如何提高 WordPress 安全性

WordPress 中的安全性是必须的。您的 WordPress 网站可能会被黑客入侵或出现一些安全问题。WordPress 网站是黑客最喜欢的攻击目标。

没有人可以使一个网站绝对安全。这件事情是不切实际或不可能实现的。但人们至少可以通过应用不同的安全措施来降低风险。通过这篇文章，您将能够相对安全地保护您的网站。

为了保护您的网站和您的浏览者的数据，可以采取以下措施。这些步骤不会消除安全风险，但肯定会最大限度地降低风险。

• 选择主机
• 强密码
• 不要使用 admin 作为用户名
• 两步登录身份验证
• 限制登录尝试次数
• 禁用登录提示
• 更改登录页面 URL
• 可信主题和插件
• 使用 SSL
• 使用 WordPress 安全密钥
• 使用安全 FTP
• 保持 wp 更新
• 保持清洁
• 禁用追踪

选择主机

为您的网站选择一个信誉良好且可靠的主机。不要选择便宜的。您的托管公司极大地影响了您的网站安全性。

有许多主机提供商使用过时的软件。即使过去没有问题，过时的软件也不能保证未来的安全。

选择主机时，请注意以下功能。

• 攻击监控和预防
• 更新他们的软件
• 应该能够隔离被黑客入侵的网站，以防止共享服务器上的其他网站受到影响。

选择强密码

为了您的安全，请选择一个复杂的密码。在选择密码时，只需遵循三件事（复杂、长且唯一）。版本 2.5 及以上版本具有密码强度指示器，可帮助您识别密码是否足够强大。

请记住以下几点

• 使用一个全新的和唯一的密码。
• 使用大小写字母、符号和数字的组合。
• 避免使用您的常用信息，例如手机号码、周年纪念日或生日。
• 保持至少 10 个字符的长度。
• 尝试使用一个没有任何意义或没有意义的密码。
• 经常更改您的密码。

不要使用 admin 作为用户名

WordPress 默认使用 admin 作为用户名。作为默认值，它是最常见的用户名，因此很容易被破解。

当人们开始使用 WordPress 时，尤其是第一次使用时，他们会坚持使用 admin 作为用户名。更改用户名将使黑客更难破解它。

要更改用户名

• 通过单击 用户 > 新用户 创建一个具有管理权限的新用户。
• 删除以前的 admin 用户。
• 删除时，WordPress 将询问您“如何处理该用户的内容”，并且您将可以选择删除所有内容或将其分配给新用户。

两步登录身份验证

两步登录身份验证（也称为 2FA）为您的登录页面增加了更多安全性。它需要一个身份验证代码，该代码只能通过移动消息接收才能登录您的帐户。

有一些 2FA 可用的插件。

限制登录尝试次数

通常，登录页面会受到黑客的攻击。他们可能会多次攻击正确的用户名和密码。尽管他们的尝试可能不成功，但他们所做的尝试次数会消耗大量的服务器内存。因此，您的网站可能会变慢。在共享服务器上，这会影响您的网站以及邻近的网站。

此问题的一个解决方案是限制登录尝试次数。为此，有一些插件可用，例如 Jetpack。

禁用登录提示

每当您输入错误的密码或用户名时，您都会收到一个提示，说明您的用户名或密码不正确。

这对黑客来说是非常有用的信息。这就是为什么应该为 WordPress 网站禁用登录提示的原因。

更改登录页面 URL

黑客通常会攻击登录页面。如果您将登录页面从黑客那里隐藏起来，它将大大提高您网站的安全性。

这可以通过使用 WPS hide login 插件更改登录页面 URL 来完成。 还有一些其他插件可用于此目的。它们只是拦截页面请求，并使 wp-admin 目录和 wp-login.php 页面不可访问。 您必须记住在激活插件期间设置的新登录页面。

可信主题和插件

当插件和主题未维护或更新时，它们总是受到怀疑。 在下载插件或主题之前，请检查其评论和评论，作者是否响应以及它是免费还是付费。

在下载插件或主题之前，请备份您的网站和主题。

使用 SSL

SSL 代表安全套接字层。 它将 http 变为 https。 它在包含敏感信息的页面上很重要。 这是一个额外的保护层。/p>

它将您的网站信息混淆成不可读的格式，因此当此信息从您的服务器传输到浏览器时，它处于不可读的格式并且没有任何意义。 在浏览器端，使用私钥，这使得数据再次可读。

WordPress 安全密钥

WordPress 使用 cookie 来验证其用户。 这些 cookie 包含登录信息和身份验证详细信息。 密码使用公共和私钥进行散列处理。

可以使用 WP 安全密钥在此 cookie 周围添加一个额外的层。 这些是一组随机变量，可提高存储在 cookie 中的信息的安全性。

如果有人重建身份验证密钥，则未加密的密码很容易被破解。 但是使用 WP 安全密钥进行加密使其变得非常困难。

如何添加 WP 安全密钥

• 打开 wp-config.php 文件。
• 转到“身份验证唯一密钥和盐”行
• 使用在线自动密钥生成器工具。
• 从在线工具密钥替换 wp-config.php 文件中的现有密钥集并保存。

您可以以固定的时间间隔重复此过程。 每当您更改安全密钥时，用户将从其帐户中注销。

使用安全 FTP (SFTP)

当您对网站进行某些更改或更新信息时，文件传输协议用于将信息从您的网站传输到您的主机。

FTP 连接增加了拦截数据的机会，而 SFTP 极大地减少了它。

保持 wp 更新

您网站的最佳安全性是定期更新它。 将所有文件更新到最新版本会增加 WordPress 网站的安全性。

从版本 3.7 开始，WordPress 会自动更新。 但是您的文件、主题和插件需要通过您的仪表板或 FTP 进行更新。

保持清洁

始终从您的网站中删除未使用的主题和插件，因为它们可能会带来一些安全问题，因为它们已经很长时间没有更新了。 始终保持您的网站清洁。

禁用追踪

追踪通知您的网站内容已与其他网页链接。 通过追踪，黑客可以攻击您的网站。

因此，对于新的 WordPress 网站，请通过单击 设置 > 讨论 来禁用此功能。 取消选中“允许来自其他博客的链接通知”选项。