如何保护 WordPress 网站免受黑客攻击

对于许多 WordPress 网站来说，只需采取一些小措施来确保网站安全，就足以防止网站被黑客攻击。

WordPress 经常成为黑客攻击的目标。黑客攻击的目标包括主题、WordPress 核心文件、插件，甚至登录页面。

采取这些步骤可以降低被黑客攻击的可能性，并在发生黑客攻击时更容易恢复。

黑客如何攻击 WordPress

网络上的所有网站都不断受到攻击–无论是 phpBB 论坛还是 WordPress 网站–所有网站都受到黑客的探查。黑客每天扫描数千个页面或尝试登录数百次是常有的事。

这还只是一个黑客。网站同时受到多个黑客的攻击。

通常情况下，并不是一个人在试图攻击你。黑客使用自动软件爬行网络，探查网站的特定弱点。

这些自动抓取网络的软件程序被称为机器人。我称它们为黑客机器人，以区别于 scraper 机器人（试图复制内容的软件）。

使用防火墙保护您的 WordPress 网站

防火墙是一种阻止入侵者的软件程序。在我看来，最好的 WordPress 防火墙是一个名为 Wordfence 的插件。

Wordfence 的作用是检查网站访客的行为是否与滥用机器人的行为一致。如果机器人违反了某些规则，比如在短时间内要求访问过多网页，Wordfence 就会自动阻止该机器人。

Wordfence 的程序还允许谷歌和必应等合法机器人访问网站。

Wordfence还有一些高级功能，可以让发布者看到有哪些机器人在攻击网站，并查看机器人的来源，例如是否是来自亚马逊网络服务或Bluehost的恶意机器人。Wordfence 可让发布商根据机器人的 IP 地址、整个 IP 地址范围，甚至机器人使用的假冒浏览器用户代理来阻止机器人。

关于用户代理（UA）

用户代理是浏览器发送的识别信息，它告诉网站这是什么浏览器（Chrome、Firefox、Vivaldi），以及在什么操作系统上运行（Windows 10、Mac OS X）。

例如，这是 Mac OS X 电脑上 Safari 11 浏览器的用户代理字符串：

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15

机器人会使用许多不同的用户代理来欺骗网站并潜入其中。例如，一些机器人会伪装成 Windows XP 上的浏览器。

我可以在 Wordfence 中创建一条规则，阻止所有以 Windows XP 为操作系统的用户代理，这样就可以阻止成千上万的恶意机器人，而不管它们来自哪个国家或哪个 IP 地址。

因此，通过将这些规则结合起来，出版商就有机会阻止各种不良黑客机器人。

这还只是 Wordfence 的免费版本。

付费版可以拦截整个国家。因此，如果你的网站没有来自某些国家的合法访客，你就可以拦截所有来自这些国家的访客。

WordPress 漏洞防御

此外，Wordfence 的付费版本还可以在许多被攻击的主题和插件被修复之前，提前为您提供保护。

一旦 Wordfence 研究人员发现漏洞，他们就会更新高级版防火墙，为用户提供漏洞保护，有时甚至比被攻击的主题或插件开发者修复漏洞的时间还要早几周。

网站安全加固

另一个提供额外保护的免费插件叫做 Sucuri Security。Sucuri（归 GoDaddy 所有）有助于加强 WordPress 的安全性，阻止恶意机器人利用某些类型的攻击。它还具有恶意软件扫描功能，可检查所有文件是否被篡改。

每次有人登录网站时，Sucuri 都会发出警报，帮助出版商识别是否有黑客登录。如果文件被更改，Sucuri 还会向出版商发出警告，因为黑客会这样做。

以上是免费版 Sucuri 的功能：

• 安全活动审计
• 文件完整性监控
• 远程恶意软件扫描
• 黑名单监控
• 有效的安全加固
• 黑客攻击后的安全行动
• 安全通知

付费版 Sucuri 包含网站防火墙。

限制网站登录

WordFence 可以阻止在 WordPress 登录页面上重复填写用户名和密码的机器人。

但如果你想集中精力限制这些登录，有一个名为 "限制登录尝试重装 "的插件可以让发布商自动阻止所有输入了一定数量的失败用户名和密码组合的黑客。

例如，您可以将其设置为在黑客三次尝试猜测密码后将其阻止。

以上就是登录阻止程序的功能：

• 限制登录时的重试次数（每个 IP）。这是完全可定制的。
• 在登录页面通知用户剩余重试次数或锁定时间。
• 可选日志记录和可选电子邮件通知。
• 可将 IP 和用户名列入白名单/黑名单。
• 兼容 Sucuri 网站防火墙。
• XMLRPC 网关保护。
• Woocommerce 登录页面保护。
• 通过额外的 MU 设置实现多站点兼容。
• 符合 GDPR 标准。开启该功能后，所有记录的 IP 都会被混淆（md5-hashed）。
• 支持自定义 IP 起源（Cloudflare、Sucuri 等）

限制登录重装插件提供了一种快速方法，可关闭试图猜测密码的黑客机器人。

备份 WordPress 网站

每天自动创建网站备份非常重要。任何导致网站瘫痪的灾难性事件都可以通过备份恢复。

备份解决方案有很多，但我觉得最有用的是UpdraftPlus WordPress备份插件。UpdraftPlus受到两百多万用户的信赖，是一个备受好评的选择。

它可以配置为每天通过电子邮件发送备份，或将备份发送到 Dropbox 等云存储位置。

有一次，我不小心删除了一个网站的所有主题布局文件，完全破坏了网站的外观。但我可以使用 UpdraftPlus 备份将网站恢复到原来的样子。这很容易做到，我非常感激。

更新所有主题和插件

经常更新所有主题和插件非常重要。WordPress 提供了一种自动更新所有插件的方法，这对于不经常登录并进行更新的出版商或企业来说非常方便。

通过启用自动更新功能，出版商可以确保拥有最新的软件。插件过期是导致被黑客攻击的主要原因之一。

不启用自动更新功能是有原因的，但负面影响往往很少发生。例如，更新后的插件可能与其他插件不兼容。

但对于不经常变化的网站来说，启用自动更新功能也许是个不错的选择。

警惕被遗弃的插件

关于废弃插件的最后警告。有些插件在被开发者废弃多年后仍能继续运行。可能发生的情况是，这些旧插件可能包含漏洞。但由于它们已被遗弃，因此永远不会得到修复。

另一个问题是，黑客有时会购买旧插件并用恶意软件和病毒更新它们。

检查您的所有 WordPress 插件，确保它们没有被遗弃，而且似乎经常更新。

保护您的 WordPress 网站免遭黑客攻击

对许多网站来说，只需采取这些小步骤来保护网站安全，就足以防止网站被黑客攻击。这些插件的免费版本提供了大量的保护，而高级版本则提供了更多的保护。

有许多安全类型的插件，其中一些本身就存在漏洞。在我看来，Wordfence 和 Sucuri 是 WordPress 安全的首选。

更多SEO学习资料 可以扫码解锁 《WordPress SEO 指南》