包全 WordPress 网站的六个技巧

即使初学者也可以，并且应该采取这些步骤来包全他们的 WordPress 网站免受网络攻打。

WordPress 曾经驱动了互联网 30% 的网站，它是环球上增长最快的 内容治理系统content managementsystem(CMS)，而且不美观出要素：经过少量可用的定制化代码和插件、一流的 搜查引擎优化Search EngineOptimization(SEO)，以及在博客界超高的佳誉度，WordPress 赢得了很高的出名度。

但是，随着出名度而来的，也带来一些不太好的关注。WordPress 是入侵者、恶意软件和网络攻打的经常出现指标，理想上，在 2019 年被黑客攻打的 CMS中，WordPress 约占 90%。

无论你是 WordPress 新用户或许有阅历的开发者，这里有一些你可以采取的关键步骤来包全你的 WordPress 网站。以下 6个关键技巧将协助你起步。

1、选用牢靠的托管服务器

服务器是一切网站有形的基础，没有它，你不能在线颁布你的网站。但是服务器的作用远不止起便捷的托管你的网站，它也要对你的网站速度、性能和安保担任。

第一件要做的事件就是审核服务器在它的套餐中能否蕴含 SSL 安保协定。

无论你是运转一个小博客或是一个大的在线商店，SSL 协定都是一切网站必需的安保性能。假设你正在启动线上买卖，你还须要 初级 SSL 数字证书，但是对大少数网站来说，基本收费的 SSL 证书就很好了。

其余须要留意安保性能包括以下几种：

另外除了这些数字安保性能之外，你的服务器供应商的 物理安保措施也是值得思考的。这些包括用安保警卫、闭路监控和二次验证或动物识别来限度对数据中心的访问。

2、经常使用安保插件

包全你的网站安保最有效且容易的方法之一是装置一个安保插件，比如 Sucuri，它是一个 GPLv2容许的开源软件。安保插件是十分关键的，由于它们能将安保治明智能化，这象征着你能够集中精神运转你的网站，而不是花少量的期间来与在线要挟作奋斗。

这些插件探测、阻止恶意攻打，并提示你须要留意的任何疑问。简言之，它们继续在后盾运转，包全你的网站，这象征着你不用坚持 7 天 24小时地坚持苏醒，与黑客、破绽和其余数字渣滓奋斗。

一个好的安保插件会收费提供应你一切必要的安保性能，但是一些初级性能须要付费订阅。举个例子，假设你想要解锁 Sucuri 的网站防火墙 ，你就须要付费。开启网站运行防火墙web applicationfirewall(WAF)阻挠经常出现的要挟，并为给你的网站参与一个额外的安保层，所以入选用安保插件的时刻，寻觅带有这特性能的插件是一个好的主意。

3、选用值得信赖的插件和主题

WordPress 的快乐在于它是开源的，所以任何人、每团体都能提供他们开发的主题和插件。但入选用高品质的主题和插件时，这也抛出一些疑问。

在筛选收费的主题或插件时，有一些设计较差，或许更蹩脚的是，或许会暗藏恶意代码。

过时的或设计不良的主题和插件可以为攻打者进入你的网站留下“后门”或失误，这就是为什么选用时要审慎。但是，你也应该提防有效或许破解的主题。这些曾经黑客破坏了的初级主题被合法开售。你或许会购置一个有效的主题，它看起来没什么疑问，但会经过暗藏的恶意代码破坏你的网站。

为了防止有效主题，不要被打折的多少钱所吸引，一直坚持牢靠的主题商店，比如官网的 WordPress目录。假设你在其它中央寻觅，坚持选用大型且值得信赖的商店，比如 Themify ，这个主题和插件商店自从 2010 年就曾经在运营了。Themify确保它的一切 WordPress 主题经过了 谷歌友好移动Google Mobile-Friendly 测试，并在 GNU 通用公共容许证 下开源。

4、运转活期更新

这是 WordPress 的基本规定： 一直坚持你的网站最新。但是，不是一切人都坚持了这个规定，只要 43% 的 WordPress 网站运转的是最新版本。

疑问是，当你的网站过时的时刻，由于它在安保和性能修复方面落后的要素，容易遭到缺点、破绽、入侵和解体的影响。过时的网站不能像更新的网站一样修复破绽，攻打者能够分辨出哪些网站是过时的。这象征着他们能够依此来搜查最易受攻打的网站并袭击它们。

这就是为什么你一直要运转最新的 WordPress 版本的要素。为了坚持网站安保处于最强的形态，你必定更新你的插件和主题，以及你的外围 WordPress软件。

假设你选用一个受治理的 WordPress托管套餐，你或许会发现你的供应商会为你审核并运转更新，以了解你的服务器能否提供了软件和插件更新。假设没有，你可以装置一个开源插件治理器。比如 GPLv2 容许的Easy Updates Manager plugin 作为代替品。

5、强化你的登录

除了经过细心选用主题和装置安保插件来创立一个安保的 WordPress 网站外，你还须要防止未经授权的登录访问。

明码包全

假设你在经常使用 容易猜到的短语 比如 “123456” 或 “qwerty” ，第一步要做的增强登录安保最便捷的方法是更改你的明码。

尝试经常使用一个长的明码而不是一个单词，这样它们很难被破解。最好的模式是用一系列你容易记住且不相关的单词兼并起来。

这里有一些其它的提示：

变卦你的登录地址

将自动登录网址从规范格局 yourdomain.com/wp-admin变卦是一个好主意。这是由于黑客也知道这个缺省登录网址，所以不变卦它会有被暴力破解的风险。

为防止这种状况，可以将登录网址变卦为不同的网址。经常使用开源插件比如 GPLv2 容许的 WPS Hide Login可以愈加安保、极速和轻松的自定义登录地址。

运行双要素认证

为了提供更多的包全，阻止未授权的登录和暴力破解，你应该参与双要素认证。这象征着即使有人 确实失掉了你的登录消息，但是他们还须要一个间接发送到你的手机上的验证码，来取得对你的 WordPress 网站治理的权限。

参与双要素认证是十分容易的，只要要装置另一个插件，在 WordPress 插件目录搜查 “two-factor authentication”，而后选用你要的插件。其中一个选用是 Two Factor ，这是一个盛行的 GPLv2 容许的插件，曾经有超越 10000 次装置。

限度登录尝试

WordPress 可以让你屡次猜想登录消息来协助你登录。但是，这对黑客尝试失掉未授权访问 WordPress 网站并颁布恶意代码也是有协助的。

为了应答暴力破解，装置一个插件来限度登录尝试，并设置你准许猜想的次数。

6、禁用文件编辑性能

这不是一个适宜初学者的步骤，除非你是个自信的程序员，不要尝试它。并且必定要先备份你的网站。

那就是说，假设你真的想包全你的 WordPress 网站，禁用文件编辑性能 是 一个关键的措施。假设你不暗藏你的文件，它象征着任何人从治理后盾都可以编辑你的主题和插件代码，假设入侵者进入，那就风险了。

为了拒绝未授权的访问，转到你的 .htaccess 文件并输入：

或许，要从你的 WordPress 治理后盾间接删除主题和插件的编辑选项，可以参与编辑你的 wp-config.php 文件：

保留并从新加载这个文件，插件和主题编辑器将会从你的 WordPress治理后盾菜单中隐没，阻止任何人编辑你的主题或许插件代码，包括你自己。假设你须要复原访问你的主题和插件代码，只要要删除你参与在 wp-config.php文件中的代码即可。

无论你阻止未授权的访问，还是齐全禁用文件编辑性能，采取执行包全你网站代码是很关键的。否则，不受欢迎的访问者编辑你的文件并参与新代码是很容易的。这象征着攻打者可以经常使用编辑器从你的WordPress 站点来失掉数据，或许甚至应用你的网站对其余站点动员攻打。

暗藏文件更容易的模式是应用安保插件来为你服务，比如 Sucuri 。

WordPress 安保概要

WordPress是一个低劣的开源平台，初学者和开发者都应该享用它，而不用担忧成为攻打的受益者。遗憾的是，这些要挟不会很快隐没，所以坚持网站的安保至关关键。

应用以上措施，你可以创立一个愈增强健、更安保的包全水平的 WordPress 站点，并给自己带来更好的经常使用体验。

坚持安保是一个继续的义务，而不是一次性性的审核清单，所以必定要活期重温这些步骤，并在建设和经常使用你的CMS时坚持警觉。