟大的聚合资源，拥有超过20个安全源。

WPS漏洞数据库:该目录包含超过10，000个WordPress核心、插件和主题漏洞。

ThreatPress:WordPress插件、主题和WordPress核心漏洞的数据库，每天更新。

官方WordPress安全文件

WordPress安全文件

5.锁定你的WordPress管理背景

有时候，WordPress流行的隐蔽安全策略对于普通的在线业务和WordPress网站来说是恰当而有效的。如果你让黑客更难找到一些后门，你就不太可能被攻击。锁定你的WordPress管理后台并登录是增强安全性的好方法。两个好方法是首先改变你默认的wp-admin登录URL并限制登录尝试。

默认情况下，你的WordPress站点的登录URL是domain.com/wp-admin.。问题之一是所有的机器人、黑客和脚本都知道这个。通过改变网址，你可以减少你的目标，更好地保护自己免受暴力攻击。这不是万灵药，这只是一个绝对有助于保护你的窍门。

要更改你的WordPress登录网址，我们建议使用免费的WPS隐藏登录插件或高级性能插件。两个插件都有一个简单的输入字段。请记住选择一些独特的东西，这些东西不会出现在机器人或脚本可能试图扫描的列表中。

使用Perfmatters隐藏WordPress登录URL

虽然上述更改管理员登录URL的解决方案有助于减少大多数虚假登录尝试，但设置限制也非常有效。Cerber Limit Login Attempts的免费插件是一个很好的方法，可以轻松设置锁定持续时间、登录尝试以及IP白名单和黑名单。

在WordPress中限制登录尝试

如果你正在寻找一个更简单的WordPress安全解决方案，另一个好的选择是免费的登录锁定插件。登录记录了每次失败登录尝试的IP地址和时间戳。如果在短时间内检测到来自同一IP范围的尝试次数超过一定次数，将对该范围内的所有请求禁用登录功能。并且完全兼容上面提到的WPS隐藏登录插件。

锁定WordPress

如何添加基本HTTP身份验证(htpasswd保护)

锁定管理员的另一种方法是添加HTTP身份验证。这需要用户名和密码来访问WordPress登录页面。注意:这个一般不应该用在电商网站或者会员网站上。但这可能是阻止机器人访问你网站的一个非常有效的方法。

。htpasswd身份验证提示

街头流氓

如果您使用cPanel主机，您可以从其控制面板启用密码保护目录。要手动设置它，首先需要创建一个。htpasswd文件。您可以使用这个方便的生成器工具。然后将文件上传到wp-admin文件夹下的目录，例如:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

然后使用下面的代码创建一个。htaccess文件，并将其上传到您的/wp-admin/目录。确保更新目录路径和用户名。

AuthName “Admins Only”AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswdAuthType basicrequire user yourusername

一个警告是，它会破坏网站前端的AJAX (admin-ajax)。这是一些第三方插件所必需的。因此，您还需要在上面添加以下代码。htaccess文件。

Order allow,denyAllow from allSatisfy any

Nginx

如果运行Nginx，也可以使用HTTP基本认证来限制访问。看看这个教程。

一旦启用，你的WordPress网站将需要认证才能访问。您可以随时更改凭据，或者在不再需要时禁用凭据。

锁定URL路径

如果您使用的是Web应用防火墙(WAF ),如Cloudflare或Sucuri，它们也有锁定URL路径的方法。本质上，你可以设置一个规则，这样只有你的IP地址可以访问你的WordPress管理员登录URL。同样，这通常不应该用于电子商务网站或会员网站，因为它们也依赖于访问您网站的后端。

Cloudflare在其Pro及更高版本的账号中有锁定URL的功能。您可以为任何URL或路径设置规则。

Sucuri有黑名单URL路径功能。然后，您可以将您的IP列入白名单。

6.利用双因素身份认证

当然，我们不能忘记双因素认证！无论您的密码有多安全，都有被他人发现的风险。双因素身份验证包括两步过程，其中您不仅需要密码登录，还需要第二种方法。它通常是一个文本(短信)，一个电话或基于时间的一次性密码(TOTP)。在大多数情况下，这可以100%有效地防止对你的WordPress网站的暴力攻击。为什么？因为攻击者几乎不可能同时拥有你的密码和手机。

双因素身份认证实际上有两个部分。第一个是你的虚拟主机服务商的账户和/或仪表盘。如果有人可以访问，他们可能会更改你的密码，删除你的网站，更改DNS记录和各种可怕的事情。

双因素认证的第二部分与你的实际WordPress安装相关。为此，我们推荐几个插件:

双重双因素认证

谷歌认证器

双因素认证

他们中的许多人都有自己的认证应用程序，你可以安装在你的手机上:

Android Duo移动应用程序

iPhone Duo移动应用程序

安卓谷歌认证应用

iPhone谷歌认证应用程序

在安装和配置了上面的插件之后，你通常会在WordPress登录页面上有一个额外的区域来输入你的安全代码。或者，使用Duo plugin，首先使用凭据登录，然后需要选择一种身份验证方法，如Duo Push、Call或Password。

这种方法可以很容易地与更改您的默认登录URL结合起来，我们之前已经讨论过了。因此，您的WordPress登录URL不仅为您所知，而且现在需要额外的身份验证才能进入。

WordPress双因素认证页面

因此，确保使用双因素认证，这可能是增强WordPress安全性的一种简单方法。

7.使用HTTPS-SSL证书的加密连接

加强WordPress安全性的一个最容易被忽视的方法是安装SSL证书并通过HTTPS运行你的网站。HTTPS(安全超文本传输协议)是一种允许您的浏览器或Web应用程序安全连接到网站的机制。一个很大的误区是，如果不接受信用卡，就不需要SSL。

好吧，让我们解释一下为什么HTTPS在电子商务之外很重要的几个原因。很多主机通过Let’s Encrypt提供免费的SSL证书。

加密HTTPS连接

1.安全

当然，HTTPS最大的原因是它增强了安全性。是的，和电商网站密切相关。但是你的登录信息有多重要呢？对于那些运行多作者WordPress网站的人来说，如果你通过HTTP运行它们，每次有人登录时，信息都会以纯文本的形式传递给服务器。HTTPS对于维护网站和浏览器之间的安全连接至关重要。这样，您可以更好地防止黑客和/或中间人访问您的网站。

因此，无论你是否拥有博客、新闻网站、代理机构等。，它们都可以从HTTPS中受益，因为这可以确保不会以纯文本形式传递任何内容。