保护 WordPress 网站的 6 个技巧

WordPress 已经驱动了互联网 30% 的网站，它是世界上增长最快的 内容管理系统content management system（CMS），而且不难看出原因：通过大量可用的定制化代码和插件、一流的 搜索引擎优化Search Engine Optimization（SEO），以及在博客界超高的美誉度，WordPress 赢得了很高的知名度。

然而，随着知名度而来的，也带来一些不太好的关注。WordPress 是入侵者、恶意软件和网络攻击的常见目标，事实上，在 2019 年被黑客攻击的 CMS 中，WordPress 约占 90%。

无论你是 WordPress 新用户或者有经验的开发者，这里有一些你可以采取的重要步骤来保护你的 WordPress 网站。以下 6 个关键技巧将帮助你起步。

1、选择可靠的托管主机

主机是所有网站无形的基础，没有它，你不能在线发布你的网站。但是主机的作用远不止起简单的托管你的网站，它也要对你的网站速度、性能和安全负责。

第一件要做的事情就是检查主机在它的套餐中是否包含 SSL 安全协议。

无论你是运行一个小博客或是一个大的在线商店，SSL 协议都是所有网站必需的安全功能。如果你正在进行线上交易，你还需要 高级 SSL 数字证书，但是对大多数网站来说，基本免费的 SSL 证书就很好了。

其他需要注意安全功能包括以下几种：

• 日常的自动离线网站备份
• 恶意软件和杀毒软件扫描和删除
• 分布式服务攻击Distributed denial of service（DDOS）保护
• 实时网络监控
• 高级防火墙保护

另外除了这些数字安全功能之外，你的主机供应商的 物理安全措施也是值得考虑的。这些包括用安全警卫、闭路监控和二次验证或生物识别来限制对数据中心的访问。

2、使用安全插件

保护你的网站安全最有效且容易的方法之一是安装一个安全插件，比如 Sucuri，它是一个 GPLv2 许可的开源软件。安全插件是非常重要的，因为它们能将安全管理自动化，这意味着你能够集中精力运行你的网站，而不是花大量的时间来与在线威胁作斗争。

这些插件探测、阻止恶意攻击，并提醒你需要注意的任何问题。简言之，它们持续在后台运行，保护你的网站，这意味着你不必保持 7 天 24 小时地保持清醒，与黑客、漏洞和其他数字垃圾斗争。

一个好的安全插件会免费提供给你所有必要的安全功能，但是一些高级功能需要付费订阅。举个例子，如果你想要解锁 Sucuri 的网站防火墙，你就需要付费。开启 网站应用防火墙web application firewall（WAF）阻挡常见的威胁，并为给你的网站添加一个额外的安全层，所以当选择安全插件的时候，寻找带有这个功能的插件是一个好的主意。

3、选择值得信任的插件和主题

WordPress 的快乐在于它是开源的，所以任何人、每个人都能提供他们开发的主题和插件。但当选择高质量的主题和插件时，这也抛出一些问题。

在挑选免费的主题或插件时，有一些设计较差，或者更糟糕的是，可能会隐藏恶意代码。

为了避免这种情况，始终从可靠的来源来获取免费主题和插件，比如 WordPress 主题库。阅读对它的评论，并研究查看开发者是否构建过其他的程序。

过时的或设计不良的主题和插件可以为攻击者进入你的网站留下“后门”或错误，这就是为什么选择时要谨慎。然而，你也应该提防无效或者破解的主题。这些已经黑客破坏了的高级主题被非法销售。你可能会购买一个无效的主题，它看起来没什么问题，但会通过隐藏的恶意代码破坏你的网站。

为了避免无效主题，不要被打折的价格所吸引，始终坚持可靠的主题商店，比如官方的 WordPress 目录。如果你在其它地方寻找，坚持选择大型且值得信任的商店，比如Themify，这个主题和插件商店自从 2010 年就已经在经营了。Themify 确保它的所有 WordPress 主题通过了谷歌友好移动Google Mobile-Friendly 测试，并在GNU 通用公共许可证下开源。

4、运行定期更新

这是 WordPress 的基本规则： 始终保持你的网站最新。然而，不是所有人都坚持了这个规则，只有 43% 的 WordPress 网站运行的是最新版本。

问题是，当你的网站过期的时候，由于它在安全和性能修复方面落后的原因，容易受到故障、漏洞、入侵和崩溃的影响。过期的网站不能像更新的网站一样修复漏洞，攻击者能够分辨出哪些网站是过期的。这意味着他们能够依此来搜索最易受攻击的网站并袭击它们。

这就是为什么你始终要运行最新的 WordPress 版本的原因。为了保持网站安全处于最强的状态，你必须更新你的插件和主题，以及你的核心 WordPress 软件。

如果你选择一个受管理的 WordPress 托管套餐，你可能会发现你的供应商会为你检查并运行更新，以了解你的主机是否提供了软件和插件更新。如果没有，你可以安装一个开源插件管理器。比如 GPLv2 许可的 Easy Updates Manager plugin作为替代品。

5、强化你的登录

除了通过仔细选择主题和安装安全插件来创建一个安全的 WordPress 网站外，你还需要防止未经授权的登录访问。

密码保护

如果你在使用 容易猜到的短语比如 “123456” 或 “qwerty” ，第一步要做的增强登录安全最简单的方法是更改你的密码。

尝试使用一个长的密码而不是一个单词，这样它们很难被破解。最好的方式是用一系列你容易记住且不相关的单词合并起来。

这里有一些其它的提示：

• 绝不要重复使用密码
• 密码不要包括像家庭成员的名字或者你喜欢的球队等明显的单词
• 不要和任何人分享你的登录信息
• 你的密码要包括大小写和数字来增加复杂程度
• 不要在任何地方写下或者存储你的登录信息
• 使用 密码管理器

变更你的登录地址

将默认登录网址从标准格式 yourdomain.com/wp-admin变更是一个好主意。这是因为黑客也知道这个缺省登录网址，所以不变更它会有被暴力破解的风险。

为避免这种情况，可以将登录网址变更为不同的网址。使用开源插件比如 GPLv2 许可的 WPS Hide Login可以更加安全、快速和轻松的自定义登录地址。

应用双因素认证

为了提供更多的保护，阻止未授权的登录和暴力破解，你应该添加双因素认证。这意味着即使有人 确实得到了你的登录信息，但是他们还需要一个直接发送到你的手机上的验证码，来获得对你的 WordPress 网站管理的权限。

添加双因素认证是非常容易的，只需要安装另一个插件，在 WordPress 插件目录搜索 “two-factor authentication” ，然后选择你要的插件。其中一个选择是 Two Factor，这是一个流行的 GPLv2 许可的插件，已经有超过 10000 次安装。

限制登录尝试

WordPress 可以让你多次猜测登录信息来帮助你登录。然而，这对黑客尝试获取未授权访问 WordPress 网站并发布恶意代码也是有帮助的。

为了应对暴力破解，安装一个插件来限制登录尝试，并设置你允许猜测的次数。

6、禁用文件编辑功能

这不是一个适合初学者的步骤，除非你是个自信的程序员，不要尝试它。并且一定要先备份你的网站。

那就是说，如果你真的想保护你的 WordPress 网站，禁用文件编辑功能 是一个重要的措施 。如果你不隐藏你的文件，它意味着任何人从管理后台都可以编辑你的主题和插件代码，如果入侵者进入，那就危险了。

为了拒绝未授权的访问，转到你的 .htaccess文件并输入：

或者，要从你的 WordPress 管理后台直接删除主题和插件的编辑选项，可以添加编辑你的 wp-config.php文件：

define( \'DISALLOW_FILE_EDIT\', true );

保存并重新加载这个文件，插件和主题编辑器将会从你的 WordPress 管理后台菜单中消失，阻止任何人编辑你的主题或者插件代码，包括你自己。如果你需要恢复访问你的主题和插件代码，只需要删除你添加在 wp-config.php文件中的代码即可。

无论你阻止未授权的访问，还是完全禁用文件编辑功能，采取行动保护你网站代码是很重要的。否则，不受欢迎的访问者编辑你的文件并添加新代码是很容易的。这意味着攻击者可以使用编辑器从你的 WordPress 站点来获取数据，或者甚至利用你的网站对其他站点发起攻击。

隐藏文件更容易的方式是利用安全插件来为你服务，比如 Sucuri 。

WordPress 安全概要

WordPress 是一个优秀的开源平台，初学者和开发者都应该享受它，而不用担心成为攻击的受害者。遗憾的是，这些威胁不会很快消失，所以保持网站的安全至关重要。

利用以上措施，你可以创建一个更加健壮、更安全的保护水平的 WordPress 站点，并给自己带来更好的使用体验。

保持安全是一个持续的任务，而不是一次性的检查清单，所以一定要定期重温这些步骤，并在建立和使用你的CMS时保持警惕。

via: https://opensource.com/article/20/4/wordpress-security

作者：Lucy Carney选题：lujun9972译者：hwlife校对：wxy

本文由 LCTT原创编译，Linux中国荣誉推出

WordPress建站BlueHost和WP Engine哪个好?

作为目前国内最受欢迎的网站搭建程序，越来越多的站长把WordPress作为搭建网站的第一选择。现在很多美国主机商都是支持WordPress建站的，今天我们比较的是大家熟悉的两家美国主机商BlueHost和WP Engine。BlueHost是WordPress官方推荐主机商，WP Engine则是一家专门为WordPress提供主机托管的主机商，所以究竟选择哪家比较好?本文就简单对比介绍下。

一、商家背景对比

Bluehost大家应该很熟悉了， BlueHost创建于1996年并稳步发展成为世界上最大的网络托管公司之一，现在为来自世界各地超过300多万个网站提供托管服务。BlueHost还与WordPress官方有着长期的合作关系，并且早在2006年就正式成为WordPress官方推荐的托管主机之一。2014年BlueHost为了更好的服务于中国用户开通了中文站和中文客服。

WP Engine美国主机商成立于2010年，虽然起步较晚，但发展非常迅速，目前WP Engine美国主机商宣传已经拥有超过10万的用户。WP Engine是一家位于美国德克萨斯州奥斯汀的主机托管商，也是一家WordPress专用主机商。虽然在普通和专用托管领域存在很多竞争对手，但在很多方面，他们仍然是市场上的绝对领导者，并且拥有广泛的知名度和尖端功能。

二、访问速度对比

Bluehost主机有美国、香港、欧洲和印度四大机房可以选择，而且还支持全球CDN功能，可提高网页50%的加载速度，所以在访问速度方面可能比较占据优势。

WP Engine的WordPress专用主机运行速度是非常快的，WP Engine几乎能够对所有影响速度的问题进行解决，他们的定制服务器具有极其高效的缓存，甚至还会拥有比专用服务器更高级的堆栈。若用户对网站速度要求比较高，那么WP Engine将是最好的选择之一。

三、网站易用性简单对比

Bluehost主机采用cPanel面板，一键安装WordPress程序等入门所需的一切都可以在仪表板上轻松获得。对于新手用户来说操作起来也很简单。此外，BlueHost还提供仪表盘快速视图功能，可以帮助用户快速了解网站运行情况，例如查看访客明细、网页下载速度、网站正常运行时间等，功能也是非常强大。

WP Engine主机采用他们定制的控制面板，虽然功能上面可能比较简单但可能需要一些时间来习惯。Wp Engine的用户不必担心插件，更新，安装等所有问题，而使WordPress帐户联机仅需一键安装。 WpEngine有一个工具，他们称之为最受欢迎的工具，称为“应用程序性能”。此工具提供代码级可见性，以帮助团队更快地进行故障排除，优化WordPress体验并提高开发敏捷性。

从这点上来说Bluehost主机更占优势，当然如果你愿意花更多的时间去熟悉WP Engine控制面板也是可以的。

四、主机方案参数和价格对比

BlueHost主机包括Windows和Linux操作系统，一共有Plan A、Plan B和Plan C三种方案。BlueHost的Plan B和C方案支持无限流量和无限空间且不限制网站建设数量，三种方案现在可以享受30%优惠，配置低的Plan A方案优惠后只需25元/月。

目前WP Engine主机共提供STARTUP、GROWTH、SCALE三款主机方案，都是非常适合用来搭建WordPress网站的。不过需要注意的，WP Engine主机价格却不便宜，最低价格是35美元/月优惠后需要29美元/月(年付款可赠送2个月免费使用时间)。

从以上比较来看，BlueHost主机无论是首年价格还是续费价格都要比的WP Engine优惠很多，所以这个应该比较好选择。

五、客户支持对比

BlueHost支持30天退款保障，提供全天候支持系统，用户可以通过在线聊天或电话与其技术客服进行联系。BlueHost提供博客、使用指南和知识库等多种帮助性文档可以快速解决大多数常见问题。这里值得一提的是BlueHost有中文站和中文客服，这样对国内用户来说更加的方便。

WP Engine主机商承诺60天内无条件全额退款，同时发生宕机的话，每一个小时会退给用户5%的月费用。WP Engine技术团队提供7*24小时在线技术服务，关于WP Engine主机使用以及WordPress建站的一切问题都可以向他们咨询。

在客户支持这方面来说虽然WP Engine 60天退款保障要比BlueHost有优势，但是BlueHost更重视国内用户，更加本土化。

通过以上五点对比之后，那么究竟哪个比较好呢?

如果您对WordPress建站要求不是很高建议选择BlueHost，因为无论是价格还是性能配置来说，BlueHost都是 值得选择。如果您对WordPress建站要求很高可以选择WP Engine，虽然价格比较贵但是提供的服务和专业性那是无人可比的。今天评测内容和个人以及仅供参考，大家可以结合自身WordPress建站需求合理选择方案。想要了解更多WordPress建站知识可以访问BlueHost主机使用指南。