确保WordPress网站的17个步骤

在Hubspot，我们谈谈了很多高兴的客户。我们认为所有越来越多的企业都应该寻求为客户提供最佳体验。因此，请允许我察觉最重要的形式之一（如果没有这客户服务最重要的形式 - 网络安全。

随着您的业务增长，您需要解决的问题和您的客户对您如何处理这些问题的期望将增加。其中一个问题是让您的客户信息安全。如果您无法从Get-Go提供此基本服务，则表示您不为您的客户解决的信号。

围绕它没有办法：如果您有在线状态，则需要优先考虑安全性。如果WordPress是你的CMS，你确实需要优先考虑安全性，因为黑客发布90,000次攻击对阵WordPress网站每分钟。哎呀。

好消息是，大多数这raybetapp些黑客尝试都很容易预防。在本文中，我们将详细了解使用WordPress的最常见和最危险的安全漏洞。然后，我们将介绍您需要管理安全，安全WordPress网站所需的所有步骤。

为什么你需要WordPress安全

让我们讨论用WordPress优先考虑安全性建立的每个成功网站的3个原因。这些适用于各种规模，声誉和行业的业务。

它保护您的信息和声誉。

如果攻击者达到有关您或您网站访问者的个人信息，则无法结束他们可以根据信息进行的。安全漏洞打开您的公共数据泄漏，身份盗窃，赎金软件，服务器崩溃，并且不幸的是，列表持续下去。毋庸置疑，任何这些事件都远非理想的是，您的业务的增长和声誉，通常是时间，金钱和能源的主要浪费。

你的访客期待它。

您的客户需要相信他们的信息将安全使用和存储，无论是联系信息，付款信息（需要PCI合规性）或对调查的基本响应。这里有一个Catch-22：如果您的安全措施工作，您的客户将永远不需要了解。如果他们看到有关您网站的安全的新闻，机会raybetapp就是坏消息，大多数人都不会回来。

谷歌喜欢安全的网站。

安全网站是可搜索的网站。网站安全性直接影响Google（以及其他搜索引擎）的搜索的可见性，并且有一段时间。安全是最简单的提高搜索排名的方法。您可以阅读其他因素影响谷歌如何在我们的网站上排名的其他因素谷歌排名因素的终极指南。

显然，保护您的在线物业应该是关键问题。每个网站都需要确保他们的访客和用户的安全，我们将通过以下步骤来完成此操作。但首先，你可能会想知道......

WordPress安全吗？

一个合理的问题。一个挑战的回答。

围绕它没有办法：使用WordPress的网站是Cyber​​Attacks的流行目标。一种最近的研究通过网络安全提供者SucuRi报告说，在2019年，每100个CMS动力网站中成功地被黑客入侵，94个使用的WordPress。这比上年增加了4％。

图像源码

知道这一点可能不太令人惊讶所有网站的36％使用WordPress，这是超过4亿个网站。尽管如此，所有CMS针对性攻击的94％仍然很高，即使考虑到WordPress的市场份额也是如此。

但在您删除WordPress帐户之前，您应该知道这些数字并不完全是WordPress'故障。或者，至少不是WordPress产品本身的错误。

WordPress使用世界级的研究人员和工程师的大型安全团队，在其系统中寻找漏洞，并定期向其软件发布安全更新。雷竞技苹果下载官方版就WordPress核心而言，我们被覆盖了。真的，问题在于WordPress如何为其用户提供。

WordPress是开源软件，这意味着源代码可供任雷竞技苹果下载官方版何人修改和分发。由于WordPress是开源的，因此该软件无限制可定制和优化。雷竞技苹果下载官方版有成千上万的插件，主题和开发人员具有修改后端代码本身的技能。这种灵活性是WordPress的一个定义特征，以及使其如此强大和广泛使用的巨大部分。

所有这些自由的缺点是不正确地配置或维护的WordPress网站容易发生无数的安全问题。WordPress为其用户提供了很大的权力，强大的力量（与我说）起来很大的责任。许多人耸了耸肩的责任。黑客相应地了解这一点和目标WordPress网站。

另一件事：询问是否有任何网站真的“安全”是有些问题的问题。事实是，完美的安全根本不存在，特别是在线。作为WordPress状态：

“[S] eCurity ......是风险降低，而不是风险消除。它是关于使用所有适当的控件，在原因，允许您提高您的整体姿势，从而降低使自己成为目标的几率，随后被黑客攻击。“

你不能保证对在线威胁完全免疫力，但是你能够采取措施使它们不太可能发生。您正在阅读的事实意味着您可能关心安全性，并愿意加倍努力让您和您的访客安全。总结一下，WordPress是安全的，但只有其用户认真对待安全性并遵循最佳实践。

WordPress安全问题

那么，如果一个人选择将所有这些数字放在一边并不做任何东西来保护他们的WordPress网站，可能会发生什么？事实证明，很多。WordPress网站上最常见的网络攻击类型是：

Brute-Force登录尝试

这是最简单的攻击之一。当攻击者使用自动化以非常快速地输入许多用户名密码组合时，会发生蛮力登录，最终猜测正确的凭据。Brute-Force Hacking可以访问任何受密码保护的信息，而不仅仅是登录。

跨站点脚本（XSS）

当攻击者“将”恶意代码进入目标网站的后端时，会发生XSS，以提取信息并在网站的功能上提取信息并避难。可以通过更复杂的手段在后端引入此代码，或者仅作为面向用户形式的响应提交。

数据库注射

又称SQL注入，当攻击者通过一些用户输入将一串有害代码提交一串有害代码时，会发生这种情况，如联系人表单。然后，网站将代码存储在其数据库上。与XSS攻击类似，有害代码在网站上运行以获取或危及存储在数据库中的机密信息。

后面

后门是包含代码的文件，攻击者绕过标准Wordpress登录并随时访问您的网站。攻击者倾向于在其他WordPress源文件中放置回室，使其难以找到缺乏经验的用户。即使在删除时，攻击者也可以编写此后门的变体，并继续使用它们来绕过您的登录信息。

拒绝服务（DOS）攻击

这些攻击防止授权用户访问自己的网站。DOS攻击最常通过过载具有流量并导致崩溃的服务器来执行。在分布式拒绝服务攻击（DDOS）的情况下，这些效果恶化，许多机器立即进行的DOS攻击。

网络钓鱼

当攻击者联系一个目标被扮演作为合法公司或服务的目标时，这被称为raybet电子竞技网络钓鱼。网络钓鱼尝试通常会提示目标放弃个人信息，下载恶意软件或访问危险网站。如果攻击者访问WordPress帐户，他们甚至可以在构成您的同时协调客户的网络钓鱼攻击。

图像源码

热门思考

当另一个网站显示在没有权限的情况下托管在网站上托管的嵌入式内容（通常是图像）时，会发生热链接，以便内容出现就像它是他们自己的。虽然更多类似于窃取的攻击攻击，但热链接通常是非法的，并且给予受害者严重问题，因为他们必须在每次在另一个网站上显示每次服务器时收获内容。

对于这些犯罪，黑客需要在网站安全中发现漏洞。黑客在针对WordPress网站时寻找的常见漏洞包括：

• 插件：第三方插件占大多数WordPress安全漏洞。由于插件是由第三方创建的并且可以访问您网站的后端，他们是黑客扰乱您网站功能的公共频道。
• 过时的WordPress版本：WordPress有时将新版本发布到修补安全漏洞的软件。雷竞技苹果下载官方版修复出来时，漏洞成为公共知识，旧版本的WordPress问题通常由黑客定位。
• 登录页面：默认情况下，任何WordPress网站的后端登录页面是网站的主要URL，其中包含“/ wp-admin”或“/wp-login.php”。攻击者可以轻松找到此页面并尝试蛮力输入。
• 主题：是的，即使您的WordPress主题也可以将您的网站打开到Cyber​​Attacks。过时的主题可能与最新的WordPress版本不兼容，允许轻松访问源文件。此外，许多第三方主题不遵循WordPress的代码标准，导致兼容性问题和类似的漏洞。

更深入地了解WordPress安全问题，请参阅我们的文章WordPress安全问题您应该了解。

如何保护您的WordPress网站

现在我们经过了可怕的部分，让我们讨论你可以做些什么来减少WordPress网站上的网络攻击威胁。

网站安全性，并通过扩展WordPress网站安全性，遵循一组最佳实践。其中一些适用于所有网站一般（例如，强密码和双因素身份验证，SSL和防火墙），而其他人则专门用于WordPress网站（例如，使用安全插件和安全WordPress主题）。

为了使您的网站最安全，我们建议您合理地遵守这些最佳实践。

保护您的登录程序。

保护您的网站的最基本的步骤是将您的帐户保留免于恶意登录尝试。这是这样做的：

1. 使用强密码：我们曾经认为将来会有飞行汽车。现在，在2020年，人们仍在使用“123456”作为一个密码。确保WordPress后端上的所有具有帐户的用户都是使用强密码要登录。您可能希望使用我们推荐的一个密码经理生成强密码并为您追踪它们。
2. 启用双因素身份验证：双因素身份验证（2FA）要求用户使用第二设备验证其登录。这是最简单，最有效的工具之一，可以确保登录。
3. 不要制作任何帐户用户名“admin”：机会是，这将是第一个用户名攻击者将在蛮力登录尝试期间插入。如果您已创建具有此名称的用户，则使用其他用户名创建新的管理员帐户，或运行用户名更换器插入。
4. 限制登录尝试：将帽子放在用户在一定程度上进入错误凭证的次数将阻止黑客来自强制登录。一些托管服务和防火墙可能会为您照顾这一点，但您也可以安装一个类似的插件限制登录尝试为了工作。
5. 添加CAPTCHA：您可能在许多其他网站上看到了此安全功能。他们通过验证您确实是一个活生生的人来为您的登录添加额外的安全层。再次，插件是你的朋友。recaptcha by bestwebsoft.是我们推荐的 - 看看我们的在WordPress中启用Google Recaptcha的指南。
6. 启用自动注销：虽然您应记得在完成后注销WP帐户，但如果您忘记，则自动注销阻止陌生人在您的帐户中侦听。要在WordPress帐户上启用自动注销，请尝试非活动注销插入。

使用安全Wordpress托管。

选择托管您网站的服务时，有许多因素考虑，但安全性应该是一个首要任务。考虑已采取措施保护您信息并及时恢复攻击的服务。查看我们推荐的列表WordPress托管提供者。

备份您的网站。

被黑客砍了。丢失所有信息甚至更糟糕。在发生攻击（或任何其他事件）时，请确保您的网站信息由WordPress和主机备份而导致数据丢失。我们建议备份也是自动的。查看我们最好的清单WordPress备份插件可用的。

更新您的WordPress版本。

WordPress软件的过时版本是黑客的一个非常常见的目标。雷竞技苹果下载官方版确保你定期检查并安装WordPress更新尽快消除旧版本中发现的漏洞。

要更新WordPress到最新版本，请先备份站点并检查您的插件与最新版本的WordPress兼容，相应地更新插件。您可以参考我们的指南如何更新WordPress插件。

更新插件后，请按照更新WordPress'网站上的说明。

安装一个或多个安全插件。

我们强烈建议在您的网站上安装一个或多个信誉良好的安全插件。这些插件为您提供了许多与安全相关的手动工作，包括扫描您的网站以进行渗透尝试，更改可能将您网站敏感的源文件更改，并防止内容盗窃相同的热链接。一些声誉良好的插件几乎在此列表中覆盖。

无论您决定安装，与安全相关的插件，与否，确保他们成熟和合法。查看我们推荐WordPress安全插件列表。

使用安全的WordPress主题。

就像你不应该在你的网站上安装粗略插件一样，抵制使用的冲动只是任何看起来都很好的WordPress主题。为防止由WordPress主题引起的漏洞，请选择符合WordPress标准的漏洞。

要检查当前主题是否符合WordPress的要求，请将您的网站URL（或任何WordPress网站或任何主题的URL）复制到W3C的验证器。如果您发现您的主题不符合，请在官员中搜索新主题WordPress主题目录。此目录中的所有主题都与WordPress软件安全兼容。雷竞技苹果下载官方版或者，请参阅Hubspot推荐WordPress主题列表或搜索另一个可信的主题市场。

启用S​​SL / HTTPS。

SSL（安全套接字层）是加密您网站和访问者的Web浏览器之间连接的技术，确保您的网站和访问者计算机之间的流量免受不受欢迎的拦截。

您的WordPress站点需要启用SSL。它不仅可以提升SEO，而且它也可以直接播放您网站的访问者的第一印象。谷歌Chrome甚至会警告用户，如果您访问的网站不遵循SSL协议，可直接减少网站流量。

要查看您的WordPress网站是否遵循SSL协议，请访问WordPress网站的主页。如果主页URL以“https：//”开头（“s”代表“secure”），则使用SSL为您的连接安全。如果URL以“http：//”开头，则需要获取您网站的SSL证书。

安装防火墙。

防火墙位于托管WordPress站点和所有其他网络的网络之间，并自动防止未经授权的流量从外部输入网络或系统。防火墙通过消除网络与其他网络之间的直接连接，将恶意活动忽略了您的网站。

我们建议安装一个Web应用程序防火墙（WAF）插件保护WordPress网站。与此列表中的其他所有内容一样，仔细刻意哪种类型的防火墙以及在您选择之前为您的需求提供最适合您的需求。

永远不要信任用户输入。

如果您的网站的任何部分接受访问者的回复，请在博客文章中作为付款表格，联系表或甚至是评论部分，这是XSS或数据库注入攻击的机会。攻击者可以将恶意代码进入任何这些文本字段并扰乱您的网站后端。

为避免此问题，请确保在您的站点处理并存储在数据库中的用户输入之前从用户输入中过滤出特殊字符。或者，您可以使用aWordPress表单插件完成工作。

限制WordPress用户权限。

如果您的WordPress站点有多个用户帐户，我们建议更改每个用户的角色，以限制他们对所需内容的访问。Wordpress有六个角色为每个用户选择。通过限制具有管理员权限的用户数量，您将攻击者Brute强制转向管理员帐户的可能性，并限制攻击者正确猜测用户凭据的损坏。查看我们的指南如何更改WordPress用户权限。

使用WordPress监控。

为您的网站提供监控系统将提醒您网站上发生的任何可疑活动。理想情况下，您的其他措施将阻止此类活动，但最好更快地找到而不是稍后。

日志用户活动。

这是在发生之前提前出现问题的另一种方法：创建用户在网站上进行所有活动的日志，并定期检查此日志以获取可疑活动。这样，如果另一个用户是可疑的（例如，尝试更改密码，改变主题或插件文件，安装或停用插件而无权更改主题或插件文件）。日志也很有用的是在一个黑客之后清理，向你展示出了什么问题和何时。

这并不是说所有密码更改或文件修改始终是您团队中的黑客迹象。但是，如果您正在采用许多外部贡献者并给予他们访问权限，请留意事物总是一个好主意。

许多WordPress插件创建活动日志，并且有几个用于WordPress的专用记录插件WP活动日志或者自由活动日志插入。

更改默认WordPress登录URL。

正如我所提到的那样，任何WordPress站点的WordPress登录页面的默认URL很容易找到。插件喜欢WPS隐藏登录更改此登录页面URL。

进行常规WordPress安全扫描。

跑步是个好主意常规检查在您的网站上。每月至少瞄准一次。有多个插件可以为您扫描您的网站。这里有我们推荐七个WordPress扫描仪插件。

禁用WordPress仪表板中的文件编辑。

默认情况下，WordPress允许管理员使用代码编辑器直接编辑其文件的代码。这为攻击者提供了一种简单的方法，可以在访问您的帐户访问时更改您的文件。如果插件尚未禁用此功能，则可以执行一些光编码以禁用它。将下面的代码添加到文件的末尾wp-config.php.：

//禁止文件编辑
定义（'disallow_file_edit'，true）;

更改数据库文件前缀。

构成WordPress数据库的文件的名称默认以“WP_”开头。黑客利用此设置按名称找到数据库文件并进行SQL注入。

一个简单的修复？将前缀更改为不同的东西，如“wpdb_”或“wptable_”。安装WordPress CMS时可以设置此项。如果您的网站已在此设置使用此设置，则可以重命名这些文件。在这种情况下，我们强烈建议使用插件来处理此过程，因为您的数据库存储所有内容和错误配置将打破您的网站。寻找能够更改首选安全插件的功能之间的表前缀。

禁用您的XMLRPC.php文件。

XML-RPC是一种通信协议，使得WordPress CMS能够与外部Web和移动应用程序进行交互。自加入WordPress以来休息API.，XML-RPC的使用远低于曾经的频率。但是，它仍然被一些人在WordPress网站上发射强大的攻击。

这是因为XML-RPC技术让攻击者提交包含数百个命令的请求，使得更容易提交蛮力登录攻击。XML-RPC也不太安全，因为它的请求包含可以利用的身份验证凭据。

如果您不使用XML-RPC，则可以禁用xmlrpc.php.文件。首先，检查您的网站是否正在使用该文件。将您的URL插入此内容XML-RPC验证器检查您的网站是否正在使用协议。如果没有，则禁用此文件的最简单方法是使用插件禁用XML-RPC-API。您的WordPress安全插件也可以为您执行此操作。

考虑删除默认WordPress管理帐户。

我们已经讨论了更改默认WordPress管理员帐户的“管理员”用户名，但如果您想进一步获取措施，完全删除此默认帐户，并使具有相同管理员权限的新帐户。

如果你被砍了，该怎么办

因此，您已经实施了上面的一些或全部措施，现在您希望额外准备，以防出现问题。或者，有些东西出了问题。无论哪种方式，这是怎么做的：

保持冷静。

在这些情况下恐慌是自然的。请记住，任何人都可以发生安全漏洞。有必要保持清晰的头，以便您可以找到违规的来源并开始解决它。

打开您网站上的维护模式。

限制对您的网站的访问让游客远离您的身边，并安全地免受攻击。当你有信心的情况下，才能打开您的网站。

开始创建事件报告。

记录所有相关详细信息，可以帮助解决问题。这些包括但不限于：

• 当你发现这个问题时。
• 导致你相信你受到攻击的原因。
• 您当前的主题，活动插件，托管提供商和网络提供商。
• 您在事件前对WordPress站点进行的最近更改。
• 查找和修复问题时，您的行为的日志。

随着更多细节可用，更新本文档。

重置访问和权限。

更改所有帐户密码在您的WordPress网站上，以防止任何进一步的网站更改。下一个，强制注销任何用户仍然登录。

所有帐户持有人还应强烈考虑更新他们的工作和个人设备以及个人账户的密码，因为您无法确定攻击者能够超越您的WordPress网站。

诊断问题。

使用安全插件搜索问题，或者，根据攻击的比例，聘请专业人员来诊断问题并修复您的网站。无论您选择哪种方法，在您的网站和本地文件上运行安全扫描，以清除任何剩余的有害文件或攻击者可能留下的代码，并还原任何丢失的文件。

查看相关的网站和频道。

如果您对网站链接的任何其他在线平台有帐户，例如社交媒体帐户或其他WordPress网站，请检查这些平台是否受到影响。更改这些频道的密码。

重新安装备份，主题和插件。

重新安装主题和插件（双重检查它们是安全的）。如果您有备份，请在事件之前恢复最新的备份。

再次更改您的网站密码。

是的，您之前确实重置了所有WordPress密码，但在修复问题时，这些凭据可能会受到损害。你永远不能太小心。

提醒您的客户和利益相关者。

在您的网站上并再次运行后，强烈考虑向您的客户带来提醒他们攻击，特别是如果访问并泄露了个人信息。这是正确的事情，并为客户提供负面反应。

检查您的网站不是由Google列入黑名单。

如果您的网站被谷歌作为攻击的封印，谷歌将不会那么巧妙的警告用户进入您的网站：

图像源码

虽然黑名单是让用户远离有害网站的必要条件，但它也将吓到您的合法遗址的大多数流量。Sucuri有A.免费工具扫描您的网站以获取Google黑名单状态。

遵循上面的最佳实践。

采取一切可能的预防措施来限制另一项攻击的可能性会给你一个安心。让我们希望像这样的事情再次发生。但如果它这样做，你就会更好的形状。

不要让安全成为理所当然。

我知道我可能已经在这篇文章中取消了一些传教士。我深表歉意，但我保证这是充分原因。如果你不相信我，请从前IBM CEO Ginni Rometty接受它：

“网络犯罪是对世界各公司的最大威胁。”raybet电子竞技

它将继续成为。网络犯罪分子正在不断发展新的方法来利用公司的在线在线对策，安全工程师始终开发新方法来阻止它们。这是互联网上的不断变化的安全循环，我们都陷入了中间。始终保持客户的安全，所以他们更少担心。

要了解有关Hubspot在做什么来保护其用户的更多信息，点击这里。

Note: Any legal information in this content is not the same as legal advice, where an attorney applies the law to your specific circumstances, so we insist that you consult an attorney if you’d like advice on your interpretation of this information or its accuracy. In a nutshell, you may not rely on this as legal advice or as a recommendation of any particular legal understanding.

编者注：这篇文章最初发表于2020年5月，并已更新全面。