创建安全的WordPress网站的48种方法

钥匙要点

• 定期更新：保留WordPress，主题和插件更新以防止漏洞。
• >强密码和用户名：避免使用默认用户名并创建复杂的密码以增强登录安全性。
• 使用安全插件：安装信誉良好的安全插件（例如WordFence或Ithemes Security）以支持防御。
• >实施SSL加密：使用SSL在您的网站上保护数据传输，提高安全性和SEO排名。
• 托管事项：选择一个托管提供商，该提供商使用常规备份和高级防火墙保护等功能优先考虑安全性。
• >经常备份：定期备份您的WordPress网站，以快速从任何潜在的安全漏洞中恢复。

本文是与Siteground合作创建的系列的一部分。感谢您支持使SitietPoint成为可能的合作伙伴。 黑客。漏洞。蛮力。恶意软件。拒绝服务。中间人。网络钓鱼。所有可怕的话。我们生活在一个危险的在线世界中！

>您的网站已被黑客入侵吗？我有，我们并不孤单。 2012年，有70％的WordPress站点容易受到攻击，此后并没有发生太大变化。您做了什么以保护您拥有安全的WordPress网站？

在本文中，我们从以前的SitePoint文章，我们自己的经验以及网络周围的安全提示中汇总了安全提示，并以某种方式组织了它们，希望您发现有用且可以理解。最重要的是，易于采取行动。

>多一对WordPress安全插件很有用（我们将在下一篇文章中介绍它们），但是安全性不仅需要安装插件并走开。它需要仔细的策略和持续的警惕。积极主动，不要反应。换句话说，不要以为您的网站是安全的 - 在

之前制定安全计划

您被黑客入侵！

> 话虽如此，没有100％的安全性。您可以实现的是降低风险，并在安全性和便利性之间找到平衡。 安全性与绝对安全的系统无关。这样的事情可能是不切实际的，或者无法找到和/或维护。但是，安全是降低风险的，而不是消除风险。这是关于使用所有适当的控制措施，使您可以改善整体姿势，从而减少使自己成为目标的几率，随后被黑客入侵。” - codex.wordpress.org

您应该在哪里集中注意力？在去年的一篇文章中，WP White Security报告了以下有关黑客网站的统计数据：>

• > 41％通过其托管平台上的安全漏洞
被黑客入侵
• > 29％通过他们使用的WordPress主题中的安全问题侵犯了他们
> 22％通过他们使用的WordPress插件中的安全问题入侵
• 8％被黑客入侵，因为他们的密码较弱
这就是您防御中的洞的地方。在创建安全策略时请记住这一点。

好。考虑到所有这些，您可以通过以下40种方法确保WordPress网站安全。选择对您和您的网站有意义的那些。

>

>安全WordPress

1。保持WordPress最新

最新的WordPress最有可能比上一个更安全，并且脆弱性较小。因此，请保持最新状态 - 这是一键式操作。确保您先备份网站！

> WordPress更新很少会引起问题，但是如果您想小心，请先在测试服务器上进行更新。或者，如果您只希望WordPress自动更新自身，请将以下代码应用于您的wp-config.php文件：>

>如果您不想手动更新WordPress，请考虑像我们的合作伙伴Siteground这样的托管提供商，该提供商在所有计划中都可以使用特殊的自动更高工具。

>

2。定期备份您的网站

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

确保您定期对WordPress网站进行备份。 WordPress数据和文件的备份在紧急情况下可以发挥关键作用。如果所有其他方法都失败了，则不必从头开始！

安排您的备份，以便您不会忘记它们，并不时进行测试还原。

进一步阅读：

5个用于备份和迁移的WordPress插件

最好的WordPress备份插件

• >如何手动备份WordPress网站
• >您的常规WordPress维护清单
3。启用WordPress数据安全
• 的SSL
>启用SSL保护您的WordPress网站。安全套接字层加密往返于您的网站的所有信息，保持其私密性并防止中间人攻击，其中第三方会听或修改客户端和服务器之间的通信。作为奖励，它也可以提高您的Google Pagerank。

> SSL认证网站的地址将从HTTPS开始，而未经SSL认证的网站将以HTTP开头。最好在安装WordPress之前激活HTTP，但是如果您稍后再添加，则可以更新WordPress设置。托管提供商（例如Siteground）提供免费的SSL证书。

进一步阅读：

>用SSL

安全的WordPress

4。安全wp-config.php
>锁定wp-config.php-这是一个单个位置，其中包含有关您的数据库，用户名和密码的大量关键数据。只有您应该可以访问。

要拒绝访问此文件，您应该在.htaccess文件的顶部添加下面的代码：>

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

5。移动wp-config.php

>将wp-config.php文件移至WordPress安装上方的文件夹中。这将使使用浏览器的任何人都无法访问它，这意味着饼干的找到它的机会较小。

进一步阅读：

• >有史以来最简单的WordPress安全提示！
>

6。隐藏WordPress版本号

一些版本的WordPress具有已知漏洞。熟悉这些漏洞的人可以发现您正在使用的版本，因为它显示在每个页面的HTML头部。

>通过将以下行添加到主题的函数。

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

>您还应删除readme.html文件，该文件还包含WordPress版本号。

7。从您的主题中删除WordPress引用

有人只有在他们知道您正在使用它的情况下才会尝试破解WordPress。因此，请保密！从您的主题文件中删除对WordPress的所有引用。

>从header.php中删除并删除看起来像这样的引用：

>

8。禁用PHP错误报告

黑客可以使用错误消息来提高其优势。例如，主题或插件中的错误可能会显示您的服务器路径。

remove_action('wp_head', 'wp_generator');

>

>禁用错误报告，将以下代码添加到您的wp-config.php文件：

>

9。更改默认的秘密键

>安装WordPress时，将四个秘密密钥写入您的wp-config.php文件。他们改善了存储在用户cookie中的信息的加密，并使您更难破解密码。>

<meta name="generator" content="WordPress" />

>使用WordPress的秘密代码生成器获取一些新键，然后将其复制到您的wp-config.php文件中。

>

保护您的主题和插件

> 51％的黑客站点是由于主题和插件的安全问题。对本节进行特殊考虑！

10。保持主题和插件的最新

不仅要更新WordPress，还要确保您的主题和插件也是最新的。每个都是您网站的潜在后门，每个新版本都可能具有较小的漏洞。

>

11。选择主题和插件，这些主题和插件被积极维护并定期更新

>如果在主题或插件中发现了安全漏洞，则您希望它尽快解决。不再维护的主题或插件不会发生这种情况。只要有可能，请确保您使用的主题和插件将被积极维护。

>

进一步阅读：

>如何保护自己免受Rogue WordPress插件的侵害

12。删除您不使用

的主题和插件

如果每个主题和插件都是潜在的后门，请尽可能降低风险。如果您不使用它，请删除它。停用插件还不够 - 单击“删除”！

13。限制访问您的插件目录

>

>限制访问您的WordPress插件目录：www.your-domain.com/wp-content/plugins/。否则，浏览文件夹的人可以查看您正在使用的插件，请探索它们是否有潜在的漏洞。

通过将空白索引。或者，在root文件夹中的.htaccess文件中的开始时，添加以下行：>

14。消除插件和主题编辑器

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

> WordPress仪表板上有一个内置插件和主题编辑器。如果您的一个用户帐户被黑客入侵，则可以使用该编辑器来放下整个网站。

如果您不定期使用编辑器，最好将其禁用。将以下内容插入您的wp-config.php文件：

>保护您的登录

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

8％的黑客站点是由密码较弱引起的。这是提高您登录过程安全性的一些技术。

>

15。更改管理用户名

>避免使用默认的管理用户名，或“管理员”，网站名称或您自己的名称之类的明显名称。他们太容易猜测了，被黑客攻击的管理帐户比作者帐户更危险。

>在设置WordPress时选择适当的管理用户名。如果您的网站已经在使用“管理员”，请创建一个新的管理用户，然后删除旧的用户，或者使用诸如用户名更改器之类的插件。

16。使用安全密码

选择一个由字母，数字和字符组成的复杂密码。这是一些提示：

不要选择与用户名相似的密码。

>

不要选择与您的网站名称相似的密码。

• >不要选择一个通用单词的密码，并进行一些简单的更改。
• 避免使用字典单词。
• 考虑使用随机字符串字符串。
• 考虑使用良好的密码管理工具安全生成，存储复杂的密码。
• 以下是一些可以为您生成安全密码的工具：
>
>语音密码生成器

>诺顿密码生成器

强密码生成器
• >最后，请确保您不会使用与其他地方使用的密码相同的密码。所有密码都应该是唯一的。
• 17。强迫所有用户具有强密码

>如果您使用强密码不好，但是团队的其余部分并不那么勤奋。您不希望链条中有任何薄弱的链接。

您可以通过使用强制密码（例如强制密码）来确保每个人都使用强密码。>

18。定期更改密码

您使用相同密码的时间越长，您给黑客破解它的时间越多。缩短了机会之窗！

每年至少几次更改密码。并鼓励您的其他用户也这样做。

19。使用2因子身份验证（2FA）

>两因素身份验证（2FA）通过除了用户名和密码之外还需要唯一的代码来提高安全性。该代码是通过应用程序为一次性使用的，或通过短信发送到设备/智能手机的代码。

进一步阅读：

>使用Google Authenticator
• 使用WordPress的2步验证

20。限制登录尝试

>通过限制可能的登录尝试数量，为黑客提供了更少的机会猜测您的密码，并保护您的网站免受蛮力攻击。这将自动阻止可配置数量的尝试后的登录屏幕，并通过电子邮件通知管理员。

您可以使用以下插件之一限制登录尝试：>

wp限制登录尝试

• >登录锁定
21。在登录屏幕上使用验证码或recaptcha

除了用户名和密码之外，

>在您的登录屏幕上使用CAPTCHA或RECAPTCHA。要求用户输入他们在图像中看到的内容，这是阻止僵尸网络试图通过蛮力登录的一种有用方法。

进一步阅读：

没有验证码与WordPress集成

22。将安全问题添加到您的登录屏幕

>

>向您的WordPress登录屏幕添加一个安全问题，使某人更难获得未经授权的访问。您可以通过安装WP安全性问题插件来做到这一点。

23。自动注销空闲用户

>用户登录时有时可以从屏幕上徘徊，构成安全风险 - 有人可以劫持他们的会话，更改密码或更改其帐户。

您可以使用IDLE用户注销插件自动登录intactive用户。

24。为用户分配最低的角色

用户是任何系统中最弱点。当他们拥有管理员特权时，这个弱点是最危险的。

很少有人需要管理访问。 WordPress提供了一系列替代角色供您选择：

>编辑：可以发布和管理自己和其他人的帖子的人

作者：可以发布和管理自己的帖子的人

贡献者：可以编写和管理自己的帖子但不能发布它们的人。
• >
• 25。使用强制SSL进行登录
• >强制SSL是一个相对简单的更改，可以产生巨大的变化。即使您没有加密整个网站，也要确保用户有安全的登录页面。您将需要最新的SSL证书来确保这一点。
26。从您的登录页面删除错误消息

>每次失败的登录尝试，登录页面上的错误消息都可以为黑客提供线索。通过在主题函数中添加以下代码的以下代码来删除它们。php文件：

>

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

27。更改您的WordPress登录URL

>知道WordPress Admin URL是WP-Admin，任何黑客都可以轻松地开始使用蛮力攻击。通过更改URL降低攻击的风险，以使黑客无法找到它。

wps隐藏登录是实现此目的的最简单的插件。>

28。隐藏作者用户名

>要登录WordPress，您需要一个用户名和密码。默认情况下，WordPress使发现作者的用户名变得容易。根据Dreamhost的说法，最好隐藏作者的用户名，以确保您不会使黑客的工作更加容易。

为此，将以下内容复制并粘贴到您的functions.php文件中：>

29。密码保护wp-login.php

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

>这是针对高级用户的。您可以通过在显示WordPress登录屏幕之前需要使用服务器端登录来提供另一层安全性。

>在此处了解更多信息：

防止蛮力攻击WordPress网站

• 30。保护WP-Admin目录

如果您（或您的作者，但不是成员或读者）需要登录，则限制访问您 / WP-ADMIN /文件夹或wp-login.php文件。

>如果您仅从家用计算机登录，请将登录屏幕限制在该计算机中。获取您的主页IP地址（使用Whatismyip.com或类似），然后将这些行添加到WordPress Admin文件夹中的.htaccess文件（用您的IP地址替换xx.xxx.xxx.xxx）：

>

允许访问多台计算机（Office/Home/笔记本电脑或User1/User2/user3），请在新系列上添加另一个允许的允许。

31。禁用XML-RPC

remove_action('wp_head', 'wp_generator');

> XML-RPC允许用户通过博客客户端远程连接到WordPress，并用于反转和pingbacks。由于WordPress 3.5。

不幸的是，黑客可以将其用于DDOS攻击，因此，如果您不使用这些功能，请考虑禁用XML-RPC。

这可以使用以下插件之一来完成：

禁用XML-RPC Pingback

禁用XML-RPC

保护您的WordPress数据库＆Files
32。使用强大的MySQL数据库名称
>避免使用“用户”的用户ID和“密码”的密码命名您的数据库“ WordPress”。您只需将数据库设置一次，因此使其随心所欲。如果您忘记了它们，则可以在wp-config.php中检查详细信息。

33。为您的数据库设置强密码

>使用强密码供WordPress访问数据库。在上面的＃16中查看我们的密码提示。

34。更改WordPress数据库表前缀

>安装WordPress时，表使用默认情况下的表前缀，例如WP_。知道这一点，使用自动化工具的黑客可以解决您的数据库结构。更改前缀，以使运行SQL注入查询和其他攻击变得更加困难。

35。使用SFTP连接到您的服务器

连接到服务器时，请使用SFTP（安全FTP）连接。这确保了机器和服务器之间的通信受到保护。大多数主机，例如Siteground，都提供SFTP。

进一步阅读：

FTP和SFTP协议的解释
36。限制文件权限

>通过将文件权限设置为最低限度来保护您的网站的安全性：>

>将CHMOD值设置为文件夹的755。只有所有者才能写入权限，而其他所有者才会阅读和执行权限。

>将CHMOD值设置为文件的644。业主拥有读写权限，其他人只能读取文件。>
37。监视恶意软件
如果确实发生了漏洞，您不想为您的访客提供恶意软件。您需要一个适当的解决方案，可以定期扫描被感染的文件。

有几种服务器端扫描解决方案，包括Sucuri。一些托管提供商（例如Siteground）将其设置为开箱即用。

选择一个安全的托管提供商

> 41％的黑客站点是由于托管平台上的安全漏洞。因此，在选择或更改托管提供商时要特别注意。

>

38。选择您负担得起的最佳托管计划

>您的WordPress网站仅与您的托管帐户一样安全。如果它正在运行旧版本的PHP版本，那么您为保护WordPress做什么都无关紧要。

>至关重要的是，您必须选择优先安全性的托管提供商。您应该寻找的一些功能是：

>

支持最新的PHP和MySQL版本

帐户隔离

> Web应用程序防火墙

• 入侵检测系统
• 主动更新和补丁
• 快速服务器监视
• 每日备份
• 我们首选的托管提供商
siteground提供了所有这些。
• >
进一步阅读：

选择托管提供商的最终指南

39。利用您的托管提供商的安全解决方案

>现在，几家公司提供了具有出色的安全解决方案，例如WP Engine，Siteground和Media Temple等安全的WordPress托管。他们花费时间，精力和专业知识来配置其工具以最大程度的有效性。
• > 例如，WP引擎将自动更新WordPress和键插件，并禁用已知导致性能和安全问题的插件。他们提供基于硬件的防火墙和配置，以确保分布式拒绝服务（DDOS）攻击不会使您的网站失望。 Siteground提供WordPress Core和插件的自动更新，这是一个有效的CH-Root帐户隔离共享服务器上的所有帐户，以及阻止恶意机器人和攻击者的复杂系统。
>

安全插件

40。安装良好的安全插件

>我们专注于涵盖一系列安全功能的高评分插件，而不是单件功能。如果您的托管提供商尚无全面的安全解决方案，那么安装其中之一将是您的安全策略的重要第一步。

我们是否错过了您最喜欢的安全插件？在评论中让我们知道。
41。 wordfence
费用：免费，$ 99/年的溢价
• >
活动安装：200万
• >评分：4.8个5星（3,048个评论）
• >
Wordfence包含以下安全功能：
防火墙。 WAF具有自动更新的防火墙规则，该规则阻止了常见的WordPress安全威胁。
>阻止功能。实时阻止已知攻击者，恶意网络和其他安全威胁。
• >登录安全性。两因素身份验证，强制执行强密码，锁定蛮力攻击的安全性。
• 安全扫描。扫描核心文件，主题和插件中的恶意软件和后门，并检查已更改的文件。
>
• >监视。实时监视流量，包括机器人和反向DNS，用于DNS更改的监视和磁盘空间。
42。全部wp Security＆Firewall
成本：免费
活动安装：500,000
>
• 评分：4.8个5星（669评论）>
>全面，易于使用，稳定且支持良好的安全插件……它通过检查漏洞以及实施和实施和执行最新推荐的WordPress安全实践和技术来降低安全风险。
• >
一台WP Security＆Firewall都包含以下安全功能：>
• >用户帐户安全。更改默认管理用户名，检查与用户名相同的用户显示名称，密码强度工具，停止用户枚举。
• >用户登录安全性。登录锁定（蛮力保护），注销未录制用户，查看失败的登录尝试，白名单IP地址，查看谁登录，Captcha。
>用户注册安全性。启用手动批准，验证码，蜜罐。
数据库安全性。设置默认的WP前缀，安排自动备份。
>文件系统安全。识别和修复不安全的权限，禁用WP Admin的文件编辑，监视系统日志。
• > htaccess和wp-config.php文件备份和还原。轻松备份，还原和修改这些重要文件。
• 黑名单功能。根据IP地址或范围或指定用户代理禁止用户。
防火墙。通过HTACCESS，防火墙规则添加防火墙保护，以阻止恶意脚本。
• > 蛮力登录和攻击预防。基于cookie的登录预防，登录表上的验证码，重命名登录表格URL，honeypot。
• >查找。获取可疑主机的完整详细信息。
• 安全扫描仪。文件更改警报，可疑字符串的扫描数据库表。
• 评论垃圾邮件安全。垃圾邮件机的IP地址，添加验证码到注释表格。
• 前端文本副本保护。禁用右键单击，文本选择和复制选项。
43。 ITHEMES SECURICE
费用：免费，专业：2个网站$ 80/年，10个网站$ 100/年，无限网站$ 150/年，黄金$ 297寿命。

先前称为更好的WP Security

活动安装：800,000
>评分：4.7个5星（3,812评论）>
• > ITHEMES Security Pro将猜测从WordPress安全性中取出。您不必是安全插件来使用安全插件，因此ITHEMES Security Pro使您可以轻松安全并保护您的WordPress网站。
免费版本为您提供了一些保护，但是Pro版本包含以下安全功能：>
• 两因素身份验证。 “使用诸如Google Authenticator或Authy的移动应用程序生成代码或通过电子邮件发送给您的生成代码。”
• WordPress盐和安全密钥。 “ ITHEMES安全插件使您更新您的WordPress密钥和盐。”
> 恶意软件扫描计划。 “让您的网站每天自动扫描恶意软件。如果发现问题，则发送一封带有详细信息的电子邮件。
• 密码安全性。 “从您的个人资料屏幕上生成强密码。”
• 密码到期。 “设置最大密码年龄，并迫使用户选择新密码。您也可以强迫所有用户立即选择一个新密码（如果需要的话）。
> Google recaptcha。 “保护您的网站免受垃圾邮件发送者的侵害。”
>用户操作记录。 “跟踪用户何时编辑内容，登录或注销。”
• >
>进口/导出设置。 “节省时间设置多个WordPress站点。”
• >
>仪表板小部件。 “管理重要任务，例如从WordPress仪表板直接扫描用户禁令和系统扫描。”
在线文件比较。 “当检测到文件更改时，它将扫描文件的来源，以确定更改是否是恶意的。目前仅在WordPress Core中工作，但插件和主题即将到来。
• >临时特权升级。 “给承包商或其他人临时管理员或编辑访问您的网站，该网站将自动重置本身。”
>
• > WP-CLI集成。 “从命令行管理您的网站的安全性。”
>
44。 Sucuri Security
费用：免费，基本$ 199/年，Pro $ 299/年，业务$ 499/年

>

活动安装：300,000
>
• >评分：4.6个5星（260条评论）
>
• >我们保持您的网站安全无障碍！ Sucuri平台是一套旨在完整网站安全的工具。 Sucuri平台没有额外的成本或隐藏费用，因此负担得起，易于部署，并由您可以使用的专业人员团队提供支持。
>

> Sucuri构成了包括Siteground在内的许多优质托管提供商的安全解决方案的一部分。它是Siteground保护客户网站免受恶意软件的宝贵工具，因为它每天都可以从网站主页访问每个链接。它包括这些安全功能：

>清洁和维修被黑客入侵的网站。 “专业安全事件响应团队24/7/365可用。”

>

攻击和预防攻击。 “基于云的WAF/IPS解决方案旨在阻止黑客攻击和攻击。
连续监视。 “持续监视和警报任何与安全有关的问题。”
免费的WordPress安全插件包含以下功能：
• • >安全活动审核记录
  • >文件完整性监视
  • 远程恶意软件扫描
  • 黑名单监视
  • 有效的安全硬化
  • >邮政安全性操作
  • 安全通知
  

  45。 JetPack，现在包括Vaultpress

  • >费用：免费，个人（每年39美元），高级（$ 99/Year），专业人士（$ 299/年）
  • 活动安装：300万
  • >评分：4.1个5星（1,330评论）
  > JetPack（由Automattic，带您的WordPress的Automattic）所做的不仅仅是安全性。它基本上将WordPress.com的功能带给了我们其他人，这很有吸引力。对于安全和备份，付费计划包括VaultPress。

  VaultPress是由Automattic设计和建造的实时备份和安全扫描服务，该服务是在WordPress.com上运营（并备份）数百万个网站的同一家公司。

  VaultPress现在由JetPack提供动力，并毫不费力地备份了您网站上的每个帖子，评论，媒体文件，修订版和仪表板设置到我们的服务器。使用Vaultpress，您可以保护黑客，恶意软件，意外损坏和主机中断。

  VaultPress包含以下安全功能：

  备份。 “在我们的异地数字保险库中存储的全面每日或实时自动备份，对WordPress进行了优化，并且比主机更好。”

  还原。 “即使在最紧张的时刻，我们也有您的支持。快速轻松地恢复您的整个在线状态，而无需您的主机。

  >文件扫描。 “自动检测并消除可能隐藏在您网站中的病毒，恶意软件和其他可利用的安全问题。”
  自动化文件维修。 “单击修复检测到的病毒，恶意软件和其他危险威胁。” >
  • 垃圾邮件防御。 “通过自动阻止所有垃圾邮件发送者来保护您的SEO，读者和品牌声誉。”
  46。防弹安全
  • 费用：免费，Pro $ 59.95（一次购买）>
  活动安装：100,000

  >评分：4.7分中的5星（302个评论）

  >
  防弹安全专业人士拥有惊人的记录。 BPS Pro已公开可用5年，并安装在全球30,000多个网站上。在5年内，这30,000个网站中没有一个被黑客入侵。
  > 100％黑客免费网站保证。如果您的网站在安装BPS Pro之后被黑客入侵，我们将免费清理您入侵的网站。我们可以轻松地提供令人敬畏的交易，因为如果您安装了BPS Pro，您的网站将永远不会被黑客入侵。
  免费版本包含以下安全功能：
  • • 一单击设置向导
    • .htaccess网站安全保护（防火墙）
    • >隐藏的插件文件夹 /文件cron（HPF）
    • 登录安全性和监视
    • idle session注销（isl）
    • auth cookie expiration（ace）
    • db备份：完整/部分，手动/计划，电子邮件/zip，cron删除旧备份，日志记录
    • db表前缀更改
    • 安全记录
    • > http错误记录

    PRO版本添加了以下功能：>

    >自动矿石入侵检测与预防系统（ARQ IDP）
    • 隔离入侵检测与预防系统（ARQ IDP）>
    实时文件监视器（IDP）
    DB监视器入侵检测系统（IDS）
    > db diff工具：数据比较工具
    > db状态和信息
    >插件防火墙（IP防火墙）：实时更新自动白名单和IP地址 JTC抗垃圾邮件/抗黑客
    >上传文件夹反爆炸守卫（UAEG）>
    • >自定义php.ini网站安全
    • f-lock：仅阅读文件锁定
    • 其他日志记录选项
    • > s-monitor：监视和警报核心
    • pro工具：16个Mini-Plugins
    • 47。 secupress

    >费用：免费，1个网站$ 57.60/年，3个网站$ 144/年，10个网站$ 288/年，无限网站$ 479/年/年

    活动安装：5,000>

    >评分：4.8分中的5颗星（19个评论）

    >
    • 通过恶意软件扫描，块机器人和可疑IPS保护您的WordPress。免费获得一个完整的WordPress安全工具包，或作为专业插件。
    >
    • 如果您积极主动，我们的免费WordPress安全插件是一个不错的选择！没有时间激活每周扫描？然后，Secupress Pro就是要走的路。我们的插件可以通过自动任务来处理所有内容。
    secupress包含以下功能：

    反蛮力登录

    >阻止IPS

    防火墙
    安全警报
    • 恶意软件扫描（PRO）
  保护安全密钥
  >从不良机器人访问
  弱插件和主题检测（pro）
  • > PDF格式（PRO）
  的安全报告
  • >
  48。安全忍者
  • >成本：单个网站$ 29（1年更新/支持），多站点$ 79（1年更新/支持），永远无限的$ 199
  活动安装：6,000
  >

  >评分：5星中的5颗（6个评论）

  >
  安全性忍者帮助成千上万的人保持安全并防止由于安全问题而阻止停机时间。 50个测试将提供有关您网站安全性的全面概述。
  >
  免费版本可让您实现以下内容：
  • • >执行50次安全测试，包括蛮力攻击。
    • >检查您的网站是否有安全漏洞和漏洞。
    >
    • 采取预防措施，以防止攻击。
    • 预防0天的利用攻击。
    • 使用包含的代码段用于快速修复。
    • 对用户帐户的蛮力攻击以测试密码强度。
    • 许多安装参数测试。
    • >文件权限。
    • 版本隐藏。
    • 0天利用测试。
    • 调试和自动更新模式测试。
    • >数据库配置测试。
    • apache和PHP相关测试
    • WP选项测试。

    您甚至可以使用这些Pro模块进行更多的保护：

    • 核心扫描仪。 “轻松监视WP核心文件的状态。清楚地了解已修改但不应该进行的文件，并单击一次。
    恶意软件扫描仪。 “功能强大的启发式恶意软件扫描算法将检查您的所有主题，插件，上传文件和选项表，以了解可疑内容。
    • 自动修复器。 “如果您不喜欢创建备份，编辑文件，弄乱代码并使您的手变得肮脏，那么安全忍者Pro将为您做所有事情。单击修复安全问题。”
    • >事件记录器。 “监视，跟踪和记录网站上的50多个事件，详细介绍了。从用户操作到发布编辑和小部件更改 - 事件记录器都可以看到所有内容。
    计划的扫描仪。 “让安全性忍者对您的网站进行自动定期扫描，包括对核心文件的扫描。如果有任何更改，您将通过电子邮件通知您。
    经常询问有关WordPress站点安全的问题
    >确保我的WordPress网站的最佳实践是什么？

    >确保您的WordPress网站的最佳实践包括保持WordPress版本，主题和插件更新，使用强密码，使用强密码，限制登录尝试以及安装和安装可靠的安全插件。定期备份您的网站也至关重要，因此您可以在任何安全漏洞的情况下恢复它。此外，考虑使用安全的托管提供商，该提供商提供SSL证书，防火墙和常规站点扫描等功能。

    >

    >如何保护我的WordPress网站免受黑客的保护？涉及几个步骤。首先，确保您为WordPress管理员帐户拥有强大的独特密码。其次，将WordPress核心，插件和主题保持在最新版本中，因为它们通常包括安全补丁。安装安全插件，该插件可以监视您的网站以进行任何可疑活动，并阻止任何潜在的威胁。最后，使用提供高级安全功能的安全托管提供商。

    >托管提供商在WordPress安全中的作用是什么？一个好的托管提供商将提供常规备份，防火墙，恶意软件扫描和删除，SSL证书以及防止DDOS攻击的功能。他们还确保其服务器始终使用最新的安全补丁进行更新。

    >

    >我如何确保我的WordPress插件安全？确保您的WordPress插件安全，仅从中下载插件诸如WordPress插件存储库之类的知名资源。始终将插件更新到最新版本，因为更新通常包括安全补丁。删除您不使用的任何插件，因为它们仍然可以构成安全风险。

    >

    什么是SSL证书，为什么对WordPress安全至关重要？ Layer）证书是一个数字证书，可在网站和访问者的浏览器之间提供安全的连接。对于WordPress安全性而言，这很重要，因为它可以加密用户和站点之间传输的数据，从而阻止黑客拦截和滥用它。 Google还将其搜索结果中的SSL证书更高的网站对网站进行排名。
    如何限制WordPress网站上的登录尝试？

    >

    >限制您的WordPress网站上的登录尝试可以通过安装安全性来完成提供此功能的插件。这有助于防止蛮力攻击，黑客试图通过猜测您的密码来访问您的网站。
    我应该多久备份一次WordPress网站？

什么是防火墙，它如何保护我的WordPress站点？

>防火墙是监视器的安全系统并根据预定的安全规则控制传入和传出网络流量。它充当受信任的网络和不信任网络之间的障碍。它可以通过阻止恶意流量并防止未经授权访问您的网站来保护您的WordPress站点。

>

>我如何从WordPress网站检测和删除恶意软件？

>

从您的WordPress站点中检测和删除恶意软件可以使用提供恶意软件扫描和删除的安全插件来完成。如果您的网站感染了恶意软件，则该插件将通知您，并经常提供删除它的步骤。

>我的WordPress网站已被黑客入侵的迹象是什么？

>迹象表明您的WordPress网站已被黑客入侵，包括突然下降网站流量，对您的网站内容的意外更改，您没有使用的新用户帐户' t创建，一个缓慢或反应迟钝的网站，以及您的网络主机或Google发出的有关您网站上恶意活动的通知。如果您注意到这些标志中的任何一个，请立即采取行动以保护您的网站。

以上是创建安全的WordPress网站的48种方法的详细内容。更多信息请关注PHP中文网其他相关文章！