全球約有 31.9% 的網(wǎng)站使用WordPress 作為其內(nèi)容管理系統(tǒng) (CMS)，互聯(lián)網(wǎng)上每天還有另外 50,000 個(gè)新網(wǎng)站也使用 WordPress。如果這還不足以讓您相信 WordPress 是 CMS 市場的主導(dǎo)者，請?jiān)倏紤]一下 Internet 上排名前 10,000 的網(wǎng)站，其中 3,845 個(gè)由 WordPress 提供支持。顯然，這一切對 WordPress 來說都是好事，但擁有這種流行度也有一個(gè)小缺點(diǎn)——CMS 巨頭也是試圖滲透網(wǎng)站和網(wǎng)絡(luò)安全系統(tǒng)的黑客最熱門的目標(biāo)。

由于其在全球范圍內(nèi)的流行和作為內(nèi)容管理系統(tǒng)的壓倒性優(yōu)勢，它是一個(gè) CMS，它經(jīng)常成為犯罪分子的目標(biāo)，他們試圖劫持網(wǎng)站數(shù)據(jù)并持有它以勒索贖金或進(jìn)行其他類型的安全威脅。這并不意味著 WordPress 的安全系統(tǒng)天生就很弱——事實(shí)上恰恰相反。但是，無論其當(dāng)前的安全系統(tǒng)多么強(qiáng)大，WordPress 的早期版本在很大程度上仍然安裝，而那些是最容易受到攻擊的版本。如果你參考這個(gè)更新的 WordPress 統(tǒng)計(jì)數(shù)據(jù)，在所有被黑的 WordPress 網(wǎng)站中，39.3% 是最新版本之前的版本，僅僅是因?yàn)樗鼈儾话ㄗ钚碌谋Ｗo(hù)。

如果您有一個(gè) WordPress 網(wǎng)站，您應(yīng)該優(yōu)化以下內(nèi)容以保護(hù)它：

1. 確保您使用的是最新版本，因?yàn)樵摪姹緦凶钚碌陌踩δ?/p>

2. 保持所有插件最新，因?yàn)樗鼈円踩菀资艿焦簦绕涫腔ヂ?lián)網(wǎng)上最新的網(wǎng)絡(luò)威脅

3. 遵循下面列出的一些建議，因?yàn)檫@些都是經(jīng)過驗(yàn)證的阻止網(wǎng)絡(luò)攻擊的技術(shù)。

阻止暴力攻擊

雖然任何人幾乎不可能猜出正確的密碼和用戶名以進(jìn)入您的 WordPress 系統(tǒng)，但計(jì)算機(jī)猜出它要容易得多。對于 WordPress 網(wǎng)站尤其如此，因?yàn)橄到y(tǒng)將允許您繼續(xù)猜測密碼或用戶名，即使您繼續(xù)輸入錯(cuò)誤的條目也是如此。

當(dāng)然，這是您可以更改的默認(rèn)情況，但許多人并不知道它可以更改，并且他們保留默認(rèn)行為。這使您的 WordPress 網(wǎng)站容易受到暴力攻擊。為了防止這種情況發(fā)生，您可以使用一個(gè)簡單的插件來阻止任何在輸入錯(cuò)誤次數(shù)達(dá)到指定次數(shù)后試圖訪問您網(wǎng)站的用戶的 IP 地址。一旦你安裝了Login Lockdown 插件，這個(gè)漏洞就會(huì)被關(guān)閉，暴力攻擊將不再可能。

重命名您的 WP 登錄 URL

默認(rèn)情況下，WordPress 允許所有人通過導(dǎo)航到您網(wǎng)站上提供的wp-admin或wp-login.php URL 輕松登錄。每個(gè)人，包括黑客,?意識(shí)到這一事實(shí)，所以任何有犯罪意圖的人都會(huì)知道登錄頁面的確切位置，這使得它容易受到各種類型的安全威脅。

但是，如果黑客不知道您的登錄頁面在哪里，他們將無法對您的網(wǎng)站進(jìn)行任何攻擊。隱藏登錄頁面并防止網(wǎng)絡(luò)罪犯找到它的最有效方法是簡單地重命名 URL。您可以使用登錄鎖定（如上所述）重命名您的登錄頁面 URL，使其具有您選擇的自定義字符串。一旦這個(gè)插件被激活，它會(huì)將所有訪問 wp-admin 的嘗試重定向回您的主頁。

有一種粗略但有效的方法可以更改 wp-login.php 文件的名稱。您所需要的只是訪問您站點(diǎn)的文件并手動(dòng)創(chuàng)建一個(gè)新的登錄文件。以下是步驟：

創(chuàng)建一個(gè)新文件

1. 復(fù)制 wp-login.php 中的代碼，然后將其粘貼到新文件中。

2. 用新文件名替換 wp-login.php 的每個(gè)實(shí)例。您可以使用快捷方式鑰匙查找并替換以幫助您。

3. 刪除舊的 wp-login.php 文件。

通過您的新 URL 登錄。

為您的網(wǎng)站使用 SSL 協(xié)議

您應(yīng)該為 WordPress 網(wǎng)站使用的防線之一是安裝安全套接字層 (SSL) 協(xié)議，因?yàn)樗梢员ＷC兩個(gè)網(wǎng)站之間的任何連接都是安全的。每當(dāng)兩個(gè)網(wǎng)站連接時(shí)，大量信息和其中大部分信息將被視為敏感信息。

您可以為您的 WordPress 網(wǎng)站獲取多種類型的 SSL。AltusHost 為您提供3 種類型的 SSL 證書，您可以將它們用于您的 WordPress 網(wǎng)站。您可以按照以下步驟從 cPanel輕松安裝 SSL 證書：

1. 登錄到您的控制面板。

2. 在“安全”選項(xiàng)下，單擊“SSL/TLS 管理器”

3. 在“安裝和管理 SSL”下，選擇“管理 SSL 站點(diǎn)”

4. 復(fù)制您的證書代碼，包括 —–BEGIN CERTIFICATE—– 和 —–END CERTIFICATE—– 并將其粘貼到“Certificate: (CRT)”字段中

5. 點(diǎn)擊“按證書自動(dòng)填充”

6. 將中間證書鏈 (CA Bundle) 復(fù)制并粘貼到下面的框中證書權(quán)威包 (捆綁式)

7. 點(diǎn)擊“安裝證書”

如果沒有安裝 SSL 協(xié)議，大部分信息將以普通文本形式來回發(fā)送。這意味著如果它被黑客攔截，它很容易被盜。如果安裝了 SSL 協(xié)議，則不會(huì)發(fā)生這種情況，因?yàn)樗褂靡环N加密算法，如果沒有密鑰，數(shù)據(jù)將無法讀取。

實(shí)施雙因素身份驗(yàn)證

通常，您只需提供用戶名和密碼即可登錄網(wǎng)站，這被稱為單因素身份驗(yàn)證。為了增加讓任何人侵入您的系統(tǒng)的難度，您可以通過要求用戶識(shí)別的輔助方法來實(shí)現(xiàn)雙因素身份驗(yàn)證。

一旦用戶正確提供了用戶名和密碼，您就可以向他們詢問他們的手機(jī)號(hào)碼，這樣您就可以向該手機(jī)發(fā)送一個(gè)一次性密碼。然后必須在屏幕上輸入密碼才能獲得訪問權(quán)限?；蛘撸谡_輸入用戶名和密碼后，您可以要求用戶回答他們之前已經(jīng)提供答案的秘密安全問題。可以使用已有的免費(fèi)插件安裝雙因素身份驗(yàn)證。

只允許通過電子郵件登錄

猜測某人的用戶名比猜測他們的電子郵件地址要容易得多，尤其是因?yàn)殡娮余]件地址往往要長得多。您可以通過強(qiáng)制用戶使用他們的電子郵件地址而不是用戶名登錄來提高網(wǎng)站的安全性。

任何試圖猜測電子郵件地址的黑客都必須知道地址的本地部分以及域名和頂級(jí)域所需的字符。這使得猜測變得更加困難，即使是在使用計(jì)算機(jī)進(jìn)行暴力攻擊時(shí)也是如此。為了防止用戶使用他們的用戶名登錄并強(qiáng)制使用電子郵件登錄，您可以安裝 WP 電子郵件登錄插件。

密碼保護(hù)您的管理目錄

您可以通過在允許任何人訪問 wp-admin 目錄之前要求用戶名和密碼來為您的系統(tǒng)添加額外的安全層。這將迫使任何有犯罪傾向的人猜測兩組用戶名和密碼才能進(jìn)入您的系統(tǒng)。如果您的系統(tǒng)位于 Apache Web 服務(wù)器上，那么實(shí)現(xiàn)這一點(diǎn)的最簡單方法是，因?yàn)?Apache 使您可以輕松地使用密碼保護(hù)系統(tǒng)上的任何目錄。如果 Apache 服務(wù)器不支持您的系統(tǒng)，您仍然可以通過與操作系統(tǒng)交互或安裝名為 AskApache Password Protect 的免費(fèi)插件來手動(dòng)執(zhí)行此操作。

禁止文件編輯

WordPress 允許管理員編輯系統(tǒng)中的任何插件文件和任何主題。由于這是事實(shí)，如果您的任何管理員帳戶被網(wǎng)絡(luò)罪犯成功入侵，他/她將能夠在您現(xiàn)有的代碼中插入有害或惡意代碼。比這更糟糕的是，當(dāng)發(fā)生這種滲透時(shí)，它幾乎是檢測不到的，因此有害活動(dòng)可以在后臺(tái)進(jìn)行，而您卻根本沒有意識(shí)到。

防止這種情況的唯一方法是禁止文件編輯，這可以通過簡單地在 wp-config.php 文件中添加一行代碼來實(shí)現(xiàn)。這是您應(yīng)該添加的代碼行：

定義（'DISALLOW_FILE_EDIT'，真）；

一旦您插入了這行簡單的代碼，它將具有禁止從您的 WordPress 儀表板編輯任何類型的文件的效果，并且您將擁有一個(gè)額外的安全層。

上面的提示很簡單，但對于提高 WordPress 網(wǎng)站的安全性很有用，尤其是當(dāng)它是一個(gè)新網(wǎng)站時(shí)。如果您想為您的 WordPress 網(wǎng)站定制一個(gè)環(huán)境，建議使用 WordPress 主機(jī)托管它。您將獲得 WordPress 網(wǎng)站的優(yōu)化性能、安全性和易用性。