如何保護 WordPress 網站

已發表: 2024-02-14

您是否知道,由於網路攻擊的頻率和複雜性不斷增加,保護 WordPress 網站的安全性現在比以往任何時候都更重要? 這是任何網路企業都無法忽視的殘酷現實。

事實上,根據 Colorlib 的報告,2023 年每天都有超過 13,000 個 WordPress 網站遭到駭客攻擊。

這是一個驚人的數字,這意味著您在保護線上形象時需要格外警惕。

但無需驚慌。

在這篇文章中,我們將討論您可以採取的步驟來確保您的網站安全並免受網路威脅,以便您可以無憂無慮地專注於發展您的業務。

因此,如果您準備好將網站安全性提升到一個新的水平,那就讓我們開始吧!

目錄

  1. 為什麼要保護 WordPress 網站?
  2. 保護 WordPress 網站安全的方法
    • 基本的必要安全措施
    • 保護您的 WordPress 網站
    • 先進的安全措施
    • 額外的安全措施
  3. 結論

1為什麼要保護 WordPress 網站?

您的網站是您的線上主頁,而 WordPress 是背後的平台。 然而,就像一個實際的家一樣,您的 WordPress 網站需要堅固的牆壁來抵禦潛在的威脅。

這就是為什麼保護您的網站至關重要:

保護您的網站和訪客的隱私

數據顯示,平均 69% 的被駭客入侵的 WordPress 網站都是過時的軟體和弱密碼的受害者。 這就像為網路竊賊敞開前門一樣。

每年網路犯罪對企業造成的損失達數萬億美元,而 WordPress 是一個常見的目標。

因此,保護密碼、電子郵件和財務詳細資訊等敏感資料至關重要。 安全的網站可以促進用戶信任和參與,用戶更有可能返回安全的網站,從而提高訪客的忠誠度和轉換率。

防止資料外洩和惡意軟體注入

資料外洩可能導致聲譽受損、法律問題和失去客戶信任,在美國,企業平均損失 944 萬美元。

此外,被駭客入侵的 WordPress 網站上的惡意軟體注入可能會將訪客重新導向到惡意網站,從而損害您的 SEO 排名和使用者體驗。 因此,您需要確保網站的安全,以防止此類情況發生。

提升網站的 SEO 效能

Google 優先考慮安全性,安全的網站通常享有更好的 SEO 排名。 保護您的 WordPress 網站可以提高搜尋引擎排名,吸引更多自然流量。

此外,惡意腳本和外掛程式可能會使您的網站陷入困境,拖慢頁面載入時間並使用戶感到沮喪。 安全的網站運作平穩,讓您的訪客保持快樂和參與。

遵守資料隱私法規

資料隱私法規要求採取強而有力的網站安全措施來保護使用者資料。 GDPR 和 CCPA 是企業需要遵守的一些法規。

因此,保護您的 WordPress 網站對於避免巨額罰款和法律糾紛至關重要。

請記住,網站安全不是一次性投資,而是持續的過程。

透過主動措施,您可以將 WordPress 網站從易受攻擊的目標轉變為安全堡壘,從而保護您的資料、聲譽和線上成功。

保護 WordPress 網站安全的2 種方法

現在讓我們來討論保護 WordPress 網站的各種方法。

2.1基本的必要安全措施

現在讓我們討論保護您的 WordPress 網站免受潛在風險的重要安全做法。

保持一切更新

保護您的 WordPress 網站非常簡單 - 保持最新。 這包括 WordPress 及其核心文件,例如主題和外掛程式。

定期更新至關重要,因為它們通常包含針對先前版本中發現的漏洞的安全性修補程式。

除了安全性之外,更新還為您的網站引入了新功能和增強功能。

若要查看和更新​​您的 WordPress 網站及其核心文件,請登入您的儀表板並前往儀表板 → 更新

如果有可用更新,請按一下更新至版本按鈕。 對於主題和插件,請前往主題插件部分,選擇需要更新的主題和插件,然後點擊每個主題旁邊的更新按鈕。

檢查更新

為了提高安全性,請考慮啟用 WordPress、外掛和主題的自動更新。 這可以確保您的網站保持安全,即使您沒有主動監控它。

在啟用自動更新之前,請確保定期備份您的網站。 此預防措施可確保您在更新期間或更新後出現任何問題時可以輕鬆恢復網站。

使用強而獨特的密碼

您也可以使用強大而獨特的密碼來保護您的 WordPress 網站。 弱且容易猜到的密碼使駭客更容易未經授權存取您的網站。

若要建立強且安全的密碼,請遵循以下提示:

  • 選擇至少 12 個字元或更多。
  • 混合大小寫字母、數字和特殊字元。
  • 避免使用連續數字、重複字元或常見密碼(例如“password123”)。
  • 為每個線上帳戶(包括您的 WordPress 網站)使用不同的密碼。
  • 考慮使用可靠的密碼管理器工具來產生並安全地儲存您的密碼。
  • 如果可能,請避免使用包含您的使用者名稱或網站名稱的密碼。

請記住,安裝新的 WordPress 網站時,請務必將預設密碼範例替換為更強的密碼範例。

但是,如果您的 WordPress 網站已設置,請透過導航至「使用者」→「個人資料」 ,向下捲動並點擊「設定新密碼」按鈕來變更密碼,以獲得強隨機密碼。

設定新密碼

另外,定期更改您的密碼,每次都使用強密碼。

安裝 SSL 憑證

當保護您的 WordPress 網站時,安裝 SSL 憑證非常重要。 此憑證可確保您的網站和訪客之間交換的資料經過加密,從而防止未經授權的存取。

取得 SSL 憑證可以透過從信譽良好的提供者購買憑證或透過託管提供者取得免費憑證來完成。

但是,如果您已經為 WordPress 網站安裝了 SSL 證書,但它沒有出現在您的網站 URL 上,則有一種方法可以啟用它。

只需前往 WordPress 儀表板中的“設定”→“常規”,然後透過在開頭添加“https://”而不是“http://”來修改“WordPress 位址(URL)”和“網站位址( URL)」。

站點網址

但是,如果您在網站上遇到與 SSL 相關的問題,您可以使用諸如 Very Simple SSL 或 SSL Insecure Content Fixer 之類的外掛程式來解決這些問題。

選擇安全託管

為了增強安全性,請選擇以其安全措施和可靠性而聞名的信譽良好的託管提供者。 尋找防火牆、惡意軟體掃描和 DDoS 防護等功能。

確保他們提供定期備份、支援 SFTP 或 SSH 等安全協議,並保持基礎設施和軟體更新。 安全的託管提供者為您的 WordPress 網站的安全奠定了堅實的基礎。

為了實現這一點,請研究託管提供商,閱讀評論,並選擇一個具有良好安全聲譽的託管提供者。

檢查它們的功能、支援和備份選項。 當您優先考慮安全的託管環境時,它將有助於保護您的網站和資料。

2.2保護您的 WordPress 網站

現在讓我們討論一些保護 WordPress 網站安全的最有效方法,包括如何防止未經授權的存取、保護您的資料以及降低網路攻擊的風險。

使用安全主題和插件

為您的 WordPress 網站選擇主題和外掛時,從信譽良好的來源(例如官方 WordPress 儲存庫或 MyThemeShop)中選擇它們非常重要。

這些來源進行徹底的安全檢查並持續提供更新以確保其產品的安全。

但是,重要的是要避免使用來自未知或不可靠來源的主題或插件,尤其是無效的主題或插件。 這些可能含有漏洞或惡意程式碼,可能危及您網站的安全。

在安裝主題或外掛程式之前,請花時間查看評分、閱讀用戶回饋並評估更新頻率,以確保其值得信賴並積極維護。

這可確保您的網站保持安全並採取最新的安全措施。

定期備份您的 WordPress 網站

定期備份網站資料對於保護網站免受安全事件、資料遺失和網站問題至關重要。 透過最近的備份,您可以在遭受網路攻擊時快速恢復網站並最大限度地減少停機時間。

通常建議每天建立備份,特別是對於內容較多且流量較高的網站。

此外,定期測試備份以確保其可靠性也很重要。 簡化備份過程的一種方法是使用提供計劃備份和遠端儲存選項等功能的插件。

您可以參考我們關於備份 WordPress 網站的詳細文章。

限制登入嘗試

保護網站安全的另一種方法是限制網站上的登入嘗試,這會限制單一 IP 位址嘗試登入失敗的次數。

這使得駭客更難透過猜測您的登入憑證來獲得未經授權的存取。

當您限制登入嘗試時,您可以在 WordPress 網站上新增一層針對暴力攻擊的保護。

以下是限制網站登入嘗試的方法:

  • 安裝並啟用插件,例如從 WordPress 插件目錄重新載入限制登入嘗試。 有關更多詳細信息,請參閱我們有關如何安裝 WordPress 外掛程式的逐步指南。
  • 啟動後,導航至其設定頁面。 然後,捲動到“應用程式設定”部分。
  • 「鎖定」選項中,配置封鎖 IP 位址之前允許的最大登入嘗試次數。
鎖定選項
  • 設定被封鎖的 IP 位址的鎖定期限。
  • 或者,啟用電子郵件通知以接收有關鎖定或可疑登入嘗試的警報。 您可以在常規設定中看到此選項。
通知鎖定

正確設定後,您的網站登入嘗試將受到限制,並且任何超過您指定的失敗登入嘗試次數的 IP 位址將被暫時封鎖存取登入頁面。

啟用 2FA(雙重認證)

啟用雙重認證 (2FA) 要求使用者提供兩種形式的驗證才能登錄,從而為您的 WordPress 網站添加了額外的安全層。

與 Google、Facebook 和 Twitter 類似,您可以使用此功能來強化您的 WordPress 網站,從而顯著降低未經授權存取的風險,即使您的密碼被洩露也是如此。

就是這樣:

  • 安裝並啟用「Wordfence登入安全」外掛程式。 啟動後,進入「登入安全性」選單。
  • 找到二維碼並在「雙重認證」標籤中鍵入。 因此,您需要掃描它才能啟動您網站上的身份驗證器。
谷歌身份驗證器應用程式
  • 接下來,在手機上下載並安裝Google身份驗證器應用程式; 您將使用它掃描二維碼以在您的網站上啟動。
  • 打開應用程式並選擇“掃描二維碼”來掃描代碼,或手動輸入設定密鑰。
  • 應用程式驗證程式碼後,會提供唯一的程式碼。 將此程式碼複製到恢復程式碼部分下的指定欄位。
  • 點選“啟動”按鈕完成設定。

不要忘記使用「下載」按鈕下載五個恢復代碼。 如果您遺失手機,這些代碼至關重要,可確保您繼續造訪您的網站。

使用強大的反垃圾郵件解決方案

垃圾郵件可能會帶來麻煩並帶來安全風險、損害使用者體驗並對網站的效能產生負面影響。

因此,為了有效防止您網站上的垃圾郵件,您可以使用「Akismet Anti-spam」WordPress 外掛。

Akismet 是一款強大的垃圾郵件過濾插件,由 WordPress 背後的公司 Automattic 開發。 它通常會隨 WordPress 一起預先安裝,您只需啟動它並取得 API 金鑰即可。

若要取得 API 金鑰,您需要在 Akismet 網站上註冊,然後將其輸入 WordPress 儀表板外掛程式頁面上的 API 金鑰欄位。

一旦您成功連接 API Key,Akismet 外掛程式將採用先進的演算法自動分析您網站上的評論和表單提交,有效過濾掉垃圾郵件。

或者,您可以選擇“Antispam Bee”插件,它具有類似的用途。

更改預設管理員用戶名

在安裝 WordPress 網站期間,預設使用者名稱通常會設定為「admin」。 但是,在某些情況下,使用者會錯誤地保留此使用者名稱不變。

駭客經常以「admin」用戶名為目標,因為它被廣泛認可,這有利於他們的惡意活動。 為了增強網站的安全性,更改管理員使用者名稱非常重要,這樣攻擊者就更難猜測並獲得未經授權的存取。

不幸的是,安裝完成後,WordPress 不提供直接修改使用者名稱的選項。

使用者名稱無法更改

因此,要繞過此問題,您應該安裝並啟用“更改使用者名稱”插件。 啟動後,前往用戶 → 所有用戶,選擇用戶名「admin」的用戶,然後按一下「編輯」。

在「個人資料」頁面上,找到「使用者名稱」選項,然後按一下「變更」 。 然後,為管理員帳戶選擇一個新的使用者名,最好是唯一且與您網站的名稱無關的使用者名稱。

最後,捲動到頁面底部,然後按一下「更新設定檔」按鈕以儲存變更。 WordPress 會自動更新管理員使用者名稱。

更改管理員使用者名稱不會影響您網站的內容或設定。 唯一的變化是存取管理儀表板的使用者名稱。

更改預設的“wp-login”URL

大家都知道,WordPress 驅動的網站的預設登入 URL 通常以「wp-login」結尾。

但是,您需要更改此 URL 模式,以使人們更難訪問您的登入 URL,更不用說嘗試使用您的登入詳細資訊了。

若要變更預設的“wp-login”URL,請依照下列步驟操作:

  • 從 WordPress 外掛程式目錄安裝並啟用「WPS 隱藏登入」外掛程式。
  • 啟動後,導覽至“設定”→“WPS 隱藏登入”,它將帶您進入 WordPress 網站常規設定的底部。
  • 接下來,新增一個唯一且不易猜測的自訂登入 URL。
WPS 隱藏登入
  • 然後,儲存更改,外掛程式將自動更新登入 URL。

設定自訂登入 URL 後,您將需要造訪新 URL 才能登入 WordPress 管理儀表板。 預設的“wp-login”URL 將不再可存取。

建議選擇自訂登入 URL,這樣您容易記住,但其他人很難猜到。

定期掃描您的網站

為了確保您的 WordPress 網站安全,定期掃描潛在的安全威脅、惡意軟體或可疑活動非常重要。 這種主動措施有助於維護網站的完整性。

安裝並啟動 WordPress 外掛目錄中的安全性外掛程式(如 Sucuri Security)以執行定期掃描。

啟動後,導覽至Sucuri Security → 儀表板,您可以在其中啟動掃描。 該插件預設執行每日掃描,但您可以在設定中自訂頻率。

每次掃描後,請查看插件提供的結果,並根據結果採取必要的操作。 這種例行監控可確保您的 WordPress 網站的持續安全。

安裝 Sucuri 外掛程式以保護 WordPress 網站

某些掃描結果可能涉及刪除惡意軟體、更新外掛程式或主題或解決已識別的漏洞。

始終檢查網站和用戶活動

監控網站和使用者活動對於確保 WordPress 網站的安全至關重要。

透過追蹤在您的網站上採取的操作,您可以及時偵測任何可疑或未經授權的活動,並採取必要的措施來有效解決這些問題。

若要監控網站活動,您可以利用 Sucuri 外掛程式的審核日誌功能。 存取 Sucuri 儀表板並向下捲動,直到找到「審核日誌」標籤。

審核日誌

這些日誌將向您顯示詳細信息,例如登入嘗試、文件修改、插件安裝等。

此外,您還可以導航至「上次登入」部分來檢查和追蹤您的網站登入活動,包括成功和不成功的嘗試。

登入成功

如果您偵測到任何可疑活動,請立即採取措施調查並減輕潛在的安全風險。

另一種選擇是利用名為「簡單歷史記錄」的獨立外掛程式來監控您的網站活動日誌。 該工具可提供有關使用者操作的寶貴見解,並有助於維護安全的 WordPress 環境。

設定安全警報系統

設定安全警報系統可確保您及時收到有關 WordPress 網站上潛在安全問題或變更的通知。

透過及時接收警報,您可以立即解決任何威脅或漏洞。

您可以使用 Sucuri 外掛程式中的警報功能來接收您的網站活動警報。 導航至“設定”部分並選擇“警報”標籤。

警報功能

「警報」標籤中,新增用於接收警報的電子郵件、設定頻率並指定安全警報的類型。

驗證所提供的警報通知聯絡資訊是否準確且最新。 此功能在其他安全插件中也很常見。

2.3先進的安全措施

現在讓我們來探討一些進階安全措施,您可以採取這些措施來增強 WordPress 網站的安全性。

設定地理封鎖以阻止 IP

在 WordPress 網站上實施地理封鎖可讓您透過封鎖與這些位置關聯的 IP 位址來限制來自特定國家或地區的存取。

這可以防止潛在惡意行為者或高風險區域的訪問,從而幫助增強網站的安全性。

您可以透過 WordPress 儀表板、cPanel、WordPress 外掛程式、.htaccess 和 config.php 檔案封鎖 IP。

地理封鎖可以有效地阻止來自特定區域的訪問,但它可能並非萬無一失。

某些 IP 位址可能是動態分配的或容易被欺騙,因此我們建議將 GEO 阻止與其他安全措施結合使用。

啟用 Web 應用程式防火牆保護

Web 應用程式防火牆 (WAF) 透過過濾掉惡意流量並阻止已知的攻擊模式,充當網站與潛在威脅之間的保護屏障。

您可以使用 Wordfence 安全性外掛程式免費啟用 WAF 保護選項。 因此,您需要在您的 WordPress 網站上安裝並啟用該外掛程式。

啟動後,導覽至Wordfence → 防火牆並啟用 Wordfence 防火牆。 然後,根據您的偏好管理防火牆設置,例如啟用 WAF 規則和進階防火牆選項。

Wordfence 防火牆

之後,儲存設置,Wordfence外掛程式將開始為您的網站提供WAF保護。

透過啟用 Wordfence WAF,您的網站將受到保護,免受常見的安全性威脅,例如 SQL 注入、跨網站腳本 (XSS) 攻擊和暴力登入嘗試。

WAF 持續監控和過濾傳入流量,以在惡意請求到達您的網站之前封鎖它們。

禁用 Trackback 和 Pingback

Trackback 和 pingback 是 WordPress 在您的網站連結到其他網站內容時用來通知其他網站的方法。 然而,它們可能被垃圾郵件發送者濫用於惡意目的。

若要停用引用通告和 pingback,請依照下列步驟操作:

  • 登入您的 WordPress 管理儀表板。
  • 導航至“設定”部分,然後按一下“討論”。
  • 在「預設貼文設定」部分中,取消勾選「允許新貼文上其他部落格(pingback 和 trackback)的連結通知」旁邊的方塊。
討論設定
  • 向下捲動並點擊“儲存變更”按鈕。

停用 trackbacks 和 pingbacks 可防止您的 WordPress 網站發送或接收這些通知。

這有助於減少不必要的伺服器負載以及與垃圾郵件或惡意引用/pingback 請求相關的潛在安全風險。

設定準確的檔案權限

檔案權限決定不同使用者或程序對網站檔案和目錄的存取和控制等級。

正確設定檔權限後,您可以限制未經授權的存取並防止潛在的安全漏洞。

若要為您的 WordPress 網站設定準確的文件權限,請遵循以下一般準則:

  • 使用 FTP 用戶端或主機控制面板存取您網站的檔案。
  • 確定需要調整權限的主要目錄和文件,如wp-content目錄、wp-config.php檔案、.htaccess檔案等。
  • 將「目錄」權限設為 755,允許擁有者讀取、寫入和執行文件,同時限制其他人只能讀取和執行。
更改權限
  • 將“文件”權限設為 644,允許所有者讀取和寫入文件,同時限制其他人只讀。
  • 對於更敏感的文件,例如 wp-config.php 文件,請將權限設為 600,這僅向所有者授予讀寫權限。

這只是一般設置,因此請聯絡您的託管提供者的支援人員以獲取具體指導,因為建議的文件權限在不同的託管環境中可能會有所不同。

禁用錯誤報告

停用錯誤報告是一項重要的安全實踐,可防止敏感資訊暴露給攻擊者,從而幫助保護您的 WordPress 網站。

錯誤日誌可能會無意中洩露有關網站配置或底層程式碼的詳細信息,這些詳細資訊可能會被惡意人員利用。

若要停用錯誤報告,請依照下列步驟操作:

  • 透過 FTP 用戶端或 cPanel 存取網站的根目錄。
  • 在根目錄或public_html中,找到wp-config.php檔案。
  • 為了安全起見,下載 wp-config.php 檔案的備份副本。
  • 右鍵單擊 wp-config.php 檔案並選擇“編輯”將其打開。
  • 找到define('WP_DEBUG', true);
  • 將 'true' 替換為 'false',使其define('WP_DEBUG,' false); 如下圖所示。
找到程式碼
  • 確保在修改 wp-config.php 檔案後儲存變更。

停用錯誤日誌報告可防止向使用者顯示潛在的錯誤訊息或警告,包括可能對攻擊者有用的敏感資訊。

但是,停用錯誤報告並不意味著您應該完全忽略錯誤。 您仍然應該監控您的網站是否有任何問題並及時解決。

保護您的 wp-config.php 文件

wp-config.php 檔案是 WordPress 安裝的關鍵元件,因為它包含敏感訊息,例如資料庫憑證和安全金鑰。

採取措施保護此文件對於保護您的 WordPress 網站免受潛在的安全漏洞至關重要。

以下是一些保護您的 wp-config.php 檔案的建議措施:

  1. 考慮將 wp-config.php 檔案移至 Web 根資料夾之外的目錄。 這可以防止從互聯網直接訪問該文件,從而使攻擊者更難以利用任何漏洞。
  2. 確保使用前面討論的建議權限正確配置 wp-config.php 的檔案權限。
  3. 設定 WordPress 網站時,請使用強大、獨特且複雜的資料庫憑證。 這包括使用強資料庫使用者名稱和密碼。
  4. 透過將以下規則新增至網站的 .htaccess 檔案中,為 wp-config.php 檔案新增更多保護。
 <files wp-config.php> order allow,deny deny from all </files>

這些規則可以拒絕所有 IP 位址對檔案的存取。

禁用某些 WordPress 目錄中的 PHP 檔案執行

您也可以透過停用特定目錄中的 PHP 檔案執行來增強 WordPress 網站的安全性。 這有助於防止這些目錄中的 PHP 檔案在您的網站上執行或運行。

若要停用 PHP 檔案執行,請修改目標目錄中的 .htaccess 文件,通常是使用者產生的內容所在的位置,例如wp-content/uploads目錄。

您可以透過在文字編輯器中開啟 .htaccess 檔案並新增以下行來完成此操作:

 <Files *.php> deny from all </Files>

接下來,將此檔案另存為 .htaccess 並使用 FTP 用戶端或檔案管理器將其上傳到網站上的/wp-content/uploads/資料夾。

這些行指示伺服器拒絕存取指定目錄中任何具有 .php 副檔名的檔案。

或者,您可以使用上述 Sucuri 插件中的強化功能一鍵完成此操作。

2.4額外的安全措施

讓我們討論一下您可以採取哪些額外的安全措施來進一步保護 WordPress 網站的安全。

自動登出 WordPress 中的空閒用戶

當使用者保持登入狀態但在一段時間內不活動時,就會帶來未經授權的存取或帳戶被竄改的風險。

因此,您需要登出空閒用戶以緩解此安全漏洞。

為此,您需要安裝並啟用非活動登出外掛程式。 啟動後,請前往「設定」→「非活動登出」以配置外掛設定。

非活動註銷

透過自動登出空閒用戶,您可以降低其會話被劫持或對其帳戶進行未經授權的更改的風險。

這對於處理敏感資訊或擁有具有管理權限的使用者帳戶的網站尤其重要。

隱藏 WordPress 版本

公開顯示 WordPress 版本可以讓攻擊者更輕鬆地定位與該特定 WordPress 版本相關的漏洞。

若要隱藏 WordPress 版本,請修改主題的functions.php 檔案或使用安全性外掛程式。

有幾種不同的方法可用,但我們建議您參閱有關如何隱藏 WordPress 版本的指南以獲取詳細說明。

隱藏您的 WordPress 網站主題名稱

當攻擊者可以輕鬆識別您在網站上使用的 WordPress 主題時,他們就更容易利用與該主題相關的任何已知漏洞。

透過隱藏主題名稱,攻擊者更難收集有關您網站設定的資訊並可能利用任何弱點。 這為您的 WordPress 網站增加了額外的安全層。

若要隱藏網站的主題名稱,請按照我們有關如何隱藏 WordPress 主題名稱的逐步指南進行操作。

在 WordPress 儀表板中停用文件編輯

WordPress 有一個內建的程式碼編輯器,可讓您從 WordPress 管理區域編輯主題和外掛檔案。

主題文件style.css

如果駭客未經授權存取您的 WordPress 儀表板,他們可能會嘗試透過注入惡意程式碼來修改某些檔案。

因此,我們建議停用該功能,因為它可能會造成安全威脅。 為此,您需要將以下程式碼新增至網站的wp-config.php檔案中。

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

實施此變更後,具有管理員存取權限的使用者將無法再存取 WordPress 管理面板中的主題和外掛程式編輯器。

但即使在停用此文件編輯後,您仍然可以透過 FTP 或檔案管理器存取主題和外掛程式檔案來更改它們。

更改預設資料庫表前綴

預設情況下,WordPress 在其資料庫表中使用前綴“wp_”,這可以使攻擊者更輕鬆地識別和定位您的網站。

為了增強安全性,請考慮更改表前綴,使潛在的攻擊更具挑戰性。

調整前綴涉及修改wp-config.php檔案和phpMyAdmin。 如果配置不正確,此手動程序可能會破壞您的網站。

因此,我們推薦使用插件方法。

因此,安裝並啟動 Brozzme DB Prefix & Tools Addons 外掛程式。 啟動後,導覽至「工具」→「資料庫前綴」。

將外掛程式內的資料庫表前綴變更為字母、數字和底線的唯一且難以預測的組合。 避免特殊字元或空格。

在進行更改之前,請備份您的網站資料庫。 確保 wp-config.php 在您的伺服器上可寫,並驗證是否啟用了 MySQL ALTER 權限以避免潛在問題。

這種謹慎的方法可確保更順利的過渡,並將網站功能的風險降至最低。

布羅茲梅插件

進行必要的調整後,按一下「更改資料庫前綴」按鈕以儲存變更。

在 WordPress 中停用 XML-RPC

XML-RPC 是 WordPress 的一項功能,可促進網站與 Web 或行動應用程式之間的連線。 從 WordPress 3.5 開始自動啟用。

但是,它也可以作為放大網站上的暴力或 DDoS 攻擊的潛在工具。

啟用 XML-RPC 後,駭客可以使用單一函數使用數千個密碼進行多次登入嘗試,而沒有啟用 XML-RPC 時,每個密碼都需要單獨嘗試。 這帶來了重大的安全風險。

為了避免這種風險,如果您不主動使用 XML-RPC,建議您透過在網站的 .htaccess 檔案中新增程式碼來停用 XML-RPC。

使用 FTP 用戶端或主機控制面板存取您網站的文件,找到根目錄中的 .htaccess 文件,然後新增以下程式碼:

 # Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

但如果您不想使用此方法,您可以使用 WordPress 安全插件,例如 Simple Disable XML-RPC。

安裝並啟用插件,啟動後導覽至「簡單停用 XML-RPC」 ,選取「停用 XML-RPC」選項,然後儲存變更。

儲存變更

如果您使用前面提到的 Web 應用程式防火牆,那麼防火牆可以處理此問題。

停用盜鏈

停用熱連結是一項安全措施,有助於保護您網站的頻寬並防止其他人直接連結到您網站的圖像和其他媒體檔案。

盜鏈是指在其他網站上使用您網站上託管的圖像或媒體 URL,未經您的許可使用您伺服器的資源。

要輕鬆停用熱鏈接,請安裝並啟動 All-In-One Security (AIOS) WordPress 外掛。

啟動後,請前往WP Security → Filesystem Security ,然後選擇檔案保護標籤。 向下捲動並開啟防止影像盜鏈部分如下所示。

個人盜鏈

請記得儲存您的設定。

停用目錄索引和瀏覽

停用目錄索引和瀏覽是一項重要的安全措施,可防止未經授權存取您的網站目錄內容。

預設情況下,某些 Web 伺服器允許目錄索引,這表示如果目錄中不存在索引檔案(如index.html 或index.php),伺服器將顯示該目錄中的檔案和資料夾清單。

可濕性粉劑包括

這可能會暴露敏感訊息,並使攻擊者更容易識別漏洞。

為了防止未經授權存取您的文件、複製圖像和洩露您的目錄結構,強烈建議停用目錄索引和瀏覽。

透過 FTP 用戶端或主機控制面板存取您網站的檔案。 在 WordPress 安裝的根目錄中,找到 .htaccess 檔案。

在文字編輯器中開啟 .htaccess 檔案並在末尾附加以下程式碼:

 # Disable Directory Indexing and Browsing Options -Indexes

將變更儲存到.htaccess檔案中,然後將其上傳回您的伺服器,如有必要,替換了現有檔案。

使用安全標頭

安全標頭指示瀏覽器處理網站的某些方面,從而提供額外的保護,以防止常見的安全漏洞。

以下是一些常見的安全標頭及其好處:

  • X-XSS保護標頭封鎖惡意腳本注射,以防止跨網站腳本(XSS)攻擊。
  • X-content-type-options標題可避免MIME類型嗅聞所引起的安全漏洞。
  • 嚴格的傳輸安全(HSTS)標頭透過執行HTTPS確保安全連接。
  • 內容 - 安全性 - 政策(CSP)標頭允許設定安全策略以防止各種攻擊。

因此,要在WordPress網站上實現這些安全標頭,您將需要安裝和啟用安全標頭產生器外掛程式。

安裝後,導航至“安全標頭”部分。 在那裡,您可以分發時間並將外掛程式配置為您的喜好。

安全標頭

在實施安全標頭時,必須徹底測試您的網站,以確保它們不會與任何現有功能發生衝突,因為它們傾向於打破網站。

此外,您可以使用SecurityHeaders.com(例如SecurityHeaders.com)來檢查安全標頭的有效性和實作。

如果您使用安全插件,例如“多合一安全性(AIO)”或“ WordFence”,則可以使用其選項輕鬆配置網站的安全標頭,從而消除了對較早插件的需求。

3結論

確保您的WordPress網站對於保護其免受潛在威脅和脆弱性至關重要。

因此,安裝強大的安全插件,例如“多合一安全性(AIO)”,因為它提供了各種功能,其中包括本文中討論的大多數安全措施。

但是,僅安裝安全插件還不夠。 您需要花時間查看所有可用選項並自訂插件的設定以滿足您的需求。

但是,如果外掛程式未涵蓋的獨特安全要求,請考慮安裝其他外掛程式或使用自訂程式碼來滿足這些需求。

在更改程式碼或啟動新外掛程式以減輕風險之前,備份您的網站始終是一個好習慣。

此外,定期更新WordPress插件,審查通知或結果,並保持最新的安全新聞和最佳實踐,可以大大降低安全漏洞的風險。

這篇文章有助於您確保WordPress網站嗎? 如果有的話,可以隨意透過推文@rankmathseo分享您的想法。