提升wordpress網(wǎng)站安全性的5個方法

網(wǎng)站最重要的就是安全了，雖然WordPress 是迄今為止最流行的博客平臺，安全性也極高，但仍不可忽視。

正由于它的流行，也因此帶來了正面和負(fù)面的影響。事實(shí)上，幾乎每個人都使用它，使它更容易被發(fā)現(xiàn)漏洞。WordPress 的開發(fā)人員做了很多工作，一旦新的缺陷被發(fā)現(xiàn)，就會發(fā)布修復(fù)和補(bǔ)丁，但這并不意味著你可以安裝完就置之腦后。

在這篇文章中，我們將提供一些最常見的保護(hù)和強(qiáng)化 WordPress 網(wǎng)站的方法。

在登錄后臺時總是使用 SSL

不用說的是，如果你并不打算只是做一個隨意的博客，你應(yīng)該總是使用 SSL。不使用加密連接登錄到你的網(wǎng)站會暴露你的用戶名和密碼。任何人嗅探流量都可能會發(fā)現(xiàn)你的密碼。如果你使用 WiFi 上網(wǎng)或者連接到一個公共熱點(diǎn)，那么你被黑的幾率更高，這是特別真實(shí)的。你可以從這里[1]獲取受信任的免費(fèi) SSL 證書。

精心挑選附加的插件

由第三方開發(fā)人員所開發(fā)，每個插件的質(zhì)量和安全性總是值得懷疑，并且它僅取決于其開發(fā)人員的經(jīng)驗。當(dāng)安裝任何額外的插件時，你應(yīng)該仔細(xì)選擇，并考慮其受歡迎程度以及插件的維護(hù)頻率。應(yīng)該避免維護(hù)不良的插件，因為它們更容易出現(xiàn)易于被利用的錯誤和漏洞。

此主題也是上一個關(guān)于 SSL 主題的補(bǔ)充，因為許多插件包含的腳本會發(fā)出不安全連接(HTTP)的請求。只要你的網(wǎng)站通過 HTTP 訪問，一切似乎很好。但是，一旦你決定使用加密并強(qiáng)制使用 SSL 訪問，則會立即導(dǎo)致網(wǎng)站的功能被破壞，因為當(dāng)你使用 HTTPS 訪問其他網(wǎng)站時，這些插件上的腳本將繼續(xù)通過 HTTP 提供請求。

安裝 Wordfence

Wordfence 是由 Feedjit Inc. 開發(fā)的，Wordfence 是目前最流行的 WordPress 安全插件，并且是每個嚴(yán)肅的 WordPress 網(wǎng)站必備的，特別是那些使用 WooCommerce 或其它的 WordPress 電子商務(wù)平臺的網(wǎng)站。

Wordfence 不只是一個插件，因為它提供了一系列加強(qiáng)您的網(wǎng)站的安全功能。它具有 web 程序防火墻、惡意軟件掃描、實(shí)時流量分析器和各種其它工具，它們可以提高你網(wǎng)站的安全性。防火墻將默認(rèn)阻止惡意登錄嘗試，甚至可以配置為按照 IP 地址范圍來阻止整個國家/地區(qū)的訪問。我們真正喜歡 Wordfence 的原因是，即使你的網(wǎng)站因為某些原因被侵害，例如惡意腳本，Wordfence 可以在安裝以后掃描和清理你的網(wǎng)站上被感染的文件。

該公司提供這個插件的免費(fèi)和付費(fèi)訂閱計劃，但即使是免費(fèi)計劃，你的網(wǎng)站仍將獲得令人滿意的水平。

用額外的密碼鎖住 /wp-admin 和 /wp-login.php

保護(hù)你的 WordPress 后端的另一個步驟是使用額外的密碼保護(hù)任何除了你以外不打算讓任何人使用的目錄(即URL)。 /wp-admin 目錄屬于此關(guān)鍵目錄列表。 如果你不允許普通用戶登錄 WordPress，你應(yīng)該使用密碼限制對 wp.login.php 文件的訪問。無論是使用 Apache[2] 還是 Nginx[3]，你都可以訪問這兩篇文章，了解如何額外保護(hù) WordPress 安裝。

禁用/停止用戶枚舉

這是攻擊者發(fā)現(xiàn)你網(wǎng)站上的有效用戶名的一種相當(dāng)簡單的方法(即找出管理員用戶名)。那么它是如何工作的?這很簡單。在任何 WordPress 站點(diǎn)上的主要 URL 后面跟上 /?author=1 即可。 例如：wordpressexample.com/?author=1。

要保護(hù)您的網(wǎng)站免受此影響，只需安裝停止用戶枚舉[4]插件。

禁用 XML-RPC

RPC 代表遠(yuǎn)程過程調(diào)用，它可以用來從位于網(wǎng)絡(luò)上另一臺計算機(jī)上的程序請求服務(wù)的協(xié)議。對于 WordPress 來說，XML-RPC 允許你使用流行的網(wǎng)絡(luò)博客客戶端(如 Windows Live Writer)在你的 WordPress 博客上發(fā)布文章，如果你使用 WordPress 移動應(yīng)用程序那么也需要它。 XML-RPC 在早期版本中被禁用，但是從 WordPress 3.5 時它被默認(rèn)啟用，這讓你的網(wǎng)站面臨更大的攻擊可能。雖然各種安全研究人員建議這不是一個大問題，但如果你不打算使用網(wǎng)絡(luò)博客客戶端或 WP 的移動應(yīng)用程序，你應(yīng)該禁用 XML-RPC 服務(wù)。

有多種方法可以做到這一點(diǎn)，最簡單的是安裝禁用 XML-RPC[5]插件。