如何保护您的WordPress网站

确保您的网站安全是每个网站所有者都担心的事情。并且有充分的理由：如果您的网站被黑客入侵或出现故障，您可能会失去业务。

wordpress曾经以不安全而闻名。但这些天来，它不再是真的。一些世界上最大的品牌，包括主要的新闻公司和***部门，都在他们的网站上使用 WordPress。如果它不安全，他们就不会使用它。但 WordPress 是开源软件，这意味着任何人都可以访问代码。这意味着黑客可以尝试识别漏洞并加以利用。幸运的是，WordPress 社区在此之上，并定期发布安全更新以修复任何漏洞。因此，只要您的网站是最新的，您就不必担心。

在这篇文章中，我将向您展示一些使您的网站更安全的方法。我将介绍安全方面的最佳实践，并向您展示如何使您的网站不易受到黑客攻击。

让我们从一些最佳实践开始。

WordPress 安全最佳实践

在开始安装安全插件或修改wp-config 之前。为了让您的网站更加安全，您可以遵循一些简单的最佳实践来增强 WordPress 网站的安全性。

这些是：

1. 使用强密码

2. 使您的网站保持最新状态

3. 只从信誉良好的来源购买插件和主题

4. 使用安全托管

5. 禁用主题编辑器

6. 定期备份

7. 使用 SFTP 将文件上传到您的站点

8. 将 SSL 添加到您的网站

9. 安装安全插件

10. 使用安全服务

让我们来看看每一个的含义。

1.使用强密码

使用强密码是抵御黑客的最简单和最有效的防线之一。您应该始终使用包含字母、数字和特殊字符组合的密码，并确保您网站上的其他用户也这样做。

您可以在我的密码有多安全？网站以了解自动系统破解您的密码需要多长时间。我为我的网站使用的密码需要 160 亿年才能破解，所以我认为任何人都不太可能猜到它。

您还可以使用强制强密码之类的插件强制您网站的其他用户使用强密码。或者，如果您安装了 Jetpack，您可以使用该插件强制使用强密码。

2. 让您的网站保持最新状态

确保网站安全的另一种简单但非常有效的方法是确保它是最新的。

一些 WordPress 更新是为了引入新功能。其他是修复错误。但是其中很多会添加安全补丁，并且您要确保您的站点具有这些补丁。

确保在仪表板告诉您时更新您的网站，并定期记录以检查它。这适用于主题和密码以及 WordPress 本身。

或者，您可以安装一个插件，为您管理和自动更新。Easy Updates Manager插件可让您选择要保持更新的主题和插件，并将为您运行定期检查并运行更新。

如果您确实自动更新，请确保定期备份您的站点，以防更新导致问题。

3. 只从信誉良好的来源购买插件和主题

当您选择主题和插件时，重要的是只安装您确信没有错误或恶意代码的主题和插件。

使用免费插件，最好只安装您在主题和插件目录（您可以通过 WordPress 管理员访问）中找到的插件和主题。这些主题经过质量检查，因此您可以确信它们编码良好且不含任何恶意内容。

如果您想从主题或插件目录以外的任何地方下载免费插件，请先停下来仔细检查源代码。如果提供商免费提供插件并且尚未将其提交到官方目录，请问问自己为什么他们可能会这样做。他们可能会这样做，因为他们想向您的网站引入漏洞，或者至少插入垃圾内容或链接。

4.使用安全托管

在选择您的托管服务提供商时，请花时间寻找一家信誉良好的提供商，他们将提供安全性和正常运行时间的保证。像SiteGround这样的专用 WordPress 托管服务提供商将能够帮助您解决可能遇到的任何安全问题，并将采取措施确保其服务器的安全。

您选择的托管计划也会对安全性产生影响。最便宜的托管计划很便宜，因为它们在服务器上拥有数百或数千个客户端和网站。使用该服务器的人越多，引入安全问题的机会就越多。

因此，在您选择超便宜的托管服务提供商之前，请先问问自己从长远来看是否会花费更多。

WordPress 主机特别折扣

对于安全托管，请查看 SiteGround。它带有一个简单的安装程序、免费支持和自动更新。由于我们与 SiteGround 的合作，我们很高兴能够为 自我管理的 WordPress 托管提供 70%的巨大折扣。

5.禁用主题编辑器

主题编辑器或可视化编辑器是 WordPress 管理员中的一个屏幕，可用于编辑主题中的代码。

它可能看起来是一种非常方便的方式来调整你的代码，但它有一些严重的风险。使用主题编辑器编辑代码时，不会备份旧版本。如果您做的事情破坏了您的网站或引入了漏洞，您将无法回滚您的更改，

如果你想在你的主题中编辑代码（或者创建一个子主题来修改你的主题，这样更好），那么你应该使用代码编辑器和 SFTP。

您可以通过在wp-config.php文件中添加两行代码来禁用主题编辑器：

定义（'DISALLOW_FILE_EDIT'，真）；定义（'DISALLOW_FILE_MODS'，真）；

这样，您和您网站的其他用户就不会想用它来进行可能给您带来大问题的快速调整。

注意：只有当你有信心做这种事情时，才修改你的wp-config.php文件。

6. 定期备份

定期备份您的网站是一种很好的做法。这样，如果您的网站被黑客入侵或在更新后中断，您就有了一个可以恢复的最新版本。

安装备份插件并将其设置为至少在您更新站点时自动备份您的站点。因此，如果您每天都向您的网站添加内容，请每天备份。这样，如果您确实必须恢复最近的备份，您将不会丢失太多内容。

7. 使用 SFTP 将文件上传到您的站点

如果您正在编辑和上传文件到您的 WordPress 站点（例如主题和插件文件），那么以最安全的方式执行此操作很重要。

使用SFTP而不是 FTP 意味着文件将在您上传之前被加密。因此，当您将它们传输到您的站点或将它们下载到您的计算机时，没有人可以访问它们。

如果您在公共网络（例如咖啡店Wi-Fi ）上进行此类工作，这一点尤其重要。理想情况下，您应该避免使用公共 Wi-Fi 来管理您的 WordPress 网站中的文件，但实际上我们都曾有过需要紧急上传文件并且迫不及待地想回到更多安全连接。

一个好的托管服务提供商会提供 SFTP 作为其服务的一部分——请他们告诉您如何访问它并设置密钥以在将文件传输到您的站点时使用。

8. 将 SSL 添加到您的站点

将 SSL 添加到您的WordPress站点意味着域名开头的https ://将被替换为https://。

使用 Let's Encrypt 向您的网站添加 SSL 是免费的，它会给您带来两个好处：

• 它将提高您的搜索引擎排名。Google 更重视使用 SSL 确保安全的网站。因此，将其添加到您的网站是有意义的。

• 这将使您的网站更加安全。添加 SSL 意味着在您的服务器和用户浏览器之间发送的数据是加密的。这对于要求用户输入个人数据（甚至是电子邮件地址）的任何网站都是必不可少的。而对于电子商务而言，这一点更为重要。事实上，如果您在没有 SSL 的站点上安装woocommerce，该插件会反复警告您该站点没有应有的安全性。

您可以通过托管服务提供商的仪表板或使用插件，使用 Let's Encrypt 安装免费的 SSL 证书。

9. 安装安全插件

如果您想最终控制站点上的安全性并监视它是否存在任何问题，那么安装安全插件是一个好主意。

安全插件将监控您的站点是否存在停机或安全漏洞，并在出现任何问题时向您发送电子邮件。他们还可以让您配置安全设置以加强您的网站，并使黑客更难进入。

插件目录提供了一系列免费的安全插件，但如果您想要额外的保护，安装高级插件可能是一项不错的投资。通过这种方式，您可以访问高级功能，如增强的防火墙保护、IP 和***/地区阻止，并帮助您的网站在被黑客入侵时恢复在线。

10.使用安全服务

您还可以注册像 Sucuri 这样的安全服务，该服务将监控您的网站，并在它被黑客入侵或出现故障时帮助您修复它。这可能看起来很昂贵——但如果您的网站遭到破坏，您将节省的时间和可能失去的潜在业务将使您值得一试。

Cloudflare 是另一项最初旨在帮助提高网站性能的服务，但也有一项安全服务，可以监控您的网站，帮助您保持其安全，并在它被黑客入侵时为您修复它。如果您还想利用 Cloudflare 的内容交付网络，这是一个不错的选择，这将帮助您的网站运行得更快。

概括

确保您的 WordPress 网站安全是网站管理的重要组成部分。如果您的网站在更新后被黑客入侵或中断，您可能会浪费数小时甚至数天的时间来修复它。而且，如果您必须花钱请人为您修理它，那可能会很昂贵。

如果您遵循上述提示，您将能够保护您的网站免受大多数安全风险的影响，并且知道您的网站运行平稳并且没有被黑客入侵，您可以高枕无忧。您决定走多远以及可以在安全性上花费多少将取决于您的网站和预算，但您当然应该使用安全密码并将您的网站保持在最低限度的更新。