如何保护 WordPress 网站

已发表: 2024-02-14

您是否知道,由于网络攻击的频率和复杂性不断增加,保护 WordPress 网站的安全现在比以往任何时候都更加重要? 这是任何在线企业都无法忽视的残酷现实。

事实上,根据 Colorlib 的报告,2023 年每天都有超过 13,000 个 WordPress 网站遭到黑客攻击。

这是一个惊人的数字,这意味着您在保护在线形象时需要格外警惕。

但无需惊慌。

在这篇文章中,我们将讨论您可以采取的步骤来确保您的网站安全并免受网络威胁,以便您可以无忧无虑地专注于发展您的业务。

因此,如果您准备好将网站安全提升到一个新的水平,那就让我们开始吧!

目录

  1. 为什么要保护 WordPress 网站?
  2. 保护 WordPress 网站安全的方法
    • 基本的必要安全措施
    • 保护您的 WordPress 网站
    • 先进的安全措施
    • 额外的安全措施
  3. 结论

1为什么要保护 WordPress 网站?

您的网站是您的在线主页,而 WordPress 是其背后的平台。 然而,就像一个实际的家一样,您的 WordPress 网站需要坚固的墙壁来抵御潜在的威胁。

这就是为什么保护您的网站至关重要:

保护您的网站和访问者的隐私

数据显示,平均 69% 的被黑客入侵的 WordPress 网站都是过时的软件和弱密码的受害者。 这就像为网络窃贼敞开前门一样。

每年网络犯罪给企业造成的损失达数万亿美元,而 WordPress 是一个常见的目标。

因此,保护​​密码、电子邮件和财务详细信息等敏感数据至关重要。 安全的网站可以促进用户信任和参与,用户更有可能返回安全的网站,从而提高访问者的忠诚度和转化率。

防止数据泄露和恶意软件注入

数据泄露可能会导致声誉受损、法律问题和失去客户信任,在美国,企业平均损失 944 万美元。

此外,被黑客入侵的 WordPress 网站上的恶意软件注入可能会将访问者重定向到恶意网站,从而损害您的 SEO 排名和用户体验。 因此,您需要保证网站的安全,以防止出现此类情况。

提高网站的 SEO 性能

Google 优先考虑安全性,安全的网站通常享有更好的 SEO 排名。 保护您的 WordPress 网站可以提高搜索引擎排名,吸引更多自然流量。

此外,恶意脚本和插件可能会使您的网站陷入困境,拖慢页面加载时间并使用户感到沮丧。 安全的网站运行平稳,让您的访问者保持快乐和参与。

遵守数据隐私法规

数据隐私法规要求采取强有力的网站安全措施来保护用户数据。 GDPR 和 CCPA 是企业需要遵守的一些法规。

因此,保护​​您的 WordPress 网站对于避免巨额罚款和法律纠纷至关重要。

请记住,网站安全不是一次性投资,而是一个持续的过程。

通过采取主动措施,您可以将 WordPress 网站从易受攻击的目标转变为安全堡垒,从而保护您的数据、声誉和在线成功。

保护 WordPress 网站安全的2 种方法

现在让我们讨论保护 WordPress 网站的各种方法。

2.1基本的必要安全措施

现在让我们讨论保护您的 WordPress 网站免受潜在风险的重要安全实践。

保持一切更新

保护您的 WordPress 网站非常简单 - 保持最新。 这包括 WordPress 及其核心文件,例如主题和插件。

定期更新至关重要,因为它们通常包含针对先前版本中发现的漏洞的安全补丁。

除了安全性之外,更新还为您的网站引入了新功能和增强功能。

要查看和更新​​您的 WordPress 网站及其核心文件,请登录您的仪表板并转到仪表板 → 更新

如果有可用更新,请单击更新到版本按钮。 对于主题和插件,请前往主题插件部分,选择需要更新的主题和插件,然后单击每个主题旁边的更新按钮。

检查更新

为了提高安全性,请考虑启用 WordPress、插件和主题的自动更新。 这可以确保您的网站保持安全,即使您没有主动监控它。

在启用自动更新之前,请确保定期备份您的网站。 此预防措施可确保您在更新期间或更新后出现任何问题时可以轻松恢复站点。

使用强而独特的密码

您还可以使用强大而独特的密码来保护您的 WordPress 网站。 弱且容易猜到的密码使黑客更容易未经授权访问您的网站。

要创建强而安全的密码,请遵循以下提示:

  • 选择至少 12 个字符或更多。
  • 混合大小写字母、数字和特殊字符。
  • 避免使用连续数字、重复字符或常见密码(例如“password123”)。
  • 为每个在线帐户(包括您的 WordPress 网站)使用不同的密码。
  • 考虑使用可靠的密码管理器工具来生成并安全地存储您的密码。
  • 如果可能,请避免使用包含您的用户名或网站名称的密码。

请记住,安装新的 WordPress 网站时,请务必将默认密码示例替换为更强的密码示例。

但是,如果您的 WordPress 网站已设置,请通过导航至“用户”→“个人资料” ,向下滚动并单击“设置新密码”按钮来更改密码,以获得一个强随机密码。

设置新密码

另外,定期更改您的密码,每次都使用强密码。

安装 SSL 证书

当保护您的 WordPress 网站时,安装 SSL 证书非常重要。 该证书可确保您的网站和访问者之间交换的数据经过加密,从而防止未经授权的访问。

获取 SSL 证书可以通过从信誉良好的提供商处购买证书或通过托管提供商获取免费证书来完成。

但是,如果您已经为 WordPress 网站安装了 SSL 证书,但它没有出现在您的网站 URL 上,则有一种方法可以启用它。

只需转到 WordPress 仪表板中的“设置”→“常规”,然后通过在开头添加“https://”而不是“http://”来修改“WordPress 地址(URL)”和“站点地址(URL)”。

站点网址

但是,如果您在网站上遇到与 SSL 相关的问题,您可以使用诸如 Very Simple SSL 或 SSL Insecure Content Fixer 之类的插件来解决这些问题。

选择安全托管

为了增强安全性,请选择以其安全措施和可靠性而闻名的信誉良好的托管提供商。 寻找防火墙、恶意软件扫描和 DDoS 防护等功能。

确保他们提供定期备份、支持 SFTP 或 SSH 等安全协议,并保持基础设施和软件更新。 安全的托管提供商为您的 WordPress 网站的安全奠定了坚实的基础。

为了实现这一点,请研究托管提供商,阅读评论,并选择一个具有良好安全声誉的托管提供商。

检查它们的功能、支持和备份选项。 当您优先考虑安全的托管环境时,它将有助于保护您的网站和数据。

2.2保护您的 WordPress 网站

现在让我们讨论一些保护 WordPress 网站安全的最有效方法,包括如何防止未经授权的访问、保护您的数据以及降低网络攻击的风险。

使用安全主题和插件

为您的 WordPress 网站选择主题和插件时,从信誉良好的来源(例如官方 WordPress 存储库或 MyThemeShop)中选择它们非常重要。

这些来源进行彻底的安全检查并持续提供更新以确保其产品的安全。

但是,重要的是要避免使用来自未知或不可靠来源的主题或插件,尤其是无效的主题或插件。 这些可能含有漏洞或恶意代码,可能危及您网站的安全。

在安装主题或插件之前,请花时间查看评级、阅读用户反馈并评估更新频率,以确保其值得信赖并得到积极维护。

这可确保您的网站保持安全并采用最新的安全措施。

定期备份您的 WordPress 网站

定期备份网站数据对于保护网站免受安全事件、数据丢失和网站问题至关重要。 通过最近的备份,您可以在遭受网络攻击时快速恢复站点并最大限度地减少停机时间。

通常建议每天创建备份,特别是对于内容较多且流量较高的网站。

此外,定期测试备份以确保其可靠性也很重要。 简化备份过程的一种方法是使用提供计划备份和远程存储选项等功能的插件。

您可以参考我们关于备份 WordPress 网站的详细文章。

限制登录尝试

保护网站安全的另一种方法是限制网站上的登录尝试,这会限制单个 IP 地址尝试登录失败的次数。

这使得黑客更难通过猜测您的登录凭据来获得未经授权的访问。

当您限制登录尝试时,您可以在 WordPress 网站上添加一层针对暴力攻击的保护。

以下是限制网站登录尝试的方法:

  • 安装并激活插件,例如从 WordPress 插件目录重新加载限制登录尝试。 有关更多详细信息,请参阅我们有关如何安装 WordPress 插件的分步指南。
  • 激活后,导航至其设置页面。 然后,滚动到“应用程序设置”部分。
  • “锁定”选项中,配置阻止 IP 地址之前允许的最大登录尝试次数。
锁定选项
  • 设置被阻止的 IP 地址的锁定期限。
  • 或者,启用电子邮件通知以接收有关锁定或可疑登录尝试的警报。 您可以在常规设置中看到此选项。
通知锁定

正确设置后,您的站点登录尝试将受到限制,并且任何超过您指定的失败登录尝试次数的 IP 地址将被暂时阻止访问登录页面。

启用 2FA(双因素身份验证)

启用双因素身份验证 (2FA) 要求用户提供两种形式的验证才能登录,从而为您的 WordPress 网站添加了额外的安全层。

与 Google、Facebook 和 Twitter 类似,您可以使用此功能来强化您的 WordPress 网站,从而显着降低未经授权访问的风险,即使您的密码被泄露也是如此。

就是这样:

  • 安装并激活“Wordfence登录安全”插件。 激活后,进入“登录安全”菜单。
  • 找到二维码并在“双因素身份验证”选项卡中键入。 因此,您需要扫描它才能激活您网站上的身份验证器。
谷歌身份验证器应用程序
  • 接下来,在手机上下载并安装谷歌身份验证器应用程序; 您将使用它扫描二维码以在您的网站上激活。
  • 打开应用程序并选择“扫描二维码”来扫描代码,或手动输入设置密钥。
  • 应用程序验证代码后,会提供唯一的代码。 将此代码复制到恢复代码部分下的指定字段。
  • 单击“激活”按钮完成设置。

不要忘记使用“下载”按钮下载五个恢复代码。 如果您丢失手机,这些代码至关重要,可确保您继续访问您的网站。

使用强大的反垃圾邮件解决方案

垃圾邮件可能会带来麻烦并带来安全风险、损害用户体验并对网站的性能产生负面影响。

因此,为了有效防止您网站上的垃圾邮件,您可以使用“Akismet Anti-spam”WordPress 插件。

Akismet 是一款强大的垃圾邮件过滤插件,由 WordPress 背后的公司 Automattic 开发。 它通常随 WordPress 一起预装,您只需激活它并获取 API 密钥即可。

要获取 API 密钥,您需要在 Akismet 网站上注册,然后将其输入 WordPress 仪表板插件页面上的 API 密钥字段。

一旦您成功连接 API Key,Akismet 插件将采用先进的算法自动分析您网站上的评论和表单提交,有效过滤掉垃圾邮件。

或者,您可以选择“Antispam Bee”插件,它具有类似的用途。

更改默认管理员用户名

在安装 WordPress 网站期间,默认用户名通常设置为“admin”。 但是,在某些情况下,用户会错误地保留此用户名不变。

黑客经常以“admin”用户名为目标,因为它被广泛认可,这有利于他们的恶意活动。 为了增强站点的安全性,更改管理员用户名非常重要,这样攻击者就更难猜测并获得未经授权的访问。

不幸的是,安装完成后,WordPress 不提供直接修改用户名的选项。

用户名无法更改

因此,要绕过此问题,您应该安装并启用“更改用户名”插件。 激活后,转到用户 → 所有用户,选择用户名“admin”的用户,然后单击“编辑”。

在“个人资料”页面上,找到“用户名”选项,然后单击“更改” 。 然后,为管理员帐户选择一个新的用户名,最好是唯一且与您网站的名称无关的用户名。

最后,滚动到页面底部,然后单击“更新配置文件”按钮以保存更改。 WordPress 会自动更新管理员用户名。

更改管理员用户名不会影响您网站的内容或设置。 唯一的变化是访问管理仪表板的用户名。

更改默认的“wp-login”URL

大家都知道,WordPress 驱动的网站的默认登录 URL 通常以“wp-login”结尾。

但是,您需要更改此 URL 模式,以使人们更难访问您的登录 URL,更不用说尝试使用您的登录详细信息了。

要更改默认的“wp-login”URL,请按照下列步骤操作:

  • 从 WordPress 插件目录安装并激活“WPS 隐藏登录”插件。
  • 激活后,导航至“设置”→“WPS 隐藏登录”,它将带您进入 WordPress 网站常规设置的底部。
  • 接下来,添加一个唯一且不易猜测的自定义登录 URL。
WPS 隐藏登录
  • 然后,保存更改,插件将自动更新登录 URL。

设置自定义登录 URL 后,您将需要访问新 URL 才能登录 WordPress 管理仪表板。 默认的“wp-login”URL 将不再可访问。

建议选择自定义登录 URL,这样您容易记住,但其他人很难猜到。

定期扫描您的网站

为了确保您的 WordPress 网站安全,定期扫描潜在的安全威胁、恶意软件或可疑活动非常重要。 这种主动措施有助于维护网站的完整性。

安装并激活 WordPress 插件目录中的安全插件(如 Sucuri Security)以执行定期扫描。

激活后,导航至Sucuri Security → 仪表板,您可以在其中启动扫描。 该插件默认执行每日扫描,但您可以在设置中自定义频率。

每次扫描后,查看插件提供的结果,并根据结果采取必要的操作。 这种例行监控可确保您的 WordPress 网站的持续安全。

安装 Sucuri 插件以保护 WordPress 网站

某些扫描结果可能涉及删除恶意软件、更新插件或主题或解决已识别的漏洞。

始终检查站点和用户活动

监控网站和用户活动对于确保 WordPress 网站的安全至关重要。

通过跟踪在您的网站上采取的操作,您可以及时检测任何可疑或未经授权的活动,并采取必要的措施来有效解决这些问题。

要监控站点活动,您可以利用 Sucuri 插件的审核日志功能。 访问 Sucuri 仪表板并向下滚动,直到找到“审核日志”选项卡。

审核日志

这些日志将向您显示详细信息,例如登录尝试、文件修改、插件安装等。

此外,您还可以导航到“上次登录”部分来检查和跟踪您的网站登录活动,包括成功和不成功的尝试。

登录成功

如果您检测到任何可疑活动,请立即采取措施调查并减轻潜在的安全风险。

另一种选择是利用名为“简单历史记录”的独立插件来监控您的网站活动日志。 该工具可提供有关用户操作的宝贵见解,并有助于维护安全的 WordPress 环境。

设置安全警报系统

设置安全警报系统可确保您及时收到有关 WordPress 网站上潜在安全问题或更改的通知。

通过及时接收警报,您可以立即解决任何威胁或漏洞。

您可以使用 Sucuri 插件中的警报功能来接收您的网站活动警报。 导航至“设置”部分并选择“警报”选项卡。

警报功能

“警报”选项卡中,添加用于接收警报的电子邮件、设置频率并指定安全警报的类型。

验证所提供的警报通知联系方式是否准确且最新。 此功能在其他安全插件中也很常见。

2.3先进的安全措施

现在让我们探讨一些高级安全措施,您可以采取这些措施来增强 WordPress 网站的安全性。

设置地理封锁以阻止 IP

在 WordPress 网站上实施地理封锁允许您通过阻止与这些位置关联的 IP 地址来限制来自特定国家或地区的访问。

这可以防止潜在恶意行为者或高风险区域的访问,从而帮助增强站点的安全性。

您可以通过 WordPress 仪表板、cPanel、WordPress 插件、.htaccess 和 config.php 文件阻止 IP。

地理封锁可以有效地阻止来自特定区域的访问,但它可能并非万无一失。

某些 IP 地址可能是动态分配的或容易被欺骗,因此我们建议将 GEO 阻止与其他安全措施结合使用。

启用 Web 应用程序防火墙保护

Web 应用程序防火墙 (WAF) 通过过滤掉恶意流量并阻止已知的攻击模式,充当网站与潜在威胁之间的保护屏障。

您可以使用 Wordfence 安全插件免费启用 WAF 保护选项。 因此,您需要在您的 WordPress 网站上安装并激活该插件。

激活后,导航至Wordfence → 防火墙并启用 Wordfence 防火墙。 然后,根据您的偏好管理防火墙设置,例如启用 WAF 规则和高级防火墙选项。

Wordfence 防火墙

之后,保存设置,Wordfence插件将开始为您的网站提供WAF保护。

通过启用 Wordfence WAF,您的网站将受到保护,免受常见的安全威胁,例如 SQL 注入、跨站点脚本 (XSS) 攻击和暴力登录尝试。

WAF 持续监控和过滤传入流量,以在恶意请求到达您的网站之前阻止它们。

禁用 Trackback 和 Pingback

Trackback 和 pingback 是 WordPress 在您的网站链接到其他网站内容时用来通知其他网站的方法。 然而,它们可能被垃圾邮件发送者滥用于恶意目的。

要禁用引用通告和 pingback,请按照下列步骤操作:

  • 登录到您的 WordPress 管理仪表板。
  • 导航到“设置”部分,然后单击“讨论”。
  • 在“默认帖子设置”部分中,取消选中“允许新帖子上其他博客(pingback 和 trackback)的链接通知”旁边的框。
讨论设置
  • 向下滚动并单击“保存更改”按钮。

禁用 trackbacks 和 pingbacks 可防止您的 WordPress 网站发送或接收这些通知。

这有助于减少不必要的服务器负载以及与垃圾邮件或恶意引用/pingback 请求相关的潜在安全风险。

设置准确的文件权限

文件权限决定不同用户或进程对站点文件和目录的访问和控制级别。

正确配置文件权限后,您可以限制未经授权的访问并防止潜在的安全漏洞。

要为您的 WordPress 网站设置准确的文件权限,请遵循以下一般准则:

  • 使用 FTP 客户端或主机控制面板访问您站点的文件。
  • 确定需要调整权限的主要目录和文件,如wp-content目录、wp-config.php文件、.htaccess文件等。
  • 将“目录”权限设置为 755,允许所有者读取、写入和执行文件,同时限制其他人只能读取和执行。
更改权限
  • 将“文件”权限设置为 644,允许所有者读取和写入文件,同时限制其他人只读。
  • 对于更敏感的文件,例如 wp-config.php 文件,请将权限设置为 600,这仅向所有者授予读写权限。

这只是一般设置,因此请联系您的托管提供商的支持人员以获取具体指导,因为建议的文件权限在不同的托管环境中可能会有所不同。

禁用错误报告

禁用错误报告是一项重要的安全实践,可防止敏感信息暴露给攻击者,从而帮助保护您的 WordPress 网站。

错误日志可能会无意中泄露有关站点配置或底层代码的详细信息,这些详细信息可能会被恶意人员利用。

要禁用错误报告,请按照下列步骤操作:

  • 通过 FTP 客户端或 cPanel 访问网站的根目录。
  • 在根目录或public_html中,找到wp-config.php文件。
  • 为了安全起见,下载 wp-config.php 文件的备份副本。
  • 右键单击 wp-config.php 文件并选择“编辑”将其打开。
  • 找到define('WP_DEBUG', true);
  • 将 'true' 替换为 'false',使其define('WP_DEBUG,' false); 如下所示。
找到代码
  • 确保在修改 wp-config.php 文件后保存更改。

禁用错误日志报告可防止向用户显示潜在的错误消息或警告,包括可能对攻击者有用的敏感信息。

但是,禁用错误报告并不意味着您应该完全忽略错误。 您仍然应该监控您的网站是否有任何问题并及时解决。

保护您的 wp-config.php 文件

wp-config.php 文件是 WordPress 安装的关键组件,因为它包含敏感信息,例如数据库凭据和安全密钥。

采取措施保护此文件对于保护您的 WordPress 网站免受潜在的安全漏洞至关重要。

以下是一些保护您的 wp-config.php 文件的建议措施:

  1. 考虑将 wp-config.php 文件移动到 Web 根文件夹之外的目录。 这可以防止从互联网直接访问该文件,从而使攻击者更难以利用任何漏洞。
  2. 确保使用前面讨论的推荐权限正确配置 wp-config.php 的文件权限。
  3. 设置 WordPress 网站时,请使用强大、独特且复杂的数据库凭据。 这包括使用强数据库用户名和密码。
  4. 通过将以下规则添加到站点的 .htaccess 文件中,为 wp-config.php 文件添加更多保护。
 <files wp-config.php> order allow,deny deny from all </files>

这些规则可以拒绝所有 IP 地址对文件的访问。

禁用某些 WordPress 目录中的 PHP 文件执行

您还可以通过禁用特定目录中的 PHP 文件执行来增强 WordPress 网站的安全性。 这有助于防止这些目录中的 PHP 文件在您的网站上执行或运行。

要禁用 PHP 文件执行,请修改目标目录中的 .htaccess 文件,通常是用户生成的内容所在的位置,例如wp-content/uploads目录。

您可以通过在文本编辑器中打开 .htaccess 文件并添加以下行来完成此操作:

 <Files *.php> deny from all </Files>

接下来,将此文件另存为 .htaccess 并使用 FTP 客户端或文件管理器将其上传到网站上的/wp-content/uploads/文件夹。

这些行指示服务器拒绝访问指定目录中任何具有 .php 扩展名的文件。

或者,您可以使用上述 Sucuri 插件中的强化功能一键完成此操作。

2.4额外的安全措施

让我们讨论一下您可以采取哪些额外的安全措施来进一步保护 WordPress 网站的安全。

自动注销 WordPress 中的空闲用户

当用户保持登录状态但在一段时间内不活动时,就会带来未经授权的访问或帐户被篡改的风险。

因此,您需要注销空闲用户以缓解此安全漏洞。

为此,您需要安装并激活非活动注销插件。 激活后,转到“设置”→“非活动注销”以配置插件设置。

非活动注销

通过自动注销空闲用户,您可以降低其会话被劫持或对其帐户进行未经授权的更改的风险。

这对于处理敏感信息或拥有具有管理权限的用户帐户的网站尤其重要。

隐藏 WordPress 版本

公开显示 WordPress 版本可以让攻击者更轻松地定位与该特定 WordPress 版本相关的漏洞。

要隐藏 WordPress 版本,请修改主题的functions.php 文件或使用安全插件。

有几种不同的方法可用,但我们建议您参阅有关如何隐藏 WordPress 版本的指南以获取详细说明。

隐藏您的 WordPress 网站主题名称

当攻击者可以轻松识别您在网站上使用的 WordPress 主题时,他们就更容易利用与该主题相关的任何已知漏洞。

通过隐藏主题名称,攻击者更难收集有关您网站设置的信息并可能利用任何弱点。 这为您的 WordPress 网站增加了额外的安全层。

要隐藏网站的主题名称,请按照我们有关如何隐藏 WordPress 主题名称的分步指南进行操作。

在 WordPress 仪表板中禁用文件编辑

WordPress 有一个内置的代码编辑器,允许您从 WordPress 管理区域编辑主题和插件文件。

主题文件style.css

如果黑客未经授权访问您的 WordPress 仪表板,他们可能会尝试通过注入恶意代码来修改某些文件。

因此,我们建议禁用该功能,因为它可能会造成安全威胁。 为此,您需要将以下代码添加到站点的wp-config.php文件中。

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

实施此更改后,具有管理员访问权限的用户将无法再访问 WordPress 管理面板中的主题和插件编辑器。

但即使在禁用此文件编辑后,您仍然可以通过 FTP 或文件管理器访问主题和插件文件来更改它们。

更改默认数据库表前缀

默认情况下,WordPress 在其数据库表中使用前缀“wp_”,这可以使攻击者更轻松地识别和定位您的网站。

为了增强安全性,请考虑更改表前缀,使潜在的攻击更具挑战性。

调整前缀涉及修改wp-config.php文件和phpMyAdmin。 如果配置不正确,此手动过程可能会破坏您的网站。

因此,我们推荐使用插件方法。

因此,安装并激活 Brozzme DB Prefix & Tools Addons 插件。 激活后,导航至“工具”→“数据库前缀”。

将插件内的数据库表前缀更改为字母、数字和下划线的唯一且难以预测的组合。 避免特殊字符或空格。

在进行更改之前,请备份您的网站数据库。 确保 wp-config.php 在您的服务器上可写,并验证是否启用了 MySQL ALTER 权限以避免潜在问题。

这种谨慎的方法可确保更顺利的过渡,并将网站功能的风险降至最低。

布罗兹梅插件

进行必要的调整后,单击“更改数据库前缀”按钮保存更改。

在 WordPress 中禁用 XML-RPC

XML-RPC 是 WordPress 的一项功能,可促进站点与 Web 或移动应用程序之间的连接。 从 WordPress 3.5 开始自动启用。

但是,它也可以作为放大网站上的暴力或 DDoS 攻击的潜在工具。

启用 XML-RPC 后,黑客可以使用单个函数使用数千个密码进行多次登录尝试,而没有启用 XML-RPC 时,每个密码都需要单独尝试。 这带来了重大的安全风险。

为了避免这种风险,如果您不主动使用 XML-RPC,建议您通过向站点的 .htaccess 文件添加代码来禁用 XML-RPC。

使用 FTP 客户端或主机控制面板访问您网站的文件,找到根目录中的 .htaccess 文件,然后添加以下代码:

 # Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

但如果您不想使用此方法,您可以使用 WordPress 安全插件,例如 Simple Disable XML-RPC。

安装并激活插件,激活后导航至“简单禁用 XML-RPC” ,选中“禁用 XML-RPC”选项,然后保存更改。

保存更改

如果您使用前面提到的 Web 应用程序防火墙,那么防火墙可以处理此问题。

禁用盗链

禁用热链接是一项安全措施,有助于保护您网站的带宽并防止其他人直接链接到您网站的图像和其他媒体文件。

盗链是指在其他网站上使用您网站上托管的图像或媒体 URL,未经您的许可使用您服务器的资源。

要轻松禁用热链接,请安装并激活 All-In-One Security (AIOS) WordPress 插件。

激活后,转到WP Security → Filesystem Security ,然后选择文件保护选项卡。 向下滚动并打开防止图像盗链部分如下所示。

个人盗链

请记住保存您的设置。

禁用目录索引和浏览

禁用目录索引和浏览是一项重要的安全措施,可防止未经授权访问您的网站目录内容。

默认情况下,某些 Web 服务器允许目录索引,这意味着如果目录中不存在索引文件(如index.html 或index.php),服务器将显示该目录中的文件和文件夹列表。

可湿性粉剂包括

这可能会暴露敏感信息,并使攻击者更容易识别漏洞。

为了防止未经授权访问您的文件、复制图像和泄露您的目录结构,强烈建议禁用目录索引和浏览。

通过 FTP 客户端或主机控制面板访问您网站的文件。 在 WordPress 安装的根目录中,找到 .htaccess 文件。

在文本编辑器中打开 .htaccess 文件并在末尾附加以下代码:

 # Disable Directory Indexing and Browsing Options -Indexes

保存对 .htaccess 文件的更改并将其上传回您的服务器,如有必要,替换现有文件。

使用安全标头

安全标头指示浏览器处理网站的某些方面,提供针对常见安全漏洞的额外保护。

以下是一些常见的安全标头及其优点:

  • X-XSS-Protection 标头可阻止恶意脚本注入,以防止跨站点脚本 (XSS) 攻击。
  • X-Content-Type-Options 标头可防止 MIME 类型嗅探引起的安全漏洞。
  • 严格传输安全 (HSTS) 标头通过强制执行 HTTPS 确保安全连接。
  • 内容安全策略 (CSP) 标头允许设置安全策略以防止各种攻击。

因此,要在 WordPress 网站上实现这些安全标头,您需要安装并激活安全标头生成器插件。

安装后,导航至安全标头部分。 在那里您可以抽出时间并根据您的喜好配置插件。

安全标头

实施安全标头时,必须彻底测试您的网站,以确保它们不会与任何现有功能发生冲突,因为它们往往会破坏网站。

此外,您还可以使用 securityheaders.com 等在线工具来检查安全标头的有效性和正确实施。

如果您使用“All-In-One Security (AIOS)”或“Wordfence”等安全插件,您可以使用它们的选项轻松配置站点的安全标头,从而无需使用早期的插件。

3结论

保护您的 WordPress 网站对于保护其免受潜在威胁和漏洞至关重要。

因此,安装一个强大的安全插件(例如“一体式安全(AIOS)”)可能会有所帮助,因为它提供了广泛的功能,涵盖了本文中讨论的大多数安全措施。

然而,仅仅安装安全插件是不够的。 您需要花时间查看所有可用选项并自定义插件的设置以满足您的需求。

但是,如果您有插件未涵盖的独特安全要求,请考虑安装其他插件或利用自定义代码来满足这些需求。

在更改代码或激活新插件以降低风险之前备份您的网站始终是一个好习惯。

此外,定期更新 WordPress 插件、查看通知或结果以及了解最新的安全新闻和最佳实践可以显着降低安全漏洞的风险。

这篇文章对您保护 WordPress 网站有帮助吗? 如果有,请随时通过推文@rankmathseo 分享您的想法。