提高 WordPress 网站安全性(35种方法)

提高 WordPress 网站安全性是每个网站管理员的首要任务,以下是我们提高安全性的其中35种方法,必须根据不同的服务器和网站环境进行设置。

服务器:

  1. 安装 Fail2ban(VPS,限制登入次数)
  2. 安装防火墙(Firewall)
  3. wp-config.php 文件权限设置为 0400/0440(如果确定所有插件已没有代码需要写入这个文件)
  4. wp-config.php 文件向上移动一级(例如:此文件在 WordPress 默认的位置是位于 C:/…/beautifulwebsite/public_html/wp-config.php,将 wp-config.php 移去 beautifulwebsite 文件夹里,移去后的位置变成是在 C:/…/beautifulwebsite/wp-config.php)

WordPress:

  1. 保持更新 WordPress 核心
  2. 保持更新插件
  3. 保持更新主题
  4. 隐藏 WordPress 版本
  5. 删除已停用的插件(Remove – Deactivated Plugins)
  6. 删除已停用的主题(Remove – Deactivated Themes)
  7. 停用任何人都可以注册(Disable – Anyone can register)
  8. 停用插件/主题文件编辑器(Disable plugin & theme editor)
  9. 停用 XML-RPC 服务
  10. 停用应用密码(Disable Application Passwords,WordPress 5.6 的新功能)
  11. 删除 readme.html(位于 /public_html/readme.html)*
  12. 删除 license.txt(位于 /public_html/license.txt)*
  13. 删除 install.php(位于 /public_html/wp-admin/install.php)*
  14. 删除 upgrade.php(位于 /public_html/wp-admin/upgrade.php)*
  15. 安装 Web 应用防火墙(Web Application Firewall(WAF),例如:BBQ Pro
  16. 使用复杂安全性高的登入凭证(用户名和密码,这非常重要,无论是 WordPress、服务器和数据库用户)
  17. 安装限制登入次数插件(登入表单暴力破解防护,例如:LoginPress Pro
  18. 安装双因素认证插件(Two-factor authentication(2FA),例如:WP 2FA
  19. 安装 Google reCAPTCHA 插件(LoginPress Pro 也具备此功能)
  20. 隐藏 WordPress 用户名
  21. 阻止通过用户 ID 获取用户名(阻止从 https://example.com/?author={id} 重定向(redirect)到 https://example.com/author/{用户名}/)
  22. 更改/隐藏 WordPress 登入页面网址(https://example.com/wp-admin/ https://example.com/wp-login.php)

* 每次更新 WordPress 核心后,这些文件都会再次出现,必须每次手动删除。

数据库:

  1. 更改数据库表前缀(database table prefix,默认是 wp_)
  2. 停用数据库远程访问(Disable Remote Access)

Security Headers:

  1. X-XSS-Protection
  2. X-Content-Type-Options
  3. X-Frame-Options
  4. Strict-Transport-Security
  5. Referrer-Policy
  6. Permissions-Policy(之前叫做 Feature-Policy)
  7. Content-Security-Policy(如果网站有改变(WordPress 核心、插件、主题及功能等),这个 Policy 必须保持检查及更新,比较麻烦)

可以在 securityheaders.com 检查网站的 Security Headers:

在 securityheaders.com 扫描 WPMeow 网站的 Security Headers 的结果
扫描 Security Headers 的结果

当我们努力提高网站安全性时,有一个很重要的前提,就是必须拥有一个可靠、良好、安全的服务器,也没有使用免费或便宜且来历不明的插件和主题,不然,我们所作的这些安全功夫,也将难以保护网站。

此外,无论采取多少安全解决方案和多么严格的安全保护,请记得一定要经常保持备份、备份、备份网站哦!那是因为 WordPress 不安全吗?(不,不是的!)

分享:

留下评论