• 主页
  • 文章
  • SEO
  • WordPress 安全检查表 (2023):如何保证网站安全

WordPress 安全检查表 (2023):如何保证网站安全

已发表: 2023-11-10

当您阅读本文时,WordPress 存储库中已有超过 60,000 个插件可用。

这就是 WordPress 的魅力!

但也有可能是每个网站所有者最糟糕的噩梦。 事实上,高达 56% 的 WordPress 漏洞与插件相关,仅 2021 年安全插件 WordFence 就阻止了超过 860 亿次密码攻击。

无论您是遭到黑客攻击还是只是想防范恶意意图,此安全检查表都将帮助您抵御任何网络攻击。

为什么 WordPress 安全对您的在线业务很重要

WordPress 拥有 64.2% 的市场份额,可以肯定地说,无论行业、规模和声誉如何,WordPress 的安全性对于全球 8.1 亿个网站至关重要。 原因如下。

  • 数据保护:您的网站包含敏感数据,包括客户信息、付款详细信息和业务相关内容。 确保其安全性对于防止数据泄露和保护您的声誉至关重要。
  • 维护客户信任:安全的网站可以促进访问者和客户之间的信任。 当人们知道他们的数据是安全的时,他们更有可能与您的网站互动并进行购买。
  • 防止停机:安全漏洞、黑客攻击或恶意软件感染可能会导致网站停机。 这不仅会扰乱您的业务运营,还会损害您的在线形象和利润。
  • 避免法律后果:数据泄露和安全问题可能会导致法律责任,包括罚款和诉讼,特别是在客户数据遭到泄露的情况下。
  • 增强搜索引擎优化:像谷歌这样的搜索引擎在其排名中优先考虑安全网站。 具有 SSL 证书和强大安全措施的安全站点可以提高您的搜索引擎可见性。

WordPress 常见的安全问题有哪些?

尽管 WordPress 平台总体上被认为是安全的,但其开源技术可能会通过插件和主题、SQL、CSRF、文件利用、不安全托管等引入各种漏洞。

一些常见的 WordPress 安全问题包括:

  • 过时的软件:未能定期更新 WordPress 核心、主题和插件可能会使您的网站容易受到已知安全漏洞的影响。
  • 弱密码:使用弱密码或容易猜到的密码使攻击者更容易未经授权访问您的网站。
  • 插件漏洞:选择将不安全的插件添加到您的技术堆栈中会给恶意攻击者带来入侵您网站的机会。
  • 暴力攻击:攻击者通过反复尝试不同的用户名和密码组合来尝试获得访问权限,直到找到正确的组合。
  • SQL 注入:当攻击者将恶意 SQL 代码插入您站点的输入字段时,就会发生这种情况,从而可能获得对您的数据库和敏感信息的访问权限。
  • 跨站点脚本攻击 (XSS):攻击者将恶意脚本注入其他用户查看的网页中,这可能导致数据被盗或站点损坏。
  • 跨站点请求伪造 (CSRF):这涉及欺骗经过身份验证的用户在他们不知情的情况下执行恶意操作。
  • 文件包含漏洞:攻击者利用未经清理的用户输入在您的服务器上包含恶意文件。
  • 垃圾邮件和恶意软件:未能防范垃圾评论邮件和恶意软件可能会导致网站遭到入侵。
  • 网络钓鱼:攻击者可能使用虚假登录页面或电子邮件来诱骗用户泄露登录凭据或其他敏感信息。
  • 数据泄露:配置不当的站点或第三方服务可能会导致数据泄露或用户信息泄露。
  • DDoS 攻击:分布式拒绝服务攻击可能会因流量过多而破坏站点可用性。

LiteSpeed 缓存插件漏洞和安全 WordPress 插件的重要性

流行的 LiteSpeed Cache 插件最近的一个脚本漏洞影响了超过 400 万个网站。

它使具有贡献者级别或更高权限的威胁参与者能够使用插件的短代码将恶意 Web 脚本注入页面。 值得庆幸的是,WordFence 团队及时发现并报告了这一漏洞。

要确保您的技术堆栈不会损害您的网站,请执行以下操作:

  • 检查插件的历史和声誉:大量的活跃安装和积极的评论将帮助您评估插件的可靠性。
  • 分析更新频率:确保插件定期更新,最后一次更新不超过几个月。

WordPress 插件详细信息和技术信息

  • 查看开发人员的支持响应:查看插件的支持论坛,了解开发人员的响应速度和帮助程度。 良好的支持可以表明对插件质量和安全性的奉献。
  • 验证与您的 WordPress 版本的兼容性:不兼容的插件可能会引入安全漏洞或导致功能问题。
  • 评估插件的功能和权限:警惕需要不必要权限或提供不需要的臃肿功能集的插件。 更多的代码可能意味着更多的安全漏洞机会。
  • 执行安全检查:使用 WPScan 等工具来识别插件的任何已知漏洞。 查找与该插件相关的任何安全建议或讨论。

WordFence 的 LiteSpeed 缓存插件安全漏洞文章

  • 从测试环境开始:在实时站点上安装新插件之前,请在临时站点上对其进行测试以监视其行为并确保它不会引入漏洞。
  • 寻找安全认可或认证:某些插件可能有来自信誉良好的第三方公司的安全审核或认证,这可以增加其可信度。
  • 对免费插件保持谨慎:虽然许多免费插件都是安全且维护良好的,但请始终进行尽职调查,因为免费插件可能并不总是提供持续的支持和更新。
  • 定期备份您的网站:即使采取了所有预防措施,定期备份您的网站也很重要。 这并不能防止出现问题,但可以确保您在出现问题时能够快速恢复。

使用插件优化您的速度和性能,确保您的网站安全。 开始使用 NitroPack →

如何检查您的 WordPress 网站是否安全?

如有疑问,您可以首先通过在线网站安全扫描程序(例如 Qualys、SiteLock 或 VirusTotal)运行您的网站。 这些工具可以检查恶意软件、漏洞和其他安全问题。

SiteLock 免费在线网站安全扫描器

此外,您还可以从多个信誉良好的 WordPress 安全插件中进行选择,例如 Wordfence Security、Sucuri Security、iThemes Security、NinjaScanner 和 WPScan。 直接跳转到最佳 WordPress 安全插件,了解更多详细信息和功能,以便为您的网站做出选择。

WordPress 安全要点

保护网站的第一步是执行全面的 WordPress 安全审核。 请按照以下步骤操作:

1. 更新您的 WordPress 核心、主题和插件

保持软件最新是最有效的安全措施之一。 只需访问您的 WP 管理员并检查可用的更新。 WordPress 提供了一种批量更新插件的简单方法。 只需确保在网站更新后进行备份并审核即可。

WordPress 管理员更新菜单

专业提示:从您的技术堆栈中完全删除未使用的插件。

2. 确保您和用户使用强而独特的密码

考虑使用信誉良好的密码管理器,例如 LastPass、Dashlane 或 1Password。 这些工具可以为您生成、存储和自动填充复杂的密码。 强密码有 10 个以上字符,同时使用大写和小写字母,并且不跳过特殊符号。

密码强度示例

3.启用双因素身份验证(2FA)

通过使用 WP 2FA 等插件设置 2FA 来添加额外的保护层,该插件要求用户提供除密码之外的第二种形式的验证。 这里的另一个额外措施是限制登录尝试并为表现出可疑行为的用户设置超时。

4. 备份网站的数据库和文件

如果您对自己的技术技能充满信心:

通过FTP(文件传输协议)或托管提供商提供的文件管理器访问您网站的文件。 将 WordPress 根目录(通常是public_htmlwww 文件夹)中的所有文件下载到本地计算机。 然后,使用phpMyAdmin访问您网站的数据库,该数据库通常可以在您的托管控制面板中找到。 选择您的 WordPress 数据库并导出整个数据库。 将导出的数据库另存为本地计算机上的 SQL 文件。

或者,使用 Updraft Plus 等插件按所需的时间间隔设置自动备份。

Updraft Plus WordPress 插件

5.使用Web应用程序防火墙(WAF)

网站防火墙会在所有恶意流量到达您的网站之前将其阻止。 有两种方法可以做到这一点:

  • DNS 级网站防火墙:仅允许通过云代理服务器路由流量来将真实流量发送到您的 Web 服务器。
  • 应用程序级防火墙:在流量到达您的服务器后以及加载大多数 WordPress 脚本之前对其进行分析。 然而,它的效率并不高,因为它往往会增加服务器负载。

检查最好的 WordPress 防火墙插件。

6. 切换到信誉良好的托管提供商

信誉良好的 WordPress 托管提供商应该提供强大的安全功能、主动监控和响应支持,以确保您的网站安全。

要寻找的功能包括(且不限于):

  • 强大的基础设施安全
  • SSL 证书包含
  • 定期备份
  • 24/7 网络监控
  • DDoS 防护
  • 恶意软件扫描和删除
  • 自动 WordPress 更新
  • 专为 WordPress 配置的服务器级缓存
  • 支持安全文件传输协议 (SFTP)
  • 共享主机上的帐户之间的隔离

查看我们的综合指南,了解如何为您的网站选择合适的网络托管提供商

提高 WordPress 安全性的先进技术

以下技术需要 WordPress 的管理员访问权限和足够的技术知识。 在尝试执行这些步骤之前,请务必备份您的网站并花时间考虑联系 WordPress 安全专家。

将您的 WordPress 网站移至 SSL/HTTPS

SSL(安全套接字层)对用户浏览器和 Web 服务器之间传输的数据进行加密,从而增强站点的安全性。

指示:

  • 从您的托管提供商处购买 SSL 证书或使用免费证书
  • 通过您的托管帐户安装并激活证书
  • 通过转至设置 > 常规并将您的 WordPress 地址 (URL) 和站点地址 (URL) 从 http:// 更新为 https:// 来更新您的 WordPress URL
  • 通过将以下代码添加到 .htaccess 文件来强制使用 SSL:

重写引擎开启
RewriteCond %{SERVER_PORT} 80
 重写规则 ^(.*)$ https://www.yourdomain.com/$1 [R,L]

更改 WordPress 登录页面 URL

默认情况下,可以通过 wp-login.php 或 wp-admin 轻松访问 WordPress 登录页面。 更改此设置有助于防止未经授权的登录尝试。

指示:

  • 编辑 WordPress 根目录中的 .htaccess 文件并添加:

RewriteRule ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

  • mylogin替换为新的登录 URL slug,并将 123 替换为随机字符串。


更改默认的“admin”用户名

默认的“admin”用户名是黑客的目标,因此最好更改它。

指示:

  • 转至用户 > 添加新用户,在 WordPress 中创建新用户。
  • 为新用户分配管理员角色。
  • 注销并使用新的管理员帐户登录。
  • 删除旧的“admin”用户并将所有内容归属于新用户。

禁用文件编辑

WordPress 允许管理员编辑插件和主题的 PHP 文件。 禁用此功能可以增强安全性。

指示:

  • 将以下行添加到您的 wp-config.php 文件中:

定义('DISALLOW_FILE_EDIT',true);

禁用某些 WordPress 目录中的 PHP 文件执行

防止 PHP 在 wp-content/uploads 等目录中执行可以帮助防止恶意脚本运行。

指示:

  • 在要保护的目录中创建一个 .htaccess 文件并添加:


 所有人都否认

更改默认 WordPress 数据库前缀

默认的wp_数据库前缀是众所周知的,因此更改它可以帮助保护您的数据库免受 SQL 注入攻击。

指示:

  • 备份您的数据库。
  • 转到 phpMyAdmin,选择您的数据库,然后选择“操作”选项卡。
  • 在“表前缀”下,将 wp_ 更改为新前缀(例如 wpnew_),然后单击“执行”。

禁用目录索引和浏览

这可以防止黑客看到您目录中的文件。

指示:

  • 将以下行添加到您的 .htaccess 文件中:

选项-索引

在 WordPress 中禁用 XML-RPC

XML-RPC 可用于暴力攻击。 禁用它可以增强安全性。

指示:

  • 将以下代码添加到您的 .htaccess 文件中:

# 阻止 WordPress xmlrpc.php 请求

命令拒绝、允许
所有人都否认

自动注销 WordPress 中的空闲用户:

这可以防止未经授权使用空闲会话。

指示:

  • 将此代码添加到主题的functions.php文件中:

add_action('wp_enqueue_scripts', 'idle_logout');
 函数idle_logout() {
 如果(is_user_logged_in()){
 wp_enqueue_script('idle_logout', '/path-to-your-script/idle-logout.js', array('jquery'), '1.0.0', true);
 }
 }

  • 然后,使用 JavaScript 创建一个idle-logout.js文件来跟踪空闲时间并注销用户。


隐藏 WordPress 版本

泄露 WordPress 版本可以为黑客提供有价值的信息来搜索安全漏洞。

指示:

  • 将以下行添加到主题的functions.php 文件中:

删除操作('wp_head','wp_generator');

阻止盗链

热链接可以通过从其他网站直接链接到您网站的文件来窃取带宽。

指示:

  • 将以下代码添加到您的 .htaccess 文件中:

重写引擎开启
RewriteCond %{HTTP_REFERER} !^$
 RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
 重写规则 \.(jpg|jpeg|png|gif)$ – [NC,F,L]

检查用户角色并设置文件权限

仅将敏感区域的访问权限限制为需要的人,并为服务器上的目录和文件设置适当的文件权限。 限制对关键文件和文件夹的访问。

WordPress 文件和目录使用三位数字代码来表示权限。 每个数字对应一个特定的权限级别:

4:读取(r)
 2:写(w)
 1:执行(x)

WordPress各种文件和目录的建议权限如下:

  • 文件(例如.php、.html): 644(所有者可以读写;其他人可以读取)
  • 目录: 755(所有者可以读、写、执行;其他人可以读、执行)
  • wp-config.php(重要配置文件): 600(所有者可以读写;其他人无权访问)
  • .htaccess(服务器配置): 644(所有者可以读写;其他人可以读取)
  • 上传目录(例如,wp-content/uploads): 755(所有者可以读取、写入和执行;其他人可以读取和执行)

5 个最佳 WordPress 安全插件

有几个 WordPress 安全插件可以帮助检查和保护您的网站:

1.Wordfence安全

WordFence 安全 WordPress 插件

Wordfence 是 WordPress 的综合安全插件。 它包括防火墙保护、恶意软件扫描、登录尝试监控等功能。 免费版本提供有价值的安全检查,而高级版本则提供高级功能。

安装量: 4+万
评分: 4.7/5

2. 苏库里安全

Sucuri 安全 WordPress 插件

Sucuri 是一个网络安全平台,提供免费的网站扫描工具。 它会检查您的网站是否存在恶意软件、安全问题和漏洞。 他们还提供实时保护和监控的付费安全服务。

安装数量: 90万+
 评分: 4.2/5

3. 可靠的安全性

可靠的安全 WordPress 插件

Solid Security 是一款尖端的 WordPress 安全插件,旨在增强您的网站。 它具有实时防火墙保护、恶意软件扫描和安全登录机制等基本功能,提供了一种一体化解决方案来保护您的在线状态。 凭借其直观的界面和自动安全检查,Solid Security 可保护您的网站免受最新威胁,确保您高枕无忧。

安装数量: 90万+
 评分: 4.6/5

4.安全忍者

安全忍者 WordPress 插件

Security Ninja 是一款专为 WordPress 网站量身定制的综合安全插件。 凭借其强大的工具集(包括核心扫描器、恶意软件检测和自动修复程序),它可以确保您网站的完整性和弹性。 该插件的主动安全检查和一键修复功能使网站所有者能够保护他们的网站。 无论您是新手还是精通技术的人,Security Ninja 都是抵御网络威胁的绝佳工具。

安装数量: 10,000+
 评分: 4.8/5

5. 喷气背包保护

Jetpack 保护 WordPress 插件

Jetpack Protect 专门保护 WordPress 网站免受不必要的入侵。 它具有强大的暴力攻击保护和停机监控功能,可确保您的站点安全和正常运行。 凭借其简化的设置,Jetpack Protect 无缝集成了实时备份和垃圾邮件防御,确保您网站的数据保持完整并且您的交互真实。

安装数量: 100,000+
 评分: 4.8/5


如果您的 WordPress 网站被黑客入侵该怎么办

发现您的 WordPress 网站遭到黑客攻击可能会令人痛苦,但迅速采取行动以减轻损害并恢复网站的安全非常重要。

  1. 隔离网站:如果您在同一服务器上托管多个网站,请隔离被黑的网站,以防止感染传播给其他人。 这可能涉及暂时使受影响的站点脱机。
  2. 恢复网站的上次备份:要快速解决问题,请恢复到网站的早期版本。 如果您最近没有备份过网站,请考虑在完成以下步骤后制定备份策略。
  3. 更改密码:更改 WordPress 网站上所有用户帐户的密码,包括管理员、编辑者和贡献者。 确保使用强而独特的密码。
  4. 扫描恶意软件:使用安全插件或第三方恶意软件扫描工具扫描您的网站是否存在恶意代码和恶意软件。 如果您已经激活了一个,请联系开发人员,在专业帮助下解决问题。
  5. 识别并删除可疑文件:检查您网站的文件和目录中是否有任何不熟悉或可疑的文件。 黑客经常将恶意代码注入核心文件、主题或插件中。 删除您怀疑已被泄露的所有文件。
  6. 清理数据库:检查您的 WordPress 数据库是否有未经授权的更改或可疑内容。 将任何修改的表或条目恢复到原始状态。
  7. 检查用户帐户:审核您的注册用户列表并删除任何不熟悉或未经授权的帐户。 确保没有未经授权的管理员。
  8. 更改安全密钥和盐:wp-config.php文件中,更改安全密钥和盐。 此步骤可以帮助使任何被盗的登录凭据失效。
  9. 通知访客:如果黑客可能泄露敏感用户数据,请遵守数据泄露通知法并将泄露情况告知受影响的用户。

如何提高 WordPress 安全性常见问题解答

WordPress 足够安全吗?

WordPress 是一个信誉良好的内容管理系统 (CMS),由于它非常受欢迎,因此经常成为攻击者的目标。 然而,WordPress 是否“足够安全”取决于几个因素,包括您如何配置、维护和使用它。 遵循本指南中概述的最佳实践,您可以确保您的在线业务有一个安全的环境。

WordPress 是被黑客攻击最多的 CMS 吗?

Sucuri 2022 年年度报告强调 WordPress 是最常被黑客攻击的 CMS,96.2% 的攻击集中在该平台。 由于其广泛使用,WordPress 是一个常见目标,并且确实有大量报告的黑客攻击,但这并不一定意味着它不如其他 CMS 平台安全。

WordPress 网站最容易受到攻击的部分是什么?

最容易受到攻击的部分通常是主题和插件,以及弱管理密码。

如何免费保护我的 WordPress 网站?

实施强密码、保持 WordPress 更新,并使用 Wordfence 或 Security Ninja 等免费安全插件来增强网站的安全性。

旧版本的 WordPress 是否更容易被黑客攻击?

是的,旧版本的 WordPress 更容易被黑客攻击,因为它们通常包含未修补的安全漏洞。 请务必检查最新更新,以保护您的网站。

如何防止 WordPress 上的恶意软件?

保持 WordPress 更新,使用信誉良好的主题和插件,并安装提供恶意软件扫描和防火墙保护的安全插件。

我真的需要 WordPress 安全插件吗?

强烈推荐使用安全插件,因为它提供了全面的安全措施,并且可以自动执行确保 WordPress 网站安全所需的许多任务。