芜湖高端网站设计：托管WordPress网站

对于每个选择此平台的网站所有者来说，基于WordPress的网站的安全性始终应始终是头等大事，而且实际上有数百万个网站目前容易受到网站攻击。

尽管我们实际上不能完全保护任何网站，不仅是那些运行自托管WordPress的网站，我们仍然可以使僵尸网络和黑客很难对我们的网站进行黑客攻击。

下面我们将讨论有关WordPress安装安全性的一些重要知识，必须考虑的插件，以及有关您现在可以做什么的建议。但是在此之前，我们应该了解黑客通常会做什么，以便我们可以更好地了解如何保护自己。

当今最常用的WordPress黑客方法

您是否曾经听过有人谈论各种黑客方法，并且由于所使用的术语而对某事一无所知？在这种情况下，您很可能会听到以下信息：

裸核–核弹攻击– DDOS攻击

我们不能真的说这是黑客行为，因为它通常是由刚想获得一些乐趣的新手黑客完成的。但是，这几天仍然很普遍。“黑客”将使用特殊工具，以便将许多ping命令发送到托管您站点的IP。如果未针对此类问题对服务器进行适当的保护，它将冻结。在Windows上运行时，服务器将最终出现“蓝色致命异常”错误。

如果不使用专用服务器，则不必为此担心太多。如果您使用的是私人服务器，最好使用托管提供程序来存储数据和Web文件。

DDOS攻击与nuking非常相似，但是在服务器崩溃之前，黑客会添加木马或病毒。芜湖高端网站设计：这通常导致站点控制和索引文件的删除。在大多数情况下，黑客并不意味着伤害，也不会造成太大伤害。相当新的Permanent DDOS攻击无法说相同的话，它将把固件安装到设备中。在这种情况下，通常会损坏设备。路由器和网卡是受影响最常见的。

保护自己免受此类攻击的最佳方法是使用信誉良好的网络托管提供商的服务。它们通常具有防止任何类型的DDOS攻击所需的所有安全性。如果使用专用服务器，则需要安装防火墙和适当的路由器（服务器不应直接通过附加卡接收互联网）。另外，请确保不要使用Windows XP（Service Pack 2），Windows NT 4.0 SP6A或Windows 2000 SP4。

蛮力攻击

这绝对是当前最大的WordPress安全问题。黑客将利用或创建基于特殊算法的工具来破解站点。在大多数情况下，使用密码破解工具。该工具会尝试各种可能性，以查找用户拥有的确切密码。

蛮力攻击的问题在于，优秀的黑客将拥有可以根据可想象的每个角色尝试每种可能组合的工具。如果您不保护自己的网站，则无法保护自己免受此类攻击。您可以使用登录尝试插件或验证码。以下是有关登录尝试插件的更多信息。

SQL注入攻击

只有更有经验的黑客才能执行此操作。他/她将在寻找某种安全漏洞的同时分析网站，插件，托管，主题和许多其他因素。在许多情况下，会在主题或插件中发现这种缺陷。对您决定使用的插件和主题要格外小心！

确保WordPress自托管平台安全的7个步骤

1.确保没有索引文件夹！

文件夹实际上不应建立索引。您可以修改.htaccess文件，只需添加以下行即可防止文件夹建立索引：

请记住，在不知道实际操作的情况下，请勿修改此文件中的任何内容。如果文件中已经存在文本，则只需添加提到的行。请勿修改其他任何内容。

2.删除您的ADMIN帐户并更改密码！

WordPress安装中出现的大多数攻击都已连接到默认管理员帐户。很少看到没有以该帐户为主的安装。此外，黑客将使用通用密码词典。请看一下2012年使用的常见密码列表。您不想使用类似的东西。

如果您现在安装WordPress，只需选择其他用户名。如果您已经安装了WordPress，则需要创建一个新帐户。芜湖高端网站设计：确保它具有完整的管理特权。然后，登录到您的新帐户。删除“管理员”即可。请勿使用您的名字或公司。只需使用“ GuineaPig”之类的随机内容或您可以考虑的任何内容即可。

请记住，一个好的黑客仍然可以找出您的用户名。在这种情况下，您的密码必须很强。最好使用至少16个字符，大写和小写字母，数字以及$，＃和^等特殊字符的密码。任何特殊字符都会增加很多安全性，尤其是当它出现在密码中时。一个很容易记住的非常强大的密码的示例（因为这确实对我们所有人都有用）：

MyStrongestP4 $$ WOrd0SOfar

3.永远保持更新！包括主题！

一旦有新的WordPress版本可用，请确保已安装。通常包括一些小的错误修复程序。安全修复程序很少见，但您不知道何时包括其中一个。如果您有许多不同的WordPress网站，并且很难对其全部进行更新，请查看ManageWP，因为它是为企业使用而设计的。

WordPress文件不是您要保持更新的唯一文件。如果查看过去的安全问题，您会注意到最大的问题之一是与timthumb.php脚本连接的，该脚本是缩略图生成器。尽管许多新主题不再使用该主题，但仍有一些主题在使用。WordPress实际上无法在安装插件或主题时告诉您遇到漏洞。

查看所考虑的主题或插件是否安全的一个好方法是寻找用户评论。只需使用常规搜索引擎并搜索“主题/插件名称安全问题”之类的内容即可。如果存在，您很可能会发现问题。另外，请确保将所有主题和插件不断更新到最新版本。

4.删除所有不使用的内容！

假设您刚刚更改了用于索引滑块的插件。在大多数情况下，WordPress用户只是停用前一个插件，然后将其保留在那里。随着时间的流逝，已停用的平台可能适合黑客获取您的托管帐户的访问权限。只需删除所有未使用的内容，您就不必担心将来可能出现的漏洞。

5.修改Functions.PHP！

黑客可以使用functions.php文件。您可能不知道的是，由于头文件代码，WordPress会告诉任何知道如何查看已安装版本的人。黑客使用它来识别较旧的，易受攻击的安装。只需通过添加以下3行来修改“ functions.php”文件，即可防止广播平台版本，实时作者信息并难以识别XML-RPC文件：

还有一种可能是，当您尝试登录WordPress帐户时有时会错误地输入密码。发生这种情况时，会有一条日志突出显示不正确的登录错误。黑客可以发现这些错误并使用从错误的拼写密码中获得的信息来实现真正的密码。再次，通过添加以下内容来修改functions.php：

6.经常以XML格式导出您的帖子！

除非您想使用插件进行备份，否则您始终可以利用WordPress管理控制台中的“工具”部分。始终导出所有帖子的文件，这样您至少可以保存所有文本。另外，您可以访问FTP，并将整个站点不断复制到HDD。如果您的网站遭到黑客入侵（自动插件除外），这是最好的备份方法。

7.删除WordPress中的文件编辑！

大多数人使用WordPress管理仪表板编辑器来修改插件和主题PHP文件。很明显，如果有人可以访问您的帐户，则类似的事情会使安装容易受到攻击。解决这种情况的最佳方法是基本上使用WordPress编辑器进行修改，然后在完成后停止此功能。您可以通过修改“ wp-config.php”来实现。通过安全的FTP连接手动添加以下行：

当您想再次在WordPress编辑器中修改文件时，只需删除该行即可。

Google的两步验证器

这个插件使帐户被黑客入侵非常困难，因为仅密码已不足以访问管理仪表盘。每个Google帐户用户最有可能知道要在您要检查电子邮件或使用Google的其他服务时将SMS发送到您的手机的身份验证器系统。该插件是相似的，非常易于使用。你可以在这里找到它。

备份伙伴

无论我们做什么，有时黑客都会通过我们的安全性找到一种方法。考虑到这一点，重要的是我们始终要备份所有数据。这包括SQL数据库，插件，设置，主题，帖子，图片等。BackupBuddy使得处理备份非常容易。唯一的问题是它不是免费的。但是，您可能希望在此处查看定价选项（“立即购买”标签），因为这绝对是最好的价格之一。

确实存在其他免费插件，例如BackUpWordpress，X Cloner，WordPress 在线备份和WP Complete Backup，但我们强烈建议将BackupBuddy作为更强大的选择。

更好的WP安全性

这是一个相当不错的WordPress安全插件，可实现各种修复程序。在可用的不同选项中，该插件将检查密码，修改SQL表前缀，保护登录区域免受蛮力攻击，重命名wp-content区域，以及检查安全性.htaccess等等。看一下此链接，以阅读有关更好的WP安全性的全部信息。

登录锁定

该WordPress插件在过去2年中未更新，但在阻止暴力破解尝试方面仍然非常有效。它将检测尝试登录的人的IP地址以及每一次失败的尝试。当特定次数的失败尝试发生时，IP范围将被阻止。可以在这里找到有关该插件的更多信息。

几乎所有的CAPTCHA登录插件

您总是可以找到一个适用于WordPress的不错的CAPTCHA登录插件，因此我们不一定需要推荐一个。有些基于图片，而另一些基于数学或问题。选择您想要防止上述无休止的蛮力攻击的任何方法。

希望本WordPress安全指南对您有很大帮助。如果您按照上述步骤操作，并且考虑了提到的插件，则安装的安全性将非常高。告诉我们您的想法，并与其他读者分享您可能拥有的其他技巧。我们都需要帮助自己对抗黑客。