保护典型 WordPress 安装的 10 种关键方法

十多年来，WordPress 已经从一个刚刚起步的内容管理系统发展成为最常用的在线解决方案。 一般来说，这种恶名对整个社区都有好处，并导致了目前可用的任何内容管理系统的最大开发人员群体。 CMS 发生变化、发展并变得更加先进，这主要是由于其规模、范围和对在线出版的影响。

但正是这些因素导致 WordPress 成为恶意黑客攻击和侵犯隐私的常规目标。 黑客已经注意到 CMS 在独立网站和主要媒体机构中的扩散，他们利用了许多漏洞，使他们能够访问仪表板甚至 WordPress 数据库本身。

值得庆幸的是，WordPress 用户不仅仅是在越来越恶意的在线环境中“坐鸭”。 可以采取许多措施来显着提高 WordPress 安装的安全性，并阻止黑客企图接管网站的内容、数据库和整体可靠性。

1.更改WordPress数据库前缀

默认情况下，每个 WordPress 安装都将其表放入带有“wp_”前缀的 MySQL 数据库中。 通常这样做是为了使其更直观，因为 WordPress 通常缩写为“WP”，并且对于这些表属于哪个 CMS 根本没有混淆。

然而，互联网上更恶毒的用户知道，WordPress 默认会将其内容放入带有此前缀的表中，这是他们从外部闯入安装或导致软件数据库出现问题的第一种方式。

前缀本身是在安装过程发生之前在wp-config.php文件中设置的。 那时，WordPress 网站所有者应该滚动浏览配置文件并查找以下行：

 $table_prefix = 'wp_';

此行应更改为除默认前缀之外的任何内容。 选择网站名称或主要管理员的名称等名称可能是保护安装和阻止恶意黑客进入 Internet 的重要第一步。

2. 对公众隐藏 WordPress 安装的版本号

每个 WordPress 模板都带有一个变量，该变量显示基本的 WordPress 信息，并允许通过插件对标头进行持续修改。 该变量是<?php wp_head() ?>并且它总是放置在header.php文件的开始和结束<HEAD>标记之间。 此变量执行的主要操作之一是向公众显示当前 WordPress 安装的版本号。

这实际上是由 Automattic 开发团队用于分析目的，因为它允许他们查看使用最多的版本号，以及是否有大量非当前用户。

它还允许黑客查看 WordPress 安装的版本号并相应地计划他们的攻击。 由于 WordPress 的安全漏洞通常是特定于版本的，并且在任何后续版本中都得到了修复，并且显示其版本号的过时安装很容易受到那些想要未经授权访问仪表板或数据库的人的攻击。

这些信息可以而且应该从“wp_head”变量中删除； 可以通过将以下代码行添加到当前主题的functions.php文件中来完成：

 remove_action('wp_header', 'wp_generator');

保存该文件并将其上传到服务器，没有人会知道 WordPress 安装是否是最新的、过时的，甚至是测试版。 不会公开任何广告。

3. 限制登录失败的次数

通常，恶意互联网用户将通过快速输入数万个密码的“蛮力”攻击获得对 WordPress 仪表板的访问权限。 这种攻击看起来使用字典单词和常用数字来找出用户的安全凭证。 如果没有适当地阻止这些重复尝试，真的没有什么可以阻止它们。

这就是 Login LockDown 插件的用武之地。使用该插件，WordPress 用户可以对登录尝试失败的次数进行限制，然后基本上被锁定在仪表板之外一个小时。 这些失败的尝试与 IP 地址相关联，使这个插件更加有效。

4. 管理员不应将自己命名为“管理员”

从任一内置安装程序安装 WordPress 时，管理员用户通常默认命名为“ admin ”。 恶意互联网用户知道这一点，这是他们在获得对 WordPress 仪表板的蛮力访问时尝试猜测的第一个名称。

首次安装 WordPress 时，请务必为管理员用户命名一些难以猜测的名称（可能是昵称或其他名称）。 暴力密码攻击只有在管理员的用户名已知的情况下才有效。 否则，将无法获得访问权限。

5. 随时更新 WordPress 并及时更新

WordPress 的新版本通常每隔几周左右发布一次，其中包含一些小的更新和安全补丁，以保护用户免受越来越多地针对 Internet 上的仪表板和数据库的黑客的攻击。

未能及时更新 WordPress 本质上就像是公开邀请黑客入侵、删除一些帖子并危及网站的安全性。 落后于这些更新是一件非常糟糕的事情，尤其是因为未更改的主题甚至会显示版本号以供询问者查看。

从 3.0 版开始，WordPress 只需单击一下即可自动更新仪表板。 事实上，Dashboard 甚至会自动通知用户更新，并以非常粗体、出色的文字敦促他们升级。 这应该在升级可用时立即完成； 它不会导致任何文件、插件、主题或设置的丢失。

相反，更新 WordPress 将仅用于启用任何新功能并修补自上一个版本发送给该软件的 6000 万用户以来发现的安全漏洞。 始终保持最新状态以抵御黑客。

6. 对几乎所有互联网用户隐藏 WP-Config.PHP 文件

WordPress 用户在寻求隐藏文件并保护其 WordPress 仪表板和数据库的完整性时，永远不应忘记.htaccess文件的强大功能。 实际上，该文件对于以多种方式确保 WordPress 的长期安全性至关重要。 使用几行简单的代码，“.htaccess”文件实际上可以对公共 Internet 用户完全隐藏文件，即使该文件没有设置适当的文件权限。

这是公开显示“wp-config.php”文件的解决方案，该文件包含破坏安装所需的 API 密钥和数据库前缀等内容。

为了保护该文件免受恶意 Internet 用户的攻击，只需将以下代码行添加到位于 WordPress 安装根文件夹中的“.htaccess”文件中。 如果不存在这样的文件，请创建一个：

 <文件 wp-config.php>
命令允许，拒绝
否认一切
</文件>

将这行代码放入文件中，保存并通过 FTP 客户端将其上传到服务器。 相关 WordPress 安装的配置文件现在基本上将从公众视野中消失，这只能意味着安全和安心。

7. 说到文件权限，检查它们以确保安全

为了正常工作，WordPress 不需要非常宽松的文件访问和修改规则。 事实上，网站的所有设置和内容信息都写入数据库，而不是存储在服务器端 PHP 文件中。 因此，绝对没有理由在任何 WordPress 文件上使用 777 CHMOD 值。 相反，这只是一种确保黑客可以轻松访问配置设置或其他可能危及安装的文件的方法。

要检查权限并可能修复它们以实现更安全的安装，请打开 FTP 客户端并导航到根 WordPress 目录。 右键单击任何 PHP 文件并查找与权限相关的菜单选项。 在结果窗口中，查找指示文件可用性的数字。 它当然不应该是777 。 在许多情况下，建议使用744 CHMOD值，将文件的访问和修改限制为仅服务器的根 FTP 用户。 如有必要，更改此设置，然后保存。 服务器将相应更新。

8.使用.htaccess文件隐藏.htaccess文件

大多数人不认为这是一种可能性，但.htaccess文件实际上可以用来向公众隐藏自己。 它已经通过使用以句点开头的文件名在很大程度上实现了这一点，但这在基于 Windows 的计算机上不起作用。 这些机器必须使用“.htaccess”本身包含的指令来发现无法访问的文件。 权限实际上看起来非常类似于用于隐藏 WordPress 的 PHP 配置文件的方法，如下所示：

 <文件 .htaccess>
命令允许，拒绝
否认一切
</文件>

同样，一旦将该行放入文件中，就可以将其保存并上传到服务器。 现在几乎所有访问该站点的人都看不到它，除了 root 管理员用户。

9. 理解和使用空白 HTML 文档的力量

每个想要访问受感染的 WordPress 安装的人都知道，该软件将其插件和主题放在特定目录中。 他们将检查这些目录以查找是否缺少安全插件，或者是否存在许多基于 XHTML 和 CSS 的漏洞，然后他们将利用这些东西获得访问权限。 这实际上很容易预防。

为了确保这些目录中的文件列表不会显示给任何 Internet 用户，只需创建一个空白 HTML 文档并将其放入文件夹中。 该文档应该是非常基本的内容，带有头部标签和标题，例如“ Restricted Access ”。 这个标题可能会表明网站管理员对安全性了解一两件事，并将恶意用户发送到其他网站。

10. 总是有一个最近可用的备份

处理 WordPress 安装安全性的正确方法是一方面是准备，另一方面是预防。

此过程的“准备”方面以备份的形式出现。 应定期备份实际的 WordPress 文件和用于存储信息的数据库； 这可以通过多种不同的方式完成，包括仪表板的几个 WordPress 插件。

如果需要更高级的文件备份方法，用户可以使用 cPanel 或 Plesk Panel 后端管理区域中的备份工具。 此外，管理员可以自动执行该过程并创建 Cron 作业，以便随时可以使用最近的备份。

关于 WordPress 安全性的重要一点是始终为最坏的情况做好准备。 在确保正常运行时间和可靠性方面，即使受到恶意黑客的攻击，站点备份也是在安全漏洞关闭后恢复在线的最简单方法。

警惕和明智的使用是安全 WordPress 安装的关键

一般来说，近年来，WordPress 的安全性呈指数级增长。 在短时间内，似乎每隔一周就会出现一个新的安全漏洞。 这种模式对于更大和更多的企业用户来说尤其麻烦，Automattic 的团队很快就开始着手彻底重启。

重新启动主要是 3.0 版本，具有更安全的架构和自动更新工具，使您不必费力地保持最新的安全补丁和修复程序。

在保持安全方面，这些版本绝对应该保持最新，用户应该使用严格的权限、限制和安全技巧，以确保免受恶意互联网用户的侵害。