如何确保WordPress安全：基础知识

WordPress为全球超过35％的网站提供支持。但是，即使有专门的安全团队和充满活力的全球社区，在此领先的内容管理系统上运行的网站也常常是安全漏洞的目标。

但是，事实是WordPress 是安全的：只有14％的WordPress安全漏洞来自核心WordPress，而WordPress组织遵循严格的程序来修补这些问题。那么，WordPress网站如何暴露给黑客？经常由于维护不足而产生安全漏洞。

重要的是要为您的特定WordPress安装实施一些基本但经常被忽略的最佳实践。在本文中，我们将介绍几种确保您的网站安全的方法。

从服务器开始

在执行其他操作之前，请确保用于运行WordPress的服务器是安全的。此过程称为强化，有助于减少恶意第三方未经授权访问您的服务器的风险。

您可以对服务器采取的最大的安全预防措施之一就是更新软件。更新的范围从关键漏洞补丁到次要的错误修复，应定期且定期地应用。

运行自己的服务器具有很大的优势。完全控制可以让您随心所欲，但是确保其得到良好维护的责任落在了您的肩上。如果您要在Linode上托管WordPress网站，并且不确定如何保护服务器安全，那么本文档说明了如何加固Linode使其免受未经授权的访问。

如果这些步骤看起来很繁琐，请考虑使用托管的WordPress主机（如Pressidium）来代表您进行所有服务器级（和许多WordPress级）安全更新。

更新WordPress

服务器加固后，确保WordPress网站安全的最简单方法就是确保您安装了所有可用的WordPress更新。由于贡献者数量众多（2019年约有70个开发人员向核心贡献了近5,000次提交），因此您会在大多数月份看到可用的更新就不足为奇了。这些更新有两种形式：

发布新功能的主要更新。这些更新大约每年发布两次。
次要更新可解决当前版本中的所有错误或安全风险。这些更新可以每隔几周发布一次。
如果您使用的是托管WordPress托管服务提供商，则应自动为您处理这些更新。如果您正在运行自己的服务器，则需要手动更新WordPress版本。只需登录wp-admin，如果有可用的更新，您将在首页顶部看到一条提示，提示您进行更新。按照提示进行操作，WordPress将下载并安装更新。

尽管大多数更新（特别是次要的更新）进展顺利，但建议您在运行更新过程之前备份您的网站。您还需要在更新后仔细测试您的网站，因为某些主题和插件可能与最新的WordPress版本不兼容。

更新您的主题和插件

与WordPress核心一起，您会注意到插件和主题（如果使用的是第三方主题森林等提供程序的第三方）需要定期更新。插件和主题可能无法更新的两个常见原因包括：

网站所有者忘记执行更新，尤其是自上次登录wp-admin以来已经有一段时间了。
更新插件和/或WordPress主题可能会破坏网站，这可能会令人沮丧。
令人沮丧的是，原本需要两分钟的插件更新因为您的站点停止工作而变成一项繁重的工作。当您忙于运营网站或企业时，找到解决问题的时间并不容易。因此，从备份中还原站点非常重要，这将使过时的插件和/或主题继续运行。

当您安装最新版本的WordPress核心更新时，只是发现您的网站的一部分不再工作时，可能会发生完全相同的情况。容易但可能不安全的方法是还原到以前的工作版本，然后再不重新考虑问题。

这种情况正是黑客所依赖的。WordPress黑客的很大一部分是通过利用运行过时主题，插件和WordPress核心的网站上的已知漏洞来进行的。由于网站遭到黑客入侵，造成的销售损失或声誉损失的损失可能是巨大的。

修复计算机上的漏洞

服务器和WordPress安装的安全性很重要，但是不安全的工作站可能会破坏这些工作。例如，如果您的计算机上安装了恶意的键盘记录程序，则攻击者可以收集您的WordPress登录信息。通过使用防病毒软件，确保用于访问WordPress的任何计算机都没有恶意软件，间谍软件和其他病毒感染。

而且，就像您的服务器一样，请确保通过应用所有发布的补丁程序使操作系统和浏览器保持最新。如果您正在浏览不受信任的网站，则最好使用NoScript之类的工具来防止计算机上运行任何可执行的Web内容。

密码和用户名

没有两步验证，您的密码就是您的网站和想要访问wp-admin的用户之间的所有密码。因此，选择一个复杂且唯一的密码至关重要。

如果您在选择一个好的密码时需要启发，可以使用1Password Generator之类的工具。始终为每个网站使用不同的密码。跟踪强密码的最佳方法是使用一个密码管理器，例如1Password提供的密码管理器。

与强密码同样重要的是，确保您不使用默认的“管理员”用户名：

转到“用户”部分，并创建一个具有唯一用户名的新用户。
为该用户分配管理员权限，并为其设置一个安全且唯一的密码。
注销WordPress，然后使用新的用户名和密码重新登录。
回到“用户”部分，并删除默认的Admin用户。

两要素认证

两要素认证（2FA）几乎已成为主流。2FA通过结合使用他们知道的东西，拥有的东西或拥有的东西来确认用户的声明身份。

WordPress是2FA使用的理想平台，可以使用插件轻松启用。流行的2FA插件有Duo和Two-Factor，尽管还有更多可用（只需搜索WordPress插件存储库）。启用2FA系统后，您可以确信，即使密码被第三方猜测或以其他方式获得，您的网站也将保持安全。

使用安全性插件

还有其他方法可以加固WordPress网站以确保其安全，例如更改数据库名称和利用HTTP安全标头。所有这些大部分都需要相当高水平的技术知识和时间。

某些WordPress顶级安全插件提供了大量功能，包括黑名单监控，文件扫描，暴力保护，防火墙等。他们可以提供简单的方法，以有限的技术经验迅速提高您的网站安全性。

有许多可用的插件，但是与所有插件一样，使用信誉良好且经过测试的插件（例如Securi Security和Wordfence）很重要。在安装新插件或对插件设置进行任何重大更改之前，请记住对网站进行备份。

备份

备份可能是WordPress维护中一个被严重忽视的元素。但是，它们确实在网站安全中起着重要作用。拥有高质量的备份可以让您终极安心，如果发生最坏的情况，并且您的站点遭到了黑客攻击并受到严重破坏，那么您可以通过还原以前的备份来快速恢复。然后，您可以应用所需的任何其他安全级别，以避免重复发生黑客攻击。

很好地备份WordPress过去很棘手，但是在最近几年中，该过程变得非常容易。有很多选项可供选择，包括UpdraftPlus等插件和VaultPress或BlogVault等异地备份系统。

在我的下一篇文章中，我们将讨论一些高级措施，您可以遵循这些措施来确保WordPress网站的安全。