增強 WordPress 網站安全的5種實用方法

#WordPress 是迄今為止最受歡迎的部落格平台。

正由於它的流行，也因此帶來了正面和負面的影響。事實上，幾乎每個人都使用它，使它更容易被發現漏洞。 WordPress 的開發人員做了很多工作，一旦新的缺陷被發現，就會發布修復和補丁，但這並不意味著你可以安裝就置之腦後。

在這篇文章中，我們將提供一些最常見的保護和強化 WordPress 網站的方法。

在登入背景時總是使用 SSL

不用說的是，如果你不打算只是做一個隨意的博客，你應該總是使用 SSL。不使用加密連線登入你的網站會暴露你的使用者名稱和密碼。任何人嗅探流量都可能會發現你的密碼。如果你使用 WiFi 上網或連接到一個公共熱點，那麼你被駭的幾率更高，這是特別真實的。你可以從這裡取得受信任的免費 SSL 憑證。

精心挑選附加的插件

由第三方開發人員開發，每個外掛程式的品質和安全性總是值得懷疑，而且它只取決於其開發人員的經驗。當安裝任何額外的插件時，你應該仔細選擇，並考慮其受歡迎程度以及插件的維護頻率。應該避免維護不良的插件，因為它們更容易出現易於被利用的錯誤和漏洞。

此主題也是上一個關於 SSL 主題的補充，因為許多外掛程式包含的腳本會發出不安全連線（HTTP）的請求。只要你的網站透過 HTTP 訪問，一切似乎都很好。但是，一旦你決定使用加密並強制使用 SSL 訪問，則會立即導致網站的功能被破壞，因為當你使用 HTTPS 訪問其他網站時，這些外掛程式上的腳本將繼續透過 HTTP 提供請求。

安裝 Wordfence

Wordfence 是由 Feedjit Inc. 開發的，Wordfence 是目前最受歡迎的 WordPress 安全插件，並且是每個嚴肅的 WordPress 網站必備的，特別是那些使用 WooCommerce 或其它的 WordPress 電子商務平台的網站。

Wordfence 不只是一個插件，因為它提供了一系列加強您的網站的安全功能。它具有 web 程式防火牆、惡意軟體掃描、即時流量分析器和各種其它工具，它們可以提高你網站的安全性。防火牆將預設阻止惡意登入嘗試，甚至可以配置為按照 IP 位址範圍來阻止整個國家/地區的存取。我們真正喜歡 Wordfence 的原因是，即使你的網站因為某些原因被侵害，例如惡意腳本，Wordfence 可以在安裝以後掃描和清理你的網站上被感染的文件。

該公司提供這個外掛程式的免費和付費訂閱計劃，但即使是免費計劃，你的網站仍將獲得令人滿意的水平。

用額外的密碼鎖住 /wp-admin 和 /wp-login.php

保護你的 WordPress 後端的另一個步驟是使用額外的密碼保護任何除了你以外不打算讓任何人使用的目錄（即URL）。 /wp-admin 目錄屬於此關鍵目錄清單。如果你不允許普通使用者登入 WordPress，你應該使用密碼限制對 wp.login.php 檔案的存取。無論是使用 Apache 還是 Nginx，你都可以存取這兩篇文章，以了解如何額外保護 WordPress 安裝。

禁用/停止使用者枚舉

這是攻擊者發現你網站上的有效使用者名稱的一種相當簡單的方法（即找出管理員使用者名稱）。那麼它是如何運作的？這很簡單。在任何 WordPress 網站上的主要 URL 後面跟上 /?author=1 即可。例如： wordpressexample.com/?author=1。

要保護您的網站免受此影響，只需安裝停止用戶枚舉插件。

停用 XML-RPC

RPC 代表遠端程序調用，它可以用來從位於網路上另一台電腦上的程式請求服務的協定。對於 WordPress 來說，XML-RPC 允許你使用流行的網站部落格用戶端（如 Windows Live Writer）在你的 WordPress 部落格上發布文章，如果你使用 WordPress 行動應用程式那麼也需要它。 XML-RPC 在早期版本中被停用，但從 WordPress 3.5 時它被預設啟用，這讓你的網站面臨更大的攻擊可能。雖然各種安全研究人員建議這不是一個大問題，但如果你不打算使用網絡博客客戶端或 WP 的移動應用程序，你應該禁用 XML-RPC 服務。

有多種方法可以做到這一點，最簡單的是安裝停用 XML-RPC插件。

---

以上是增強 WordPress 網站安全的5種實用方法的詳細內容。更多資訊請關注PHP中文網其他相關文章！