WordPress 網站如何提高安全性？

WP喵

WordPress 後台網址一直被人暴力登入？


WordPress網站被攻擊主要有以下幾個原因：

選個好住所，太便宜的沒好貨

• 託管主機漏洞所有的網站都需要託管在主機空間上，包括WordPress網站。一些託管平臺對安全性不夠重視，不能很好保證託管網站的安全，所以託管在其伺服器上的網站都很容易被黑客攻擊。尤其是廉價主機和免費主機，很多人因為貪便宜而選擇這些主機，最終導致網站被黑客攻擊，造成巨大損失。
  

• 為你的網站選擇可靠的WordPress主機託管商，可以輕鬆避免這種情況，因為WordPress主機已經針對網站安全做了特殊優化，同時也提供額外的安全措施，來進一步保證網站的安全性。天下沒有免費的午餐，也沒有免費的託管主機，因為主機商的主機和頻寬資源都是需要費用支出的，所以對於一些免費和廉價主機的效能和安全還有待考量。
  

若不得不選擇免費主機或廉價主機，就需要自己仔細考慮網站安全相關的的風險。

定時更新，包括WP核心及外掛、主題

• WordPress核心、外掛和主題未及時更新WordPress官方會不定期發佈新版本，這些新版本修復了錯誤和安全漏洞，若不及時更新你的WordPress，網站就容易遭受攻擊。有些人會擔心更新會影響相容性，那可以在更新前建立完整的WordPress備份，如果更新後有什麼問題，能輕鬆恢復到更新前的版本。
  WordPress教學！Astra 主題 + Elementor 頁面編輯器！打造官網好 ...
  

• 如果租用空間商還能提供一鍵還原和自動備份功能，可以快速恢復到任意想要的版本，那就更保險了。使用過時的或者來歷不明的外掛和主題也是網站易遭受攻擊的重要原因之一。就算沒有，也可以透過WordPress外掛備份很多資料，養成備份的好習慣總是有備無患的，也不用被主機商綁住。
  UpdraftPlus 外掛 -- 排程備份、搬家、還原
  

• 外掛或主題開發者會對其開發的外掛或主題的安全漏洞和錯誤進行修復，若使用者不更新主題和外掛，漏洞和錯誤就會成為網站的安全隱患，加大網站被攻擊的風險。
  WordPress 七個最佳的安全外掛
  

• 在下載主題和外掛時，不要在網路上隨便下載所謂的中文化 / 破解的主題或外掛，應始終選擇可靠的來源，如WordPress官方資源庫、有實力的外掛/主題開發團隊。黑產從業者會把木馬／後門植入主題／外掛從而利用你的主機去DDoS別人的網站，或者竊取你的資料。
  

密碼總是最脆弱的部分

• 密碼安全性WordPress管理員後臺是進行整個網站管理的地方，這也是WordPress最常受到攻擊的點。在設定管理員密碼時，應使用包含大小寫字母、數字和特殊符號的高強度密碼，避免使用admin、123456等這種非常簡單的密碼，黑客很容易就能暴力破解掉。最起碼要大小寫字母加數字不少於8位，如果需要使用很多個密碼，也應避免全部使用同樣的密碼。
  

• 儘量修改預設的後台登錄網址，WordPress預設的後臺地址是域名/wp-admin，改成其他的目錄降低密碼被爆力破解的可能性，這部分也有很多外掛可以協助使用者完成。
  例如： WPS Hide Login - 隱藏 WordPress 登入網址的外掛
  

資料夾權限問題

• 禁止執行 wp-includes 目錄中的 PHP 指令碼wp-includes 目錄可能包含不安全的 PHP 檔案，這些檔案可執行用於控制和利用您的網站7、禁止執行 wp-content/uploads 目錄中的 PHP 指令碼wp-content/uploads 目錄可能包含不安全的 PHP 檔案，這些檔案可執行用於控制和利用您的網站
  

關閉一些WordPress的功能

• 關閉 pingbacks通過 Pingbacks，當其它的 WordPress 網站連結到您的文章時，會允許這些網站自動在您的文章下留言，通常都是廣告連結。Pingbacks 可用於在您的網站上啟動 DDoS 攻擊，造成效能負載