如何強化您的 WordPress 網站以防止黑客入侵

您想讓您的網站如此安全，以至於黑客無法入侵嗎？

雖然沒有網站安全系統是 100% 防黑客入侵的，但您可以採取大量措施來防止黑客入侵以及隨之而來的破壞性後果。

您可以關閉易受攻擊的點並保護常見的目標區域，這樣黑客就會發現攻擊您的網站非常困難。

我們將向您展示強化 WordPress 網站的最簡單方法。我們還將為您提供最佳實踐，以避免使您的網站易受攻擊。

由於這是一份詳細的指南，我們創建了一個目錄，您可以使用它輕鬆瀏覽這篇文章。您將根據難度級別和站點的安全級別找到相應的措施。

強化 WordPress 網站的最簡單方法

WordPress 強化措施包括一次性步驟以及需要定期檢查的措施。

一些強化步驟還需要 WordPress 中的大量技術技能。如果您不精通技術，那麼我們強烈建議您使用 WordPress 強化插件。

這些插件讓您只需單擊一個按鈕即可應用安全強化措施。這意味著您永遠不必自己接觸任何代碼或修改任何文件。

我們最喜歡的安全插件是Sucuri。它有一個強大的防火牆和一個強大的掃描儀來監控你的網站並阻止黑客。

Sucuri 還帶有內置的強化措施，您可以直接在 WordPress 儀錶板中應用這些措施。我們將在下面向您展示如何做到這一點。

第 1 步：安裝 Sucuri

Sucuri 為所有 WordPress 用戶免費提供WordPress 安全插件。

您將可以訪問：

內置安全加固
安全活動日誌
黑名單監控
文件完整性監控
遠程惡意軟體掃描
安全通知
黑客攻擊後的安全措施

如果您想安裝包括 Sucuri 防火牆的完整安全系統，那麼您需要註冊一個每年 199.99 美元起的高級計劃。

安裝並激活插件後，您可以直接從 WordPress 儀錶板訪問和操作安全設置。

第 2 步：生成 API 密鑰

從您的 WordPress 儀錶板，導航到 Sucuri » 儀錶板選項卡。在此頁面上，您將看到「生成 API 密鑰」按鈕。

果汁生成的 api 密鑰

這將打開一個彈出窗口，您的 WordPress 站點和管理員電子郵件已預先填充。如果你願意，你可以改變它。

之後，選中複選框以同意服務條款和隱私政策。然後選擇「提交」按鈕以生成 API 密鑰。

在 Sucuri 中生成 api 密鑰

您會看到一個彈出窗口，說明您的網站已成功註冊。現在您可以前往 Sucuri 儀錶板。

果汁中的成功 API

這樣，您的站點就會在您的站點上激活一個安全掃描程序。它會顯示您的網站是否乾淨，以及您是否在任何阻止列表中。

步驟 3：啟用強化措施

在 Sucuri 儀錶板內，您會找到完整的強化措施列表，只需單擊一個按鈕即可將其添加到您的站點。

導航到 Sucuri » 設置 » 強化選項卡。

果汁硬化標籤

您將在此處看到所有可用選項：

網站防火牆保護：防火牆是阻止黑客和惡意機器人的第一道防線。如果您註冊了專業版，您可以鏈接到您的防火牆帳戶以查看 WordPress 中的統計信息。
驗證 WordPress 版本：檢查您的 WordPress 安裝、主題和插件何時不是最新的。您將看到更新到最新版本的提示，以避免軟體漏洞。
驗證 PHP 版本：確保您的伺服器運行的是最新版本的 PHP。
刪除 WordPress 版本：允許您刪除公開顯示的 CMS 版本，這樣黑客將無法查看您的 WordPress 版本是否已過時。
在上傳目錄中阻止 PHP 文件：您的上傳目錄存儲不需要使用 PHP 運行的文件。這將禁止在您的上傳目錄中執行 PHP 文件。請記住，某些插件確實使用 PHP，因此請在添加之前測試此度量。
在 WP-CONTENT 目錄中阻止 PHP 文件：在 wp-content 中放置一個 .htaccess 文件以阻止任何外部訪問。
在 WP-INCLUDES 目錄中阻止 PHP 文件：在 wp-includes 中放置一個 .htaccess 文件以阻止任何外部訪問。
信息泄漏：在您的網站上查找任何包含您網站的 WordPress 版本的 readme.html 文件並將其刪除。
默認管理員帳戶：檢查主帳戶是否使用「admin」作為用戶名。通過更改此名稱，您可以阻止黑客找出具有最高許可權的帳戶。
插件和主題編輯器：如果黑客闖入了您的網站，這是訪問您網站代碼的一個非常常見的目標。啟用此選項將禁用插件和主題編輯器。這樣其他用戶就無法通過您的 WordPress 管理員訪問和修改敏感文件。
激活自動密鑰更新程序：刷新您的安全密鑰將註銷所有用戶並刪除現有的 cookie。這將減少黑客濫用瀏覽器會話的機會。

要啟用一個選項，請選擇它旁邊的「應用強化」按鈕。如果您想撤消它或刪除強化功能，請單擊現在顯示「恢復強化」的同一按鈕。

應用和恢復硬化

在此列表下方，您還會看到一個選項以允許阻止 PHP 文件。

允許在 sucuri wordpress 強化中被阻止的 php 文件

有時，插件和主題需要訪問您已阻止的某些文件和文件夾。這將允許您有選擇地添加允許的文件路徑，以便您可以維護安全性並僅提供對受信任來源的訪問。

就是這樣。使用 Sucuri 強化您的 WordPress 網站就是這麼簡單。

現在，除了 Sucuri 必須提供的內容之外，您還應該自行採取某些措施來確保您的網站安全。

強化 WordPress 網站的最佳實踐

您需要採取的保護站點的最重要步驟是安裝安全插件。這些插件會定期掃描和監控您的網站，以便在發現任何可疑內容時向您發出警報。以下是我們推薦的頂級插件：

除此之外，您可以遵循以下做法來確保您的網站始終安全。

1. 選擇安全的 Web 主機

您的網站位於由您的網路主機運行的伺服器上。如果您的主機沒有很好地保護其伺服器，黑客可以找到進入您網站的方法。

初學者網站所有者傾向於選擇便宜的共享託管計劃來上手，而很少關注主機採用的安全措施。

我們建議從一開始就使用安全的託管平台，因為黑客會攻擊大大小小的站點。他們找到惡意方式來使用他們入侵的任何網站。

我們的首選虛擬主機也是 WordPress 推薦的Bluehost。

使用我們的Bluehost 優惠券，您可以每月低至 2.75 美元開始使用。此外，您將獲得一年的免費域名和 SSL 證書。

另一個很棒的安全選項是Siteground。

這些主機擁有強大的基礎設施，並始終監控網路是否存在威脅。它們還提供針對DDoS 攻擊的保護，因此您可以確保阻止黑客攻擊您的伺服器。

2. 安裝 SSL 證書

您的網站不斷在瀏覽器和伺服器之間來回發送數據。黑客試圖在傳輸過程中攔截這些數據並竊取它。

防止此漏洞的最佳方法是使用 SSL 證書。SSL（安全套接字層）將啟用加密連接。這意味著在兩個系統之間發送的所有數據都不能被任何人讀取或修改。

當您使用 SSL 時，您會看到您的網站在地址欄中有一個掛鎖以及 HTTPS 而不是 HTTP：

您可以通過您的虛擬主機獲取 SSL 證書。例如，Bluehost 為其所有網路託管計劃提供免費的 SSL 證書。如果沒有，您可以使用真正簡單的 SSL 之類的插件在您的站點上安裝它。

黑客最容易進入的點之一是您的網站登錄頁面。用戶名和密碼通常不足以阻止它們。黑客使用一種稱為蠻力攻擊的方法來猜測您的憑據並簡單地登錄。

因此，這是需要保護的最重要的領域之一。您可以執行以下操作：

始終強制使用安全憑證：確保您使用的用戶名不是「管理員」或您自己的名字，因為黑客很容易猜到它們。至於密碼，我們建議使用包含字母、數字和符號的密碼短語，這樣就不容易破解。當您設置密碼時，WordPress 會告訴您密碼是弱、中還是強，以便您知道是否需要提高密碼強度。
定期使密碼過期：您應該定期更改密碼，但我們知道我們經常忘記這樣做。解決此問題的簡單方法是安裝過期用戶密碼插件。
它會自動強制您網站上的每個用戶在重新登錄之前定期更改密碼。
限制登錄嘗試：在暴力攻擊中，黑客將機器人發送到您的站點以嘗試數千種登錄組合，直到他們找到正確的組合。如果您限制登錄嘗試，則他們必須在 3 次嘗試後停止。您可以使用 Sucuri 和 MalCare 等安全插件啟用此功能，也可以使用您網站上的限制登錄嘗試插件。
使用兩步驗證：這會為您的登錄添加一個兩步驗證過程，您需要提供一個一次性密碼，該密碼通過簡訊、電子郵件或身份驗證器應用程序實時發送給您。
這意味著用戶必須實時驗證自己，這使得黑客很難獲得訪問許可權。
添加 HTTP 身份驗證：HTTP 身份驗證會隱藏您的登錄頁面並顯示一個帶有登錄框的空白頁面。您需要輸入您的 HTTP 憑據才能訪問登錄頁面。
此措施更為極端，您需要訪問您的託管 cPanel 以將其添加到您的站點。如果您以前從未使用過 cPanel，請不要擔心。我們將通過幾個簡單的步驟向您展示如何做到這一點。

登錄到您的網路託管帳戶，訪問 cPanel 並找到「目錄隱私」。

在裡面，從文件夾列表中，找到 wp-admin 文件夾並進行編輯。

在下一頁上，首先啟用「密碼保護此目錄」選項。現在 cPanel 會要求您添加用戶名和密碼。

請確保在退出此頁面之前保存您的設置。現在您的 WordPress 管理目錄受密碼保護。

當您打開 wp-admin 頁面時，您會看到一個登錄提示，要求輸入您剛剛創建的用戶名和密碼。
限制訪問登錄頁面：您只能允許受信任的用戶訪問您的 wp-admin URL。所有其他用戶將自動被阻止查看此頁面，更不用說嘗試登錄了。如果您使用的是 Sucuri，則在儀錶板的訪問控制選項卡下，您可以添加列入白名單的 IP 地址。通過選中此框，Sucuri 將自動僅允許您信任的用戶訪問登錄頁面。