如何使WordPress安全：基础知识

世界上超过35%的网站都使用WordPress。然而，即使有一个专门的安全团队和一个充满活力和参与的全球社区，在这个领先的内容管理系统上运行的网站往往成为安全漏洞的目标。

然而，事实是，WordPress是安全的：只有14%的WordPress安全漏洞来自核心的WordPress，而且WordPress组织遵循严格的程序来修补这些问题。那么，WordPress网站是如何暴露给黑客的呢？更多的时候，安全漏洞的发生是由于维护不足。

对于你的特定WordPress安装来说，实施一些基本的，但经常被忽视的最佳实践是很重要的。在这篇文章中，我们将看一下确保你的网站安全的几种不同方法。

从你的服务器开始

在做其他事情之前，确保你用来运行WordPress的服务器是安全的。这个过程被描述为硬化，有助于减少恶意的第三方未经授权访问你的服务器的风险。

你可以对你的服务器采取的最大的安全预防措施之一是更新你的软件。更新的范围从关键的漏洞补丁到小的错误修复，应该经常和定期地应用。

运行你自己的服务器有很大的好处。完全的控制让你可以随心所欲，但确保它得到良好维护的责任则落在你的肩上。如果你在Linode上托管你的WordPress网站，并且不确定从哪里开始保护你的服务器，这份文件解释了如何 加固你的Linode以防止未经授权的访问。

如果这些步骤看起来太繁琐，那么考虑使用像 Pressidium这样的管理型WordPress主机，它代表你承担所有服务器级别（和许多WordPress级别）的安全更新。

更新WordPress

在服务器加固之后，也许保持你的WordPress网站安全的最简单方法是确保你安装任何可用的WordPress更新。由于有大量的贡献者（在2019年，大约有70名开发人员为核心贡献了近5000个提交），你在大多数月份都会看到一个可用的更新，这并不令人惊讶。这些更新有两种味道： 

1. 发布新功能的主要更新。这些更新大约每年发布两次。
2. 解决当前版本中任何错误或安全风险的小型更新。这些更新可以每隔几周就推送一次。

如果你使用的是一个管理的WordPress主机供应商，这些更新应该是自动为你处理的。如果你在运行你自己的服务器，那么你将需要手动更新你的WordPress版本。只要登录wp-admin，如果有更新，你会在主页的顶部看到一个通知，提示你进行更新。按照提示，WordPress将下载并安装更新。

虽然大多数更新都很顺利（特别是小的更新），但建议在运行更新过程之前备份你的网站。你也要在更新后仔细测试你的网站，因为一些主题和插件可能与最新的WordPress版本不兼容。

更新你的主题和插件

除了WordPress核心，你会注意到插件和你的主题（如果你使用的是第三方的，如Theme Forest的供应商）需要定期更新。插件和主题可能不被更新的两个常见原因包括：

1. 网站所有者忘记了执行更新，特别是如果他们上次登录wp-admin已经有一段时间了。 
2. 更新插件和/或WordPress主题可能会破坏网站，这可能会让人气馁。

当一个本该花两分钟的插件更新因为你的网站停止工作而变成一个更大的工作时，这是令人沮丧的。当你忙于经营一个网站或业务时，找到时间来解决这个问题并不容易。因此，从备份中恢复网站的诱惑力是很大的，这将使过时的插件和/或主题继续运行。

完全相同的情况可能发生在WordPress的核心更新上，当你安装了最新的版本，却发现你的网站的一部分现在不再工作了。简单但有可能不安全的做法是恢复到以前的工作版本，然后不再重新审视这个问题。

这种情况正是黑客们所依赖的。相当一部分WordPress黑客是通过利用运行过时的主题、插件和WordPress核心的网站上的已知漏洞来进行的。由于一个被黑的网站所造成的销售损失或 声誉损害的代价可能是巨大的。

修复你的电脑上的漏洞

你的服务器和你的WordPress安装的安全是很重要的，但是一个不安全的工作站可以破坏这些努力。例如，如果一个恶意的键盘记录器被安装在你的电脑上，攻击者可以收集你的WordPress登录信息。通过使用防病毒软件，确保你用来访问WordPress的任何电脑都没有恶意软件、间谍软件和其他病毒感染。

而且，就像你的服务器一样，确保你通过应用任何推出的补丁来保持操作系统和浏览器是最新的。如果你正在浏览不受信任的网站，使用NoScript等工具来防止任何可执行的网络内容在你的机器上运行也是一个好主意。

密码和用户名

如果没有双因素认证，你的密码就是你的网站和想要访问wp-admin的人之间的全部障碍。因此，选择一个复杂而独特的密码是最重要的。 

如果你在选择一个好的密码时需要灵感，你可以使用像1Password Generator这样的 工具。每个网站总是使用不同的密码。追踪强密码的最好方法是使用像1Password提供的密码管理器。

与强密码同样重要的是，确保你不使用默认的 "管理员 "用户名：

• 前往用户部分，创建一个拥有独特用户名的新用户。
• 给这个用户分配管理权限，并为其设置一个强大而独特的密码。
• 退出WordPress，用新的用户名和密码重新登录。
• 回到用户部分，删除默认的管理员用户。

双因素认证

双因素认证（2FA）几乎正在成为主流。2FA通过使用用户知道的东西、他们拥有的东西或他们是谁的东西的组合来确认他们声称的身份。

WordPress是一个使用2FA的完美平台，这可以通过一个插件轻松实现。流行的2FA插件是 Duo和 Two-Factor，尽管有更多的插件可用（只需在WordPress插件库中搜索）。启用2FA系统后，你可以确信，即使你的密码被猜中或以其他方式被第三方获得，你的网站也会保持安全。

使用安全插件

还有一些额外的方法来加固你的WordPress网站，以帮助保持它的安全，例如改变数据库名称和利用HTTP安全头的优势。所有这些，在大多数情况下，都需要相当高的技术知识和时间。

一些顶级的WordPress安全插件提供了大量的功能，包括黑名单监控、文件扫描、暴力保护、防火墙等等。它们可以提供简单的方法来快速加强你的网站安全，而且技术经验有限。

有许多插件可用，但与所有插件一样，重要的是使用信誉良好、经过测试的插件，如Securi Security和Wordfence。在安装一个新的插件或对插件设置进行任何重大改变之前，请记住对你的网站进行备份。

做个备份

Backups 可能是WordPress维护中一个可悲的被忽视的元素。但是，它们确实在网站安全方面发挥着重要作用。拥有高质量的备份可以让您高枕无忧，如果最坏的情况发生并且您的网站遭到黑客攻击并严重损坏，那么您可以通过恢复以前的备份来快速恢复。然后，您可以应用所需的任何其他安全级别，以避免重复黑客攻击。

过去，对WordPress进行良好的备份是很棘手的，但在过去的几年里，这个过程已经变得非常容易了。有很多选择，包括UpdraftPlus等插件，以及VaultPress或BlogVault等异地备份系统。

在我的下一篇文章中，我们将谈论一些你可以遵循的高级措施，以帮助保持你的WordPress网站安全。