保护你的WordPress站点的17个步骤

在HubSpot，我们经常谈论取悦客户．我们相信，所有成长中的企业都应该努力为客户提供最好的体验。所以，请允许我强调最重要的形式之一(如果不是的话)的最重要的形式)客户服务-网络安全。

随着你的业务增长，你需要解决的问题的数量和你的客户对你如何解决这些问题的期望也会增加。其中一个问题是如何确保客户信息的安全。如果你不能从一开始就提供这种基本的服务，那就意味着你不能为你的客户解决问题。

没有办法:如果你在网上，你需要优先考虑安全问题。如果WordPress是你的CMS，你肯定需要优先考虑安全问题，因为黑客发动了90000年的袭击针对WordPress网站的攻击呵。

好消息是，大多数黑raybetapp客攻击都是很容易预防的。在本文中，我们将详细介绍使用WordPress时最常见和最危险的安全漏洞。然后，我们将介绍管理一个安全的WordPress网站所需的所有步骤。

为什么需要WordPress安全

让我们讨论一下为什么每个成功的WordPress网站都优先考虑安全性的3个原因。这些规定适用于各种规模、声誉和行业的企业。

它保护你的信息和声誉。

如果攻击者获得了你或你的网站访问者的个人信息，他们可以对这些信息做无止境的事情。安全漏洞会让你面临公开数据泄露、身份盗窃、勒索软件、服务器崩溃等问题，不幸的是，这些问题还在继续。不用说，这些活动对你公司的发展和声誉都不理想，而且通常都是浪费时间、金钱和精力。

你的访问者期待它。

您的客户需要相信，他们的信息将被安全使用和存储，无论是联系信息，支付信息(这需要PCI遵从性)，或对调查的基本答复。这里有一个两难的问题:如果你的安全措施有效，你的客户永远都不需要知道。如果他们看到关于网站安全性的新闻，很可能raybetapp是坏消息，大多数人不会再回来。

谷歌喜欢安全的网站。

一个安全的网站是一个可搜索的网站。网站安全直接影响谷歌(和其他搜索引擎)搜索的可见性，并且已经有一段时间了。安全是最简单的提高搜索排名的方法．你可以阅读其他因素如何影响谷歌排名你的网站在我们谷歌排名因素的最终指南．

显然，保护你的在线财产应该是一个关键问题。每个网站都需要确保访问者和用户的安全，我们将会详细介绍这些步骤。但首先，你可能会想……

WordPress安全吗?

这是一个合理的问题。这是一个很难回答的问题。

没有办法:使用WordPress的网站是网络攻击的热门目标。一个最近的研究据网络安全供应商Sucuri的报告称，2019年，每100个由cms支持的网站被成功入侵，就有94个使用了WordPress。这比前一年增加了4%。

图片来源

知道这一点可能就不那么令人惊讶了36%的网站使用拥有超过4亿网站的WordPress。不过，即便把WordPress的市场份额考虑在内，94%的cms攻击仍然相当高。

但是在你硬删除你的WordPress帐户之前，你应该知道这些数字并不完全是WordPress的错。或者，至少不是WordPress产品本身的错。

WordPress雇佣了一个由世界级的研究人员和工程师组成的大型安全团队来寻找系统中的漏洞，并定期发布软件的安全更新。雷竞技苹果下载官方版至于WordPress核心，我们已经覆盖了。实际上，问题在于如何让用户使用WordPress。

WordPress是开源软件，这意味着任何人都可以雷竞技苹果下载官方版修改和发布它的源代码。因为WordPress是开源的，所以这个软件可以无限地定制和优化。雷竞技苹果下载官方版有成千上万的插件、主题和开发人员可以自己修改后端代码。这种灵活性是WordPress的标志性特性，也是它如此强大和被广泛使用的很大一部分原因。

这种自由的缺点是，配置或维护不当的WordPress网站很容易产生大量的安全问题。WordPress给它的用户提供了很多功能，功能越大，责任越大。许多人对此不屑一顾。黑客们知道这一点，因此把目标对准了WordPress网站。

另一件事:问任何网站是否真的“安全”是一个有争议的问题。事实是，完美的安全根本不存在，尤其是在网上。在WordPress州：

“[S]安全感…是降低风险，而不是消除风险。这是在合理的范围内，运用你所有适当的控制手段，让你改善整体姿势，降低自己成为攻击目标、随后被黑客攻击的几率。”

你永远无法保证对网络威胁完全免疫，但你可以采取措施，让它们更不可能发生。事实上，你正在阅读这篇文章，这意味着你可能关心安全，愿意付出额外的努力来保证你和你的访客的安全。总而言之，WordPress是安全的，但前提是它的用户认真对待安全并遵循最佳实践。

WordPress的安全问题

那么，如果一个人选择把所有这些数字放在一边，而不采取任何措施来保护他们的WordPress网站，会发生什么呢?事实证明，有很多。针对WordPress网站最常见的网络攻击类型有:

试图强行登陆的用户

这是最简单的攻击类型之一。当攻击者使用自动化快速输入许多用户名-密码组合，并最终猜测正确的凭证时，就会发生暴力登录。暴力破解可以获取任何有密码保护的信息，而不仅仅是登录信息。

跨站点脚本(XSS)

XSS发生时，攻击者“注入”恶意代码到目标网站的后端，以提取信息，并对网站的功能造成严重破坏。可以通过更复杂的方式将此代码引入后端，或者简单地以面向用户的表单作为响应提交。

数据库注射

也称为SQL注入，当攻击者通过一些用户输入(如联系人表单)向网站提交一串有害代码时，就会发生这种情况。然后该网站将代码存储在其数据库中。类似于跨站攻击，有害代码在网站上运行，获取或破坏存储在数据库中的机密信息。

后门

后门是一个包含代码的文件，可以让攻击者绕过标准的WordPress登录，随时访问你的网站。攻击者倾向于在其他WordPress源文件中放置后门，使得没有经验的用户很难找到它们。即使被删除，攻击者也可以编写这个后门的变体，并继续使用它们来绕过你的登录。

拒绝服务(DoS)攻击

这些攻击阻止授权用户访问他们自己的网站。DoS攻击最常见的方式是使服务器过载并导致崩溃。在分布式拒绝服务攻击(DDoS)的情况下，这种影响会进一步恶化。DDoS是一种由多台计算机同时进行的DoS攻击。

网络钓鱼

当攻击者联系一个伪装成合法公司或服务的目标时，这被称为raybet电子竞技网络钓鱼．网络钓鱼通常会提示目标放弃个人信息、下载恶意软件或访问危险网站。如果攻击者访问您的WordPress帐户，他们甚至可以冒充您对您的客户进行网络钓鱼攻击。

图片来源

盗链

盗链发生时，另一个网站显示嵌入内容(通常是图像)，托管在你的网站未经许可，所以内容看起来像它自己的。虽然盗链更类似于偷窃而不是全面攻击，但它通常是非法的，并给受害者带来严重的问题，因为当内容在另一个网站上显示时，他们必须每次从服务器检索内容时支付费用。

为了让这些犯罪行为发生，黑客需要发现网站安全漏洞。黑客攻击WordPress网站时常见的漏洞包括:

• 插件:第三方插件是造成WordPress安全漏洞的主要原因。由于插件是由第三方创建的，并且可以访问你网站的后端，它们是黑客破坏你网站功能的常见渠道。
• 过时的WordPress版本:WordPress有时会发布新版本的软件来修补安全漏洞。雷竞技苹果下载官方版当修复程序出现时，这些漏洞就会成为公众所知，旧版本的WordPress的问题经常成为黑客的攻击目标。
• 登录页面:默认情况下，任何WordPress网站的后端登录页面都是网站的主URL，后面加上" /wp-admin "或" /wp-login.php "。攻击者可以很容易地找到这个页面并尝试使用蛮力进入。
• 主题:是的，甚至你的WordPress主题也会让你的网站受到网络攻击。过时的主题可能与最新版本的WordPress不兼容，这使得您可以轻松访问源文件。此外，许多第三方主题不遵循WordPress的代码标准，导致兼容性问题和类似的漏洞。

要更深入地了解WordPress安全问题，请参阅我们的文章你应该知道WordPress安全问题．

如何保护你的Wordpress站点

现在我们已经度过了可怕的部分，让我们讨论一下如何减少对您的WordPress网站的网络攻击威胁。

网站安全，以及WordPress网站安全，归结起来就是遵循一套最佳实践。其中一些适用于所有网站(例如强密码、双因素认证、SSL和防火墙)，而另一些则专门适用于WordPress网站(例如使用安全插件和安全WordPress主题)。

为了保持站点的安全性，我们建议您尽可能多地遵守这些最佳实践。

确保您的登录程序安全。

确保你的网站安全的最基本步骤是保护你的帐户不受恶意登录尝试的影响。这这样做:

1. 使用强密码:我们曾经认为未来会有飞行汽车。现在,2020年,人们仍然把" 123456 "作为密码．确保所有拥有WordPress后台账号的用户都是使用强密码进行登录。你可能想用我们推荐的密码管理为您生成强大的密码并跟踪它们。
2. 启用双因素身份验证:双因素身份验证(2FA)要求用户用另一台设备验证他们的登录。这是一种最简单，但最有效的工具，以确保您的登录安全。
3. 不要使用任何用户名“admin”:很有可能，这将是第一个用户名攻击者将插入在暴力登录尝试。如果您已经使用此名称创建了一个用户，请使用不同的用户名创建一个新的管理员帐户，或者运行用户名改变插件。
4. 限制登录尝试:对用户在一定时间内输入错误凭证的次数设置上限，可以防止黑客强行登录。一些托管服务和防火墙可能会帮你解决这个问题，但你也可以安装一个插件限制登录尝试的工作。
5. 添加一个验证码:你可能在其他网站上看到过这个安全功能。它们通过验证你确实是一个活着的人，为你的登录增加了额外的安全层。同样，插件是你的朋友。reCaptcha, BestWebSoft是我们推荐的吗，看我们的如何在WordPress中启用谷歌reCaptcha．
6. 启用自动退出:当你应该记得退出你的WP帐户时，自动注销防止陌生人窥探你的帐户，如果你忘记了。要启用您的WordPress帐户的自动注销，请尝试不活跃的注销插件。

使用安全的WordPress托管。

在选择托管网站的服务时，有许多因素要考虑，但安全应该是最优先的。考虑已经采取措施保护您的信息并在攻击发生时迅速恢复的服务。查看我们的推荐列表WordPress托管提供商．

备份你的网站。

被黑客攻击是件坏事。丢失所有信息就更糟了。确保你的网站信息由WordPress和你的主机备份，以防攻击(或任何其他事件)导致数据丢失。我们也推荐自动备份。看看我们的最佳名单WordPress插件备份可用。

更新你的WordPress版本。

过时版本的WordPress软件是黑客的一个非常常见的目标。雷竞技苹果下载官方版确保你定期检查和安装WordPress更新尽快消除旧版本中发现的漏洞。

要将WordPress更新到最新版本，首先备份您的站点，并检查您的插件是否与最新版本的WordPress兼容，相应地更新插件。你可以参考我们的指南如何更新你的WordPress插件．

在更新你的插件之后，遵循更新WordPress网站上的说明．

安装一个或多个安全插件。

我们强烈建议在您的网站上安装一个或多个信誉良好的安全插件。这些插件为您做了很多与安全相关的手工工作，包括扫描您的网站的渗透企图，改变可能使您的网站易受影响的源文件，并防止内容盗窃，如盗链。一些著名的插件几乎涵盖了这个列表中的所有内容。

无论你决定安装哪个插件，无论是否与安全相关，都要确保它们是良好的和合法的。请参阅我们推荐的WordPress安全插件列表．

使用安全的WordPress主题。

就像你不应该在你的网站上安装一个粗略的插件一样，抵制使用任何看起来不错的WordPress主题的冲动。为了防止Wordpress主题带来的漏洞，请选择符合Wordpress标准的主题。

要检查你当前的主题是否符合WordPress的要求，复制你的网站URL(或任何WordPress站点或任何主题的现场演示的URL)到W3C的验证器．如果你发现你的主题不兼容，搜索一个新的主题在官方WordPress主题目录．这个目录中的所有主题都与WordPress软件安全兼容。雷竞技苹果下载官方版另外,看到公司HubSpot的推荐的WordPress主题列表，或搜索另一个可信的主题市场。

启用SSL / HTTPS。

SSL(安全套接字层)是一种加密你的网站和访客的网络浏览器之间的连接的技术，确保你的网站和访客的计算机之间的流量是安全的，不受不受欢迎的拦截。

你的WordPress站点需要启用SSL。这不仅能提高搜索引擎优化，还能直接影响访问者对网站的第一印象。谷歌Chrome甚至会警告用户，如果他们正在访问的网站没有遵循SSL协议，这直接减少了网站流量。

要查看你的WordPress站点是否遵循SSL协议，请访问你的WordPress站点的主页。如果主页URL以“https://”开头(“s”代表“安全”)，则您的连接是使用SSL安全的。如果URL以“http://”开头，则需要为您的网站获取SSL证书．

安装一个防火墙。

防火墙位于托管你的WordPress站点的网络和所有其他网络之间，并自动阻止未经授权的流量从外部进入你的网络或系统。防火墙通过消除您的网络和其他网络之间的直接连接来防止恶意活动进入您的网站。

我们建议安装Web应用防火墙(WAF)插件来保护你的WordPress站点。与此列表中的其他内容一样，在做出选择之前，请仔细考虑哪种类型的防火墙和哪种插件最适合您的需要。

永远不要相信用户输入。

如果网站的任何部分接受了访问者的响应，无论是付款表单、联系表单，还是博客文章的评论部分，这都是XSS或数据库注入攻击的机会。攻击者可以在这些文本域中输入恶意代码，破坏网站的后端。

为了避免这个问题，请确保在站点处理用户输入并将其存储到数据库之前过滤掉用户输入中的特殊字符。或者，你可以用aWordPress插件形式完成工作。

限制WordPress用户权限。

如果你的WordPress站点有多个用户帐户，我们建议更改每个用户的角色，以限制他们只访问他们需要的内容。WordPress还六个角色为每个用户选择。通过限制具有管理员权限的用户数量，可以减少攻击者强行进入管理帐户的机会，并限制如果攻击者正确地猜出用户的凭证所造成的损害。请参阅我们的指南如何更改WordPress用户权限．

使用WordPress监视。

在你的网站上安装一个监控系统可以提醒你网站上发生的任何可疑活动。理想情况下，您的其他措施可以防止这种活动，但最好尽早发现。

记录用户活动。

还有一种方法可以在问题发生之前就解决它:创建用户在你网站上的所有活动的日志，并定期检查日志中可疑的活动。这样，你就可以看到其他用户是否有可疑行为(例如，试图更改密码，更改主题或插件文件，在没有许可的情况下安装或停用插件)。日志对于黑客攻击后的清理也很有用，可以显示什么地方出了问题以及什么时候出了问题。

这并不是说所有的密码更改或文件修改都是你的团队中有黑客的迹象。但是，如果您雇用了许多外部贡献者并给予他们访问权限，那么始终关注事情总是一个好主意。

许多WordPress插件创建活动日志，还有一些WordPress专用的日志插件WP活动日志或者是免费的活动日志插件。

修改默认的WordPress登录URL。

正如我所提到的，任何WordPress站点的WordPress登录页面的默认URL都很容易找到。插件等WPS隐藏登录为您更改登录页面URL。

定期进行WordPress安全扫描。

跑步是个好主意常规检查在你的网站上。目标是至少一个月一次。有多个插件可以为你扫描你的网站。这是我们推荐的七个WordPress扫描器插件．

在WordPress仪表板中禁用文件编辑。

默认情况下，WordPress允许管理员直接使用代码编辑器编辑文件的代码。这给了攻击者一个简单的方法来改变您的文件，如果他们获得访问您的帐户。如果一个插件还没有禁用这个特性，你可以自己做一些简单的编码来禁用它。将下面的代码添加到文件的末尾wp-config.php：

//禁止文件编辑
定义('DISALLOW_FILE_EDIT'， true);

更改数据库文件前缀。

默认情况下，组成你的WordPress数据库的文件名称以“wp_”开头。黑客利用此设置按名称定位数据库文件并执行SQL注入。

一个简单的修复吗?将前缀更改为不同的东西，比如“wpdb_”或“wptable_”。可以在安装WordPress CMS时设置这个。如果您的站点已经使用了这个设置，那么您可以重命名这些文件。在这种情况下，我们强烈建议使用插件来处理这个过程，因为你的数据库存储了所有的内容，一个错误的配置会破坏你的网站。在您首选的安全插件的特性中寻找更改表前缀的能力。

禁用xmlrpc.php文件。

XML-RPC是一种通信协议，使WordPress CMS能够与外部web和移动应用程序交互。自从WordPress成立以来REST API在美国，XML-RPC的使用频率比以前要低得多。然而，它仍然被一些人用来对WordPress站点发起强大的攻击。

这是因为XML-RPC技术允许攻击者提交包含数百条命令的请求，从而更容易进行暴力登录攻击。XML-RPC的安全性也不如REST，因为它的请求包含可以利用的身份验证凭证。

如果不使用XML-RPC，可以禁用xmlrpc.php文件。首先，检查您的网站是否正在使用该文件。将您的URL插入其中xml - rpc验证器检查您的站点当前是否正在使用该协议。如果没有，禁用该文件的最简单的方法是使用插件禁用XML-RPC-API．你的WordPress安全插件也可以帮你做到这一点。

考虑删除默认的WordPress admin帐户。

我们已经讨论过更改默认的WordPress admin帐户的“admin”用户名，但是如果你想要更进一步，完全删除这个默认帐户，并创建一个具有相同管理员权限的新帐户。

如果你被黑了该怎么办

因此，您已经实现了上面的一些或所有措施，现在您希望为万一出现问题做好额外的准备。或者，出了什么问题。不管怎样，下面是我们应该做的:

保持冷静。

在这种情况下恐慌是很自然的。记住，安全漏洞可能发生在任何人身上。保持清醒头脑是很有必要的这样你就能找到缺口的源头并开始解决它。

打开网站的维护模式。

限制对网站的访问可以使访问者远离你的网站，从而免受攻击。只有当你确信情况已得到控制时，才打开你的网站。

开始创建事件报告。

记录所有有助于解决问题的相关细节。这些包括但不限于:

• 当你发现问题的时候。
• 是什么让你相信你被袭击了。
• 您当前的主题、活动插件、托管提供商和网络提供商。
• 事件发生前你对你的WordPress网站做的任何更改。
• 发现和修复问题时的操作日志。

在获得更多细节后更新此文档。

重置访问和权限。

修改所有帐户密码以防止任何进一步的网站更改。接下来,force-logout任何用户仍然登录。

所有帐户持有人也应该强烈考虑更新他们的工作和个人设备的密码，以及个人帐户，因为你不能确定攻击者能够访问除了你的WordPress网站之外的什么。

诊断问题。

要么自己用安全插件搜索问题，要么根据攻击的规模聘请专业人士诊断问题并修复网站。不管您选择什么方法，对您的站点和本地文件运行安全扫描，以清除任何剩余的有害文件或攻击者可能留下的代码，并恢复任何丢失的文件。

回顾相关网站和渠道。

如果你的网站上有其他在线平台的账户，比如社交媒体账户或其他WordPress网站，检查这些平台是否受到影响。同时更改这些频道的密码。

重新安装备份、主题和插件。

重新安装主题和插件(再次检查它们是否安全)。如果您有备份，请恢复事件发生前的最新备份。

再次更改您的网站密码。

是的，你之前确实重置了所有的WordPress密码，但是这些凭证可能在你修复问题的时候被泄露了。你越小心越好。

提醒你的客户和利益相关者。

在您的站点重新启动并运行之后，请慎重考虑接触你的客户提醒他们攻击，特别是当个人信息被访问和泄露时。这是正确的做法，并准备好应对来自客户的负面反应。

检查你的网站没有被谷歌列入黑名单。

如果您的网站被谷歌列入黑名单，谷歌将不那么巧妙地警告用户进入您的网站:

图片来源

虽然黑名单是必要的，让用户远离有害网站，但它也会吓跑大多数流量从你的合法网站。Sucuri有免费工具扫描您的网站谷歌黑名单状态。

遵循上面的最佳实践。

采取一切可能的预防措施来限制另一次袭击的可能性会让你安心一些。希望这样的事不会再发生。但如果真的发生了，你的身体状况会好得多。

不要认为安全是理所当然的。

我知道我在这篇文章中可能显得有点说教。我很抱歉，但我保证这是有原因的。如果你不相信我，不妨听听IBM前首席执行官罗睿兰的话:

“网络犯罪是世界上所有公司面临的最大威胁。”raybet电子竞技

这将继续下去。网络罪犯不断发展新方法，利用公司在网上的存在来对付他们，而安全工程师也一直在开发新的方法来阻止他们。这是互联网安全不断变化的循环，我们都被夹在中间。永远把客户的安全放在心上，这样他们就少了一件担心的事。

为了进一步了解HubSpot在保护用户方面做了什么，点击在这里．

注:本内容中的任何法律信息都与法律咨询不同，法律咨询是律师根据您的具体情况适用法律，因此我们坚持，如果您对该信息的解释或其准确性有意见，请咨询律师。简而言之，你不能将此作为法律建议或任何特定法律理解的建议。

编者按:本文最初发表于2020年5月，为全面起见已进行更新。