一个严肃的WordPress安全指南：做重要的事情

每周我都会接到用户有关他的网站被攻击的消息。这是个不争的事实，安全牵涉到每个网站用户，对于WordPress用户来说，似乎更容易受到攻击一般。这主要是基于WordPress的庞大的用户原因。如果你能遵守一些安全方面的指南，可能事情并不会那么糟糕。

WordPress安全性也不仅仅是一些开发人员的事情。虽然处理敏感数据的任务关键型WordPress网站肯定会变得复杂，但对于大多数出版物而言，WordPress安全性更多的是关注一系列最佳实践，而不是像电视节目中的反黑客那样打字。在这篇文章中，我们将通过WordPress安全计划揭开这个话题的神秘面纱，这将使所有类型的WordPress网站受益，从大型出版物一直到独立博客。

马上，您应该注意到未更新的WordPress软件和被黑网站之间存在非常强的相关性。这是有道理的-如果你前往WPVulnDB，一个已知WordPress漏洞的目录，你会发现绝大多数漏洞利用过去版本的WordPress：

然而，不只是过时的软件导致了黑客攻击。2016年，Wordfence调查了1,032名被黑客攻击的WordPress网站，了解他们的网站是如何被黑客攻击的。知道他们的网站被黑客入侵的人（只有约31.5％的受访者），黑客如何进入：插件和主题漏洞占攻击的约60％不强的登录凭据占攻击的约20％

上图是导致安全问题的列表。由于以下原因，大多数WordPress网站遭到黑客攻击：过时的软件第三方扩展中的漏洞账户安全性差。因此，如果您想保持WordPress网站的安全，那么您最关注的重点应该是防止这三个问题。你可以做五件最重要的事情来保护你的WordPress网站在生活的大部分时间里，帕累托原则是大多数人接近WordPress安全性的好方法。

或者，如果您更喜欢手动执行操作，可以将以下行添加到wp-config.php：define('WP_AUTO_UPDATE_CORE',minor);这将确保您的站点自动应用安全更新。但它不会自动应用非安全主要更新（例如WordPress5.0）。也就是说版本可以自动更新，大版本不会。

这样，您就会知道需要手动跳转到您的网站并监督更新。2.选择安全的WordPress主机因为您的主机是您网站的基础，所以它在保证您的WordPress网站安全方面发挥着重要作用。有一些东西可以判断是否是一个安全的主机。首先，它应该让您访问最新的安全技术来访问和支持您的网站，包括：SFTP-与常规FTP不同，它会加密您的FTP登录凭据以确保其安全。

然后，您可以将该密码安全地存储在LastPass或KeePass等服务中。此外，虽然WordPress默认情况下不再创建“管理员”用户名，但您仍应避免选择“admin”或“administrator”作为用户名。除了您自己的帐户，如果您允许在您的网站上注册，您也希望确保其他人也拥有安全密码。

使用HTTPS进行安全登录如果您在WordPress网站上使用HTTP，如果您从公共Internet网络登录（例如在咖啡馆或机场的WordPress网站上工作），恶意攻击者可以嗅出您的密码。为了防止这种情况，通常只创建一个更安全的网站，您应该安装SSL证书并使用HTTPS。这可确保默认情况下您的所有站点数据都已加密。大多数优质主机现在都提供免费的SSL证书，所以这不应该花费你一分钱。

5.始终保持最近的备份好的，定期备份您的网站并不能直接保护它。但这确实意味着无论发生什么事情，如果有任何事情能够通过您的防御，您将始终拥有一个干净的网站版本来恢复。UpdraftPlus是一个很好的免费插件，你可以设置为在设定的时间表上运行自动备份。五个其他较小的WordPress安全提示仅实施上述提示应该可以确保您的网站安全。但如果你想像诺克斯堡一样安全，下面五个提示可以进一步加强你的安全性。