WordPress 是迄今为止最流行的博客平台。php
正因为它的流行,也所以带来了正面和负面的影响。事实上,几乎每一个人都使用它,使它更容易被发现漏洞。WordPress 的开发人员作了不少工做,一旦新的缺陷被发现,就会发布修复和补丁,但这并不意味着你能够安装完就置之脑后。html
在这篇文章中,咱们将提供一些最多见的保护和强化 WordPress 网站的方法。linux
在登陆后台时老是使用 SSL
不用说的是,若是你并不打算只是作一个随意的博客,你应该老是使用 SSL。不使用加密链接登陆到你的网站会暴露你的用户名和密码。任何人嗅探流量均可能会发现你的密码。若是你使用 WiFi 上网或者链接到一个公共热点,那么你被黑的概率更高,这是特别真实的。你能够从这里获取受信任的免费 SSL 证书。web
精心挑选附加的插件
由第三方开发人员所开发,每一个插件的质量和安全性老是值得怀疑,而且它仅取决于其开发人员的经验。当安装任何额外的插件时,你应该仔细选择,并考虑其受欢迎程度以及插件的维护频率。应该避免维护不良的插件,由于它们更容易出现易于被利用的错误和漏洞。后端
此主题也是上一个关于 SSL 主题的补充,由于许多插件包含的脚本会发出不安全链接(HTTP)的请求。只要你的网站经过 HTTP 访问,一切彷佛很好。可是,一旦你决定使用加密并强制使用 SSL 访问,则会当即致使网站的功能被破坏,由于当你使用 HTTPS 访问其余网站时,这些插件上的脚本将继续经过 HTTP 提供请求。安全
安装 Wordfence
Wordfence 是由 Feedjit Inc. 开发的,Wordfence 是目前最流行的 WordPress 安全插件,而且是每一个严肃的 WordPress 网站必备的,特别是那些使用 WooCommerce 或其它的 WordPress 电子商务平台的网站。网络
Wordfence 不仅是一个插件,由于它提供了一系列增强您的网站的安全功能。它具备 web 程序防火墙、恶意软件扫描、实时流量分析器和各类其它工具,它们能够提升你网站的安全性。防火墙将默认阻止恶意登陆尝试,甚至能够配置为按照 IP 地址范围来阻止整个国家/地区的访问。咱们真正喜欢 Wordfence 的缘由是,即便你的网站由于某些缘由被侵害,例如恶意脚本,Wordfence 能够在安装之后扫描和清理你的网站上被感染的文件。wordpress
该公司提供这个插件的免费和付费订阅计划,但即便是免费计划,你的网站仍将得到使人满意的水平。工具
用额外的密码锁住 /wp-admin 和 /wp-login.php
保护你的 WordPress 后端的另外一个步骤是使用额外的密码保护任何除了你之外不打算让任何人使用的目录(即URL)。 /wp-admin 目录属于此关键目录列表。 若是你不容许普通用户登陆 WordPress,你应该使用密码限制对 wp.login.php 文件的访问。不管是使用Apache 仍是 Nginx,你均可以访问这两篇文章,了解如何额外保护 WordPress 安装。网站
禁用/中止用户枚举
这是攻击者发现你网站上的有效用户名的一种至关简单的方法(即找出管理员用户名)。那么它是如何工做的?这很简单。在任何 WordPress 站点上的主要 URL 后面跟上 /?author=1 便可。 例如:wordpressexample.com/?author=1。
要保护您的网站免受此影响,只需安装中止用户枚举插件。
禁用 XML-RPC
RPC 表明远程过程调用,它能够用来从位于网络上另外一台计算机上的程序请求服务的协议。对于 WordPress 来讲,XML-RPC 容许你使用流行的网络博客客户端(如 Windows Live Writer)在你的 WordPress 博客上发布文章,若是你使用 WordPress 移动应用程序那么也须要它。 XML-RPC 在早期版本中被禁用,可是从 WordPress 3.5 时它被默认启用,这让你的网站面临更大的攻击可能。虽然各类安全研究人员建议这不是一个大问题,但若是你不打算使用网络博客客户端或 WP 的移动应用程序,你应该禁用 XML-RPC 服务。
有多种方法能够作到这一点,最简单的是安装禁用 XML-RPC插件。