10个有效的方法来锁定你的WordPress网站免受黑客攻击

If you have a WordPress website, 它很有可能在此时此刻受到各种黑客的攻击, phishers, malware, and other malicious attempts to create chaos. 这不是网络攻击是否会发生的问题，而是何时发生的问题. All you have to do is look at the numbers:

• There are more than 20 million active WordPress sites
• Hacking attempts rose 32% between 2015 and 2016
• 预计上述两项统计数据都不会下降

不难发现，所有WordPress网站所有者现在都需要考虑如何保护他们的网站. 而不是重复同样的建议来安装一两个插件, 我们将更深入、更直接地挖掘问题的核心.

事实上，真正的WordPress框架是非常安全的. 问题是当你开始添加第三方插件、主题和代码定制时. 您需要一种方法来对抗这些附加代码所造成的所有安全漏洞.

这里有10个有效的方法来锁定你的网站免受黑客攻击.

#1. Limit Plugins

要求WordPress所有者完全避免使用第三方插件和主题可能是不现实的, 但至少删除那些你不使用的，并且在添加新的之前仔细考虑一下. 可用的功能和特性几乎是不可抗拒的，但我知道每次新安装都会增加成功黑客攻击的机会.

#2. Stay Away from Pirates

Ethical considerations aside, 从种子或非法网站下载高级插件会让你很容易受到黑客添加的恶意代码的攻击. When you install it on your WordPress site, you have invited the Barbarians into your house. Sure, 直接从开发商那里购买需要花费一些钱, but the peace of mind is easily worth it.

#3. Update Regularly

每发布一个新版本，更新你的WordPress安装是个好主意. 这很容易做到，WordPress的人会在你的仪表板上贴满提醒. Think of it like this. 所有与旧版安装相关的安全漏洞都为公众所知, including hackers. Don’t make their evil plans simple to execute.

#4. Purge the Editor!

I know it sounds severe, 但除非你是那种总是在调整插件和主题代码的开发人员, why not disable these editors altogether? The reason is simple. 授权的WordPress高层可以访问这些编辑, and if their accounts are hacked, yours is immediately at risk. All it takes is a tiny bit of code inserted in the wp-config.php file as follows:

define( 'DISALLOW_FILE_EDIT', true );

#5. Track Dashboard Activity

无论是你自己使用网站，还是你有一个编辑和管理员团队, 记录每个人的按键是一个好主意. 目标不一定是抓住坏人做坏事，尽管这是一个好处. 这里真正的好处是能够跟踪偶然的失误，一次点击，看看是什么导致了破损. A great plugin for this mission is WP Security Audit Log.

Download QR-Code

WP Activity Log

Developer: Melapress

Price: Free

#6. Kill PHP Error Reports

出现故障的插件或主题通常会生成错误报告. 这似乎是一件好事，但如果黑客能够查看这些报告，其中可能包括直接指向您的服务器的路径，则可能会在您的安全性中造成漏洞. 有了这些信息，他或她制造的麻烦就没有限制了. It’s best to disable error reporting completely. Here’s the code to put in the wp-config.php file:

error_reporting(0);

@ini_set(‘display_errors’, 0);

#7. Change the Login Page Address

Renaming your login page from the standard www.websitename.com/wp-admin 这是一种未被充分利用但有效的挫败黑客的方法吗. Since so many attacks are of the automated, brute force variety, 简单地更改您的登录URL极大地提高了您的安全性. 如果您不知道如何完成此操作，请查看 Lockdown WP Admin 或者其他流行的WordPress安全插件.

Download QR-Code

Lockdown WP Admin

Developer: Sean Fisher

Price: Free

#8. Your Web Host Matters

你可以竭尽全力保护你的网站免受各种网络威胁的威胁, 但是如果你的主机不把安全当回事, 你不妨在你的首页上放一个闪烁的HACK ME标志，并向全世界提供登录凭据. 寻找那些熟悉WordPress站点需求并有可靠安全记录的公司.

#9. Don’t Forget the Computer Updates

安全三角的第三条腿是你用来上网的电脑. 安全的WordPress软件和一个有安全意识的网络主机不会给你的电脑带来太多好处, laptop, 或移动设备都有瑞士奶酪大小的安全漏洞. 密切关注操作系统升级和软件补丁，(显然)安装一个免费的防病毒程序，比如 Avast or AVG to run regular virus and malware scans.

#10. Don’t Give Away Author Usernames

默认情况下，WordPress让黑客很容易找到每个作者的用户名. 因为主要作者通常也是管理员, 你是在把信息拱手让给坏人. A few lines of code in the functions.php file will put an end to this software weakness:

add_action(“template_redirect”、“bwp_template_redirect”);
 Function bwp_template_redirect()
 {
 If (is_author())
 {
 wp_redirect( home_url() ); exit

Final Thoughts

前面的WordPress安全建议附带了一个警告，你已经采取了一些不需要动脑筋的行动，比如不使用“admin”作为用户名, changing your password often and making it complex, limiting login attempts, backing up your website regularly, 并使用WordPress扫描器检查实际软件中的恶意软件. If you do any of these, 你走在了那些轻信的大众的前面，他们是被带到黑客屠杀场的羔羊. Implement them all and that makes you one smart cookie.

Read Also

DIY WordPress Security TIPS You Should Know!

How Can I Improve the Security of my WordPress Site?

WordPress Hacks to Style Out Your Blog Theme

How to lean a Hacked WordPress Site

Easy Guide to Recover your Hacked WordPress Website