鑰匙要點

通過根據(jù)安全性和聲譽而不是價格選擇主機來確定服務(wù)器安全性的優(yōu)先級。確保主機運行穩(wěn)定的服務(wù)器軟件版本，啟用服務(wù)器級防火墻，允許頻繁備份和還原，并具有入侵檢測。
• >
>始終將WordPress，主題和插件更新到最新版本后，它們可用。使用密碼管理器生成復雜的密碼并將其安全存儲。
• >
>通過使用HTTP Auth在登錄屏幕級別添加額外的保護層，以防止蠻力攻擊，監(jiān)視試圖登錄，鎖定它們并將管理用戶名更改為您自己的名稱或其他內(nèi)容的IP地址否則。
>使用WordPress社區(qū)定期更新并高度評價的WordPress安全插件。定期刪除未使用的插件并替換未支撐的插件以最大程度地減少潛在漏洞。
• >

>沒有爭議WordPress的受歡迎程度，WordPress為全球7460萬個網(wǎng)站提供動力，而Technorati的前100位博客中有48％由該平臺管理。但是，在在線世界中，任何受歡迎的事物都更開放，并且WordPress也不例外。但是，往往會擊中WordPress網(wǎng)站的攻擊類型（除非您是一個大品牌）通常是由沒有大量技術(shù)知識的人進行的。這些通常被稱為“腳本孩子”，因為它們使用常見的代碼，技術(shù)和套件來破解目標站點。

好消息是，這意味著通?？梢暂p松，輕松地處理攻擊。不必進入攻擊會造成損害的階段，因為大多數(shù)人首先可以防止大多數(shù)。因此，今天，我們將研究如何確保安裝并避免使用常見的黑客。 從服務(wù)器開始

>在考慮確保網(wǎng)站之前，您應該從頭開始，這意味著要確保您的托管服務(wù)器首先是安全的。從基礎(chǔ)知識開始，您應該根據(jù)安全性和聲譽選擇主機，而不是基于價格。雖然我確定那里有一些不錯的便宜主人，但在大多數(shù)情況下，每月花費2美元不會削減芥末。

>

>大多數(shù)托管的WordPress托管服務(wù)都在安全托管方面享有聲譽。但是，它們不允許某些與性能相關(guān)的插件，因此您應該先檢查一下，以確切查看您擁有哪些訪問和級別的控制級別。

大多數(shù)提供：

• >托管WordPress托管
• 自動安全更新
• 每日備份
• 一鍵式還原點
• >自動緩存
• >頂級安全

您決定與您一起去的任何主機都應該檢查他們提供以下內(nèi)容：>

運行服務(wù)器軟件的穩(wěn)定版本和補丁
啟用服務(wù)器級防火墻
>允許您備份并經(jīng)常輕松地恢復（站點和數(shù)據(jù)庫）
• >
入侵檢測

>托管主機（例如WPEngine）使用通過CDN傳遞的緩存，因此，如果您真的不想使用托管的WordPress主機，那么請考慮使用與W3總數(shù)等緩存插件實現(xiàn)CDN緩存。這是一種設(shè)置網(wǎng)站的簡單方法，以便所有通過CDN卡車的流量也通過安全套接字層（SSL/TLS）。如果您需要手掌握這些技術(shù)，我建議MaxCDN的以下視覺指南。為了完全披露，我為MaxCDN工作，但我敢肯定，您會發(fā)現(xiàn)它們是有用的資源：

什么是cdn？
> SSL的工作原理
>使用W3的WordPress使用CDN
• >
不幸的是，在共享服務(wù)器上的WordPress安裝，而不是VPS或?qū)Ｓ梅?wù)器上的WordPress安裝通常以最容易容易的方式安裝和配置，但不一定是最安全的。

>

請注意，以下配置適用于熟悉編碼或基本Sysadmin任務(wù)的高級用戶。如果不是，請要求您的網(wǎng)絡(luò)開發(fā)人員為您設(shè)置此設(shè)置。

>登錄，密碼和插件

對此的快速詞可以重復重復，因為超過70％的WordPress安裝很容易受到攻擊。始終確保在安裝WordPress后，您就可以在最新版本后立即更新到最新版本。您的主題和您使用的所有插件也是如此。您的服務(wù)器軟件也是如此。對于你們中的許多人來說，這聽起來可能很明顯，但是統(tǒng)計數(shù)據(jù)不言而喻，安裝了該平臺的許多較舊版本。 在密碼方面，我每天都會遇到人們，他們?nèi)匀皇褂谩?CompanyName123”作為密碼，這些人是技術(shù)行業(yè)中的人，應該更了解。因此，對于您自己和其他所有用戶，生成復雜的密碼并存儲在密碼管理器中，例如LastPass，它更安全。>

應用自動更新

為了確保自動在WordPress中進行次要更新和重大更新，您可以對將應用它們的代碼進行少量更改。這消除了您手動執(zhí)行此操作的需求（僅將次要更新應用于WordPress v.3.7及以后），但是您應該確保您可以在出現(xiàn)問題并將您的網(wǎng)站帶走的情況下啟用自動，頻繁的備份。
啟用更新，將以下代碼應用于您的wp-config.php文件：>
>更常見的是，如果您使用不經(jīng)常更新的插件，則會在自動更新中遇到問題，因此請嘗試確保維護您安裝的插件并在可能的情況下提供支持。

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

禁用PHP錯誤報告
>如果您使用的插件或主題會引發(fā)錯誤，那么結(jié)果錯誤消息可能會顯示您的服務(wù)器路徑，而黑客可能會截獲。考慮到這一點，您應該通過將以下代碼添加到wp-config.php文件中禁用錯誤??報告：>

另外，如果您在編輯配置文件時不自信，那么您可以要求您的Web主機為您禁用它。

停止蠻力攻擊

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

如果您要監(jiān)視WordPress網(wǎng)站上有多少登錄嘗試，您可能會感到震驚。這些是通用攻擊，可以通過使用復雜的密碼在某種程度上預防。蠻力攻擊通常來自試圖猜測您的管理員密碼的僵尸網(wǎng)絡(luò)。您可以通過使用HTTP Auth。 為此，您首先需要通過設(shè)置.htaccess密碼保護來保護您的目錄。完成此操作后，您需要將以下代碼添加到您的.htaccess文件：>
>這將添加身份驗證框，該驗證框提示您輸入用戶名和密碼，然后您將需要在普通的WordPress登錄屏幕上登錄 - 您當然應該對這兩個密碼使用不同的密碼。

>您還可以通過監(jiān)視試圖登錄然后將其鎖定的IP地址來防止蠻力攻擊?；蛘?，您只需將管理用戶名從“ admin”更改為您自己的名稱或其他內(nèi)容，然后刪除默認的管理用戶配置文件。您和您的網(wǎng)站管理員/開發(fā)人員確實應該是整個網(wǎng)站上唯一具有行政權(quán)利的人。 基于URL的exploits

對于試圖通過提出應該返回錯誤但有時完成的URL請求來找到網(wǎng)站中的弱點的黑客來說，這些確實是一個黑暗中的刺傷。

>

URL可能看起來像這樣：http：//yourwebsite.com/your/files/%3g/config >

>通常，黑客將在URL中使用開放式支架，首先要克服這一點，因此有必要生成403禁止頁面以停止任何包含括號的請求。為此，只需將以下行粘貼到您的.htaccess文件中：>

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

要創(chuàng)建一個更復雜的規(guī)則集，您不需要自己編寫所有代碼。如果您熟悉使用.htaccess，并且您的網(wǎng)站在Apache服務(wù)器上，那么您可以使用5G防火墻，這是公共漏洞的黑名單。您也不必使用所有線路，因為它的模塊化，如果確實會產(chǎn)生錯誤，則可以逐條刪除線路直到發(fā)現(xiàn)問題為止。

您可以通過在文件中添加以下行來保護.htaccess文件本身：>

WordPress安全插件

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

>當然，您也可以使用一個可用于WordPress的安全插件之一。在安裝之前，您應該檢查使用您使用的任何插件是否經(jīng)常支持和更新。如果是這樣，那么您還應該查看評分和評論，以確定WordPress社區(qū)認為是最好的。

也請記住，如果您的安裝中有很多插件，請定期刪除任何不使用的內(nèi)容。問問自己，任何給定插件允許您的功能是否真的是必要的，并削減了您可以做的功能。對于您已停用的那些插件，您還應該刪除它們，因為它們?yōu)楹诳吞峁┝藵撛诘姆椒?。如果不再支持插件，那么您應該尋找替代方案，因為它一定會在某個時候創(chuàng)建??漏洞，如果尚未創(chuàng)建漏洞。

> 在大多數(shù)情況下，WordPress安全是使用常識，并理解在很多時候，黑客和惡意軟件都可以被最終用戶置于錯誤。在大多數(shù)情況下，黑客通過軟件中的利用來進入，因此，如果您確保始終擁有最新版本，則可以在保護自己方面做得很好。黑客尋找最簡單的路線，除非他們具體針對您，否則請加強您的網(wǎng)站，并且不要讓他們輕松。

>

進一步閱讀
如果您在閱讀更多信息方面很有趣，這里有一些與SitePoint上WordPress安全有關(guān)的文章，值得一看：

>

您可能對WordPress安全插件不了解的知識

>如何保護自己免受Rogue WordPress插件的侵害

WordPress維護的權(quán)威指南
• >托管WordPress托管：PROS和CONS
• >使用Google Authenticator
使用WordPress的2步驗證
• >輕松地發(fā)現(xiàn)WordPress漏洞
>更新WordPress，插件和主題的指南
防止蠻力攻擊WordPress網(wǎng)站

• 經(jīng)常詢問有關(guān)從黑客和DDOS攻擊中授予WordPress的問題

  >將我的WordPress網(wǎng)站免于黑客的最佳實踐是什么？

  以保護您的WordPress網(wǎng)站免受黑客的保護，至關(guān)重要的是，將WordPress核心，主題和插件更新到最新版本至關(guān)重要。這些更新通常包括可以保護您的網(wǎng)站免受已知漏洞的安全補丁。此外，在WordPress管理員帳戶中使用強，獨特的密碼，并限制登錄嘗試以防止蠻力攻擊。安裝信譽良好的安全插件還可以通過掃描惡意軟件并阻止可疑活動來提供額外的保護。

  >

  >如何保護我的WordPress站點免受DDOS攻擊？通過實施可以過濾惡意流量的Web應用程序防火墻（WAF）。 CloudFlare和Sucuri之類的服務(wù)提供可以保護您的網(wǎng)站免受DDOS攻擊的WAF。此外，使用內(nèi)容輸送網(wǎng)絡(luò)（CDN）可以幫助跨多個服務(wù)器分配流量，從而減少DDOS攻擊的影響。定期備份您的網(wǎng)站還可以確保您可以在攻擊時快速恢復。
  什么是Web應用程序防火墻（WAF），它如何保護我的WordPress網(wǎng)站？ Web應用程序防火墻（WAF）是一種安全措施，可監(jiān)視，過濾和阻止Web應用程序的HTTP流量。它通過識別和阻止常見攻擊模式（例如SQL注入和跨站點腳本（XSS））來保護您的WordPress站點。通過實施WAF，您可以保護網(wǎng)站免受各種類型的攻擊，包括DDOS攻擊。

  >

  >我如何確保我的WordPress密碼堅固且安全？

  確保您的WordPress密碼堅固且安全，結(jié)合使用大寫字母和小寫字母，數(shù)字和特殊字符。避免使用通用單詞或短語，并且切勿使用您的個人信息，例如您的名字或出生日期?？紤]使用密碼管理器生成和存儲復雜的密碼。此外，定期更改密碼，從不為多個帳戶使用相同的密碼。

  >使用內(nèi)容輸送網(wǎng)絡(luò)（CDN）為我的WordPress站點使用什么好處？ （CDN）可以提高WordPress網(wǎng)站的性能和安全性。通過在世界各地的多個服務(wù)器上分發(fā)網(wǎng)站的內(nèi)容，CDN可以減少主服務(wù)器上的負載并更快地將內(nèi)容交付給用戶。這可以改善您網(wǎng)站的速度和用戶體驗。此外，CDN可以通過在其網(wǎng)絡(luò)上分發(fā)流量來幫助保護您的網(wǎng)站免受DDOS攻擊。

  >如何將登錄嘗試限制到我的WordPress站點？

  >將登錄嘗試限制到WordPress站點可以幫助防止蠻力攻擊。您可以通過安裝提供此功能的安全插件來做到這一點。在一定數(shù)量的登錄嘗試失敗后，這些插件可以阻止IP地址。您還可以設(shè)置鎖定的持續(xù)時間并自定義允許的登錄嘗試次數(shù)。

  >

  >我應該多久備份一次WordPress網(wǎng)站？

  >

  備份的頻率取決于您多久更新一次地點。如果您定期添加或更新內(nèi)容，則應考慮每日備份。如果您的網(wǎng)站不經(jīng)常變化，則每周或每月備份可能就足夠了。無論頻率如何，請確保將備份存儲在安全的位置中，并考慮使用提供自動備份的備份服務(wù)。

  > WordPress的一些知名安全插件是什么？ WordPress的知名安全插件，包括WordFence，Sucuri和Ithemes Security。這些插件提供了一系列功能，例如惡意軟件掃描，防火墻保護和登錄安全性。如果他們在您的網(wǎng)站上檢測到任何可疑活動，他們也可以向您發(fā)送警報。

  >如何監(jiān)視WordPress網(wǎng)站的安全性？

  >可以通過監(jiān)視WordPress網(wǎng)站的安全性。各種方法。安全插件通常提供監(jiān)視功能，使您了解任何潛在的威脅或可疑活動。定期查看網(wǎng)站的訪問日志也可以幫助確定任何異常行為。此外，考慮使用提供實時監(jiān)視和警報的服務(wù)。

  >

  如果我的WordPress站點被黑客入侵，該怎么辦？

  如果您的WordPress網(wǎng)站被黑客入侵，則第一步是識別并刪除惡意軟件。這可以使用安全插件或?qū)I(yè)惡意軟件刪除服務(wù)來完成。刪除惡意軟件后，將所有WordPress核心，主題和插件更新為最新版本。更改所有密碼并查看用戶帳戶，以確保未創(chuàng)建未經(jīng)授權(quán)的帳戶。最后，從干凈的備份恢復您的網(wǎng)站，并密切監(jiān)視您的網(wǎng)站以進行任何其他可疑活動。

  >

以上是確保WordPress抵抗黑客和DDOS攻擊的詳細內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！