22步保护WordPress:反黑客安全

为了尽可能地保护你的WordPress，我们做了一个建议汇编。作为世界上最常用的内容管理器，您经常会受到黑客、暴力和机器人的攻击。如果默认情况下标记了所有选项，则可以使用安全问题，使您没有网页或包括恶意代码。看看你可以采取哪些措施来获得更多的保护。

1.请勿使用wp_prefix对于数据库

从安装WordPress的第一刻起，你就必须指定你必须输入的一系列信息，以便WordPress与数据库通信。

大部分信息是由您的主机提供商，如数据库的名称，与用户名、密码相同。但是有一个决定要做:决定将为WordPress创建的表的前缀。

默认情况下，在这个屏幕上提供的前缀是wp_，所以你的桌子会像wp_options，wp_comments，wp_posts等。

当然，这是每个黑客都知道的事情，事实也的确如此我们提供给任何可能的攻击者的免费信息谁知道如果你不进行安全的安装，如果你不改变前缀，标准的WordPress表格就会有那些全名。

因此，在安装WordPress之前，你应该首先开始保护WordPress，在这一步:更改默认的表前缀(wp_)到你选择的东西，例如，wptabla_或X1jM_或者随便你。重要的不是它有多长或有多复杂，而是至少不要留下默认的前缀。

2.不使用admin用户访问WordPress

另一个我们必须在安装WordPress期间做出的决定是第一个访问我们网站管理的用户的名字吗江南娱乐app官方入口苹果手机，默认具有完全管理权限。

多年来WordPress一直提供默认用户名，当然，你不应该使用它。因此，在选择第一个访问WordPress的用户名时，不要为这个任务选择那些常用的名称，例如admin, admin, root等，因为他们是黑客想要占有的第一个会检查的名称。你的网站。江南娱乐app官方入口苹果手机

3.使用强密码

我知道用这个非常基本的技巧让你听我的很难，但你必须意识到，密码越容易记住(对你来说)，它也会比自动暴力访问系统更容易。攻击者得到它。

WordPress在其最新版本中包含了强大的密码生成器，并“建议”你使用它们。这永远是最好的选择。然而，你可以跳过这个建议，设置一个简单的，不安全的密码，但你会使的主要和最重要的安全错误所有可能的。

目前，没有必要使用简单的密码，因为所有的浏览器都提供了在你的电脑上记住它们的可能性。所以一定要使用强密码，包含小写字母、大写字母、数字和特殊字符。

如果您有很多注册用户，您甚至可以强制更改密码，使它们都是安全的，包括管理员的密码。例如:

• 强制每30天修改一次密码
• 重置所有密码

4.始终使用最新版本的WordPress

如果有什么危险，那就是在使用过时或更新不足的软件的网络上工作。黑客通常攻击的主要是旧版本，没有更新的网站，因为它们通常更容易受到攻击，因为它们没有提供足够的保护来抵御已知类型的攻击。

幸运的是，WordPress提供了一个自动更新系统，既适用于WordPress核心本身，也适用于插件和主题。

默认情况下，您不必担心WordPress的维护和安全更新，因为它不需要您的干预。它只会在更新后通知您。但你将不得不执行，即使是简单的点击，更新到所谓的“主要”版本。

例如，从4.3.1版本更新到4.3.2版本不需要你的干预，WordPress会为你更新。但是从4.3开始，是的。X到4.4，尽管这个过程像按一个按钮一样快速和简单。

5.更新已安装的插件

WordPress是安全的，通常情况下，这是因为有一个大的社区负责它的维护、开发和增长，但插件就不是这样了。

无论一个插件被多么广泛地使用，很多时候在它的背后都有一个单独的程序员，由于明显的原因，没有资源或时间让他的插件始终保持最新。

正是由于这个原因攻击WordPress安装的主要途径是通过未更新的插件．

WordPress为我们提供了一个警告系统和自动更新已安装的插件，所以当你看到一个插件需要更新时，不要去想它。

如果你不使用官方目录下的插件，WordPress可能不会自动识别是否有可用的更新。在这种情况下，你应该了解开发商的网站。江南娱乐app官方入口苹果手机

6.更新活动主题

同样重要的是始终使用活动主题的最新版本，例如黑客知道他们不会经常改变这让他们有时间学习你的代码，并发明方法让你的生活变得更复杂，甚至让你陷入麻烦。

如果你使用了官方目录下的主题，WordPress会再次通知你更新。如果你使用的插件是你在其他网站上获得的，你必须知道它的创建者的新闻，以便在有新闻时更新它。

7.不要使用过时的插件或主题

最重要的漏洞来源之一是过时或被开发人员抛弃的插件和主题。经常检查你的主题和插件的开发者页面，看看他们最近是否更新了他们的产品，如果没有，寻找一个能给你同样好处的替代选择．

如果你使用WordPress官方目录中的主题和插件，你会发现所有可用的信息，比如最近一次更新的日期和与最新版本WordPress的兼容性。

此外，WordPress官方目录会自动删除超过两年未更新的插件和主题，这是一个额外的保证。

如果您使用从其他网站下载的主题和插件，您应该在您的网站上检查并手动安装任何更新。江南娱乐app官方入口苹果手机

8.删除你不使用的插件和主题

与前面的动作一致，安装不活跃的插件和主题是很危险的原因很简单，我们不活跃就会少注意它们。它们不仅占用你的空间专用wordpress托管，但它们也是网站上可能存在漏洞的门户。江南娱乐app官方入口苹果手机

你唯一应该安装的活动主题是最新的WordPress默认主题(目前是2015)为您的网站提供额外的保护规则江南娱乐app官方入口苹果手机因为如果WordPress在你的活动主题中检测到一个问题并且无法加载它，它将尝试自动激活默认主题，如果它发现它已经安装。

9.从安全网站下载插件和主题

下载插件和主题最安全的地方是官方目录，您可以在其地址中更新、验证和安全版本的最新开发。它们是你可以从你的WordPress插件安装程序中安装的主题和插件，有主题和插件市场，如Envato, Woothemes，或Elegant themes，质量很高，对他们的产品很关心。

当然,永远不要从Torrent或eMule等P2P网络下载插件和主题在美国，它们通常都感染了病毒和恶意软件。

10.保护WordPress配置文件

WordPress配置文件wp-config.php文件，包含关于您的服务器的非常敏感的信息:

• 数据库名称
• 数据库用户
• 数据库密码
• 数据库表的前缀。

因此，它保护它不被外人看到，当然，不被不必要的修改，是至关重要的吗．

为此，您可以执行以下操作:

1. 将其移动到更高的文件夹，以便如果它位于…/ public_html / mydomain.es /路径，移动到…/ public_html /文件夹．
2. 通过将权限更改为来进行写保护444．

在Apache中添加如下规则. htaccess文件，以防止不必要的访问:

wp-config.php <文件>
为了允许,拒绝
全盘否定
> < /文件

11.保护上传文件的文件夹

上传文件夹，位于路径中yoursite.es wp-content /上传你上传的图片和文档，最容易受到攻击吗．因此，保护它以防止病毒或恶意脚本从它执行是非常重要的。

WordPress默认情况下不允许将可执行文件上传到这个文件夹，但是黑客会使用一些技术来绕过这个规则。所以我们必须申请额外保障吗，明确定义了可以上传的文件扩展名。

为此，我们将向隐藏的Apache添加以下代码行. htaccess配置文件，位于你安装WordPress的文件夹中:

 .
为了允许,拒绝
全盘否定
> < /文件
< FilesMatch " \。jpg | jpeg | jpe | gif | png | bmp | tif tiff | doc pdf | | | rtf | xls | |数字odt关键| | |页zip | rar) $ " >
否认,允许
允许从所有
< / FilesMatch >

12.做备份

如果说安全有一个固定的规则，那就是无论你采取什么措施，总会有一些新的漏洞是我们没有得到保护的，我们总是会落后于恶意攻击一步。所以，一旦发生灾难，唯一能让我们避免最终丢失所有内容的方法就是备份．

检查你的网页托管提供商具有全自动备份。此外，还要安装备份插件比如BackWPup，它允许你安排不同的备份任务，能够将副本保存在另一个服务器上，通过电子邮件发送，甚至在云服务中自动保存比如DropBox、Amazon S3或谷歌Drive等。

[推文“为了避免陌生人对你的WordPress的攻击，规则1是有备份”]

13.限制访问尝试

目前大多数针对WordPress网站的攻击都是通过通过登录屏幕进行大量访问尝试，所以保护内部访问WordPress是很重要的。因此，保护内部登录和实现是至关重要的基于规则的访问控制到你的WordPress。

为此，我们可以应用不同的安全措施:

1. 禁用用户注册，从而防止恶意用户利用可能的漏洞获得对您的安装的额外权限，并可能对其进行更改。
2. 添加一个人工验证系统，如reCaptcha，它可以防止自动机器试图访问您的网站。
3. 安装一个插件来防止大量的登录尝试，如限制登录尝试，JetPack的保护模块，或这种类型的大多数安全插件的实用程序，这样他们就可以阻止这种类型的攻击。

14.安装安全插件

我们可以应用于WordPress安装的许多保护措施都包含在专门保护WordPress的插件中。

大多数都包含防止暴力攻击、代码注入和修改系统文件的设置，包括警告系统，让你知道任何可能发生的攻击。

最推荐的有以下几种:

• WordFence
• iThemes安全
• 防弹

15.使用安全的文件和文件夹权限

默认情况下，应用WordPress文件和文件夹的读写权限，有时可以通过一些插件自动修改，也可以通过自己从cPanel实用工具上传文件，甚至通过FTP客户端手动修改。

WordPress中文件和文件夹必须具有的默认权限如下:

• 档案:644
• 文件夹:755

如果任何文件或文件夹有更多的权限，它将是一个可能的漏洞来源。您需要从cPanel文件管理器或您喜欢的FTP客户端中将它们更改为默认权限。

16.使用像Cloudflare这样的反向代理

一个不仅能提高安全性而且能提高WordPress安全性的措施是使用CDN服务或者像Cloudflare这样的远程内容交付网络，它有一个非常完整的免费计划和插件，可以促进它与WordPress的集成。

除了提供一个非常强大的缓存系统，亦包括以下保护措施:

• 电子邮件混淆，避免捕获显示在您的网站上的电子邮件地址江南娱乐app官方入口苹果手机
• 拦截有攻击行为的访问者的ip
• 始终在线，显示您的网站的缓存版本，即使您正在进行攻击江南娱乐app官方入口苹果手机

17.在谷歌搜索控制台创建帐号

旧的谷歌网站管理员工具，现称为谷歌搜索控制台，除了分析和分析您的网站的基本工具，为您的WordPress提供额外的保护。江南娱乐app官方入口苹果手机

简而言之，您必须在搜索控制台中注册您的站点，以便谷歌通知您:

• WordPress更新
• 代码注入
• 可用性问题注意事项
• 速度问题

像Yoast SEO或All in one SEO包这样的插件可以简单地将WordPress与搜索控制台集成。

18.防止splogger访问

如果出于某种原因你允许用户注册你的WordPress，你必须保护你自己不受那些所谓的sploggers，那些大量注册网站的用户江南娱乐app官方入口苹果手机尝试访问他们的配置，添加垃圾邮件评论，甚至注入恶意软件．

这类用户的最终解决方案当然是不启用用户注册(WordPress默认行为)。但是如果你出于忠诚度或市场营销的原因启用了注册，你必须安装现有的最好的插件检测并消除此威胁: WangGuard。

19.保护. htaccess文件

我们已经看到了可以从Apache执行的几个操作. htaccess文件，但出于同样的原因，保护这个文件同样重要。

的. htaccessfile是一个Apache服务器文件，它将规则应用到安装在主机上的任何应用程序，在我们的例子中是WordPress，能够应用安全和安全措施等。

为了保护. htaccess您可以在同一文件中包含以下行:

< . htaccess文件>
允许，拒绝
全盘否定
> < /文件

20.保护自己免受垃圾邮件的侵害

任何内容管理系统(如WordPress)管理员的常见任务之一是控制评论中的垃圾邮件．首先，它是分心和评论表单中不必要链接的来源。第二,一些黑客使用这些表单来注入代码这可能会危及你的WordPress安装的安全性。

为此，我们可以，也必须采用不同的策略:

• 通过Really Simple Captcha插件或前面提到的WangGuard添加一个人工Captcha验证系统。
• 激活一个像Akismet这样的垃圾邮件检查插件。
• 保护表单不被注入特殊字符。

当然，不需要安装任何东西，从设置中应用垃圾邮件控制规则->你的WordPress安装的评论:

• 手动批准所有注释。
• 添加自动将不需要的评论标记为垃圾邮件的规则。

21.避免pingback漏洞

有一个特殊的漏洞，叫做pingback漏洞，值得特别提一下，因为尽管很容易修复，但它会禁用重要的WordPress功能，如远程管理，移动应用程序的使用，甚至pingback和trackback系统。

它与XML-RPC协议有关，该协议允许WordPress连接iOS或Android的WordPress应用程序，以及离线编辑器和一些内容联合系统，因此原则上不建议禁用该协议。

糟糕的是攻击者是否为可能的代码注入提供了一个开放路径．

但是，如果您清楚地知道您永远不会使用这种类型的应用程序，那么解决方案非常简单，只需删除名为XML-rpc.php．

唯一的问题是，当你更新WordPress时，它将被重新创建，所以更准确的测量方法是将这些行添加到已经熟悉的代码中. htaccess文件:

#保护XMLRPC
xmlrpc.php <文件>
否认,允许
全盘否定
> < /文件

22.检查WordPress安装文件中的更改

您必须记住，安全必须是一个永久和积极的问题。但是，幸运的是，WordPress帮助我们自动化了许多这些任务，而且几乎都是免费的。

这是一个很好的方法请关注我们的WordPress安装是通过使用像iThemes Security或WordFence这样的插件，如上所示。这些插件将为我们监控我们的WordPress安装文件的完整性和可能的更改，尽量避免修改，当不可能时，通知我们这些更改，以便我们可以恢复它们，从而保持安全。

你知道更多提高安全性的技巧吗?

我希望所有这些保护WordPress的技巧和行动能帮助到你。它们不是存在的全部，但它们是最重要的。然而，你肯定知道更多的技巧，所以不要害羞，在评论中告诉我。

另外，如果你有任何问题，我期待着听到并回答你。