那些最好的網(wǎng)站是那些只有最好的設(shè)計(jì)并且看起來(lái)更吸引眼球的網(wǎng)站的日子已經(jīng)一去不復(fù)返了。敘述正在發(fā)生變化，人們現(xiàn)在開(kāi)始將安全性作為設(shè)置網(wǎng)站時(shí)最重要的參數(shù)之一。 

醒來(lái)看到一個(gè)剛剛被臭名昭著的黑客訪問(wèn)過(guò)的網(wǎng)站對(duì)任何人來(lái)說(shuō)都不是一種愉快的經(jīng)歷，當(dāng)然也不是任何人愿意看到的景象。如果受到攻擊的是電子商務(wù)網(wǎng)站，情況會(huì)變得更糟，因?yàn)槟赡軙?huì)失去客戶，關(guān)閉您的運(yùn)營(yíng)一段時(shí)間，甚至可能在此過(guò)程中損失大量金錢(qián)——這一切都是不應(yīng)有的黑客的勝利！任何合理和負(fù)責(zé)任的網(wǎng)站所有者都不希望發(fā)生這種情況。 

對(duì)于擁有網(wǎng)站的任何人來(lái)說(shuō)，這是一個(gè)相當(dāng)嚴(yán)肅的話題，因?yàn)槿绻茨茉诰W(wǎng)站安全方面做正確的事情，那么當(dāng)任何災(zāi)難最終襲來(lái)時(shí)，您只能責(zé)怪自己。 

安全檢查清單——如何確保您的 WordPress 網(wǎng)站安全？

• 更新 WordPress

• 更新插件，甚至停用

• 更新主題

• 僅使用合法開(kāi)發(fā)人員維護(hù)良好的插件

• 使用強(qiáng)密碼并定期更改

• 保持對(duì)主機(jī)的安全訪問(wèn)

• 確保與您的網(wǎng)站共享主機(jī)的其他網(wǎng)站的安全

WordPress 的安全性如何？

了解 wordpress 是否是用于構(gòu)建網(wǎng)站的安全平臺(tái)是開(kāi)始我們的活動(dòng)的絕妙起點(diǎn)。人們只是以某種方式得到這樣的印象，即 wordpress 不是用于構(gòu)建網(wǎng)站的安全平臺(tái)。這種印象如此普遍的原因很簡(jiǎn)單——他們中的許多人在網(wǎng)站安全功能方面沒(méi)有采用最佳實(shí)踐; 其他人仍然熱衷于使用老式且?guī)缀醪辉偈褂玫?wordpress 軟件；其他幾個(gè)似乎仍然無(wú)效和無(wú)效的插件是唯一可用于裝備其網(wǎng)站的工具；另一群人對(duì)網(wǎng)絡(luò)安全是什么一無(wú)所知，而且他們的系統(tǒng)管理不善。常見(jiàn)的，讓我們面對(duì)現(xiàn)實(shí)吧，這些都是破壞任何現(xiàn)有網(wǎng)站的可靠和可靠的理由。 

[sc name=”helpbanner” title=”擔(dān)心 WordPress 的安全性？”]

要直接回答上述問(wèn)題，wordpress 是用于構(gòu)建網(wǎng)站的安全平臺(tái)。 

我們需要擔(dān)心另一群人，這些人對(duì)使用 wordpress 持懷疑態(tài)度，因?yàn)樗麄冋J(rèn)為它在安全性方面不是 100% 有效的。沒(méi)有一個(gè)建站平臺(tái)是100%安全的！事實(shí)上，如果你執(zhí)著于尋找一款100%安全的建站軟件，那你就如同一生只為追求影子的人！ 

然而，可以說(shuō) wordpress 具有強(qiáng)大的安全功能和控件，可以幫助您最大限度地減少和減輕成為那些居住在互聯(lián)網(wǎng)黑暗世界中的人的風(fēng)險(xiǎn)。 

世界上超過(guò) 34% 的網(wǎng)站由 wordpress 提供支持，這就是它應(yīng)該成為黑客攻擊目標(biāo)的一個(gè)很好的理由。這就是為什么你不能避免任何可用的安全漏洞，因?yàn)槿绻氵@樣做，你將以自己的損害為代價(jià)。 

[sc name=”helpchat”]

WordPress 有一些漏洞導(dǎo)致了您過(guò)去和今天一定聽(tīng)說(shuō)過(guò)的大部分安全漏洞，尤其是那些仍然不知道可以采取哪些措施來(lái)遏制此類(lèi)威脅的人。其中一些漏洞包括使用后門(mén)、惡意重定向、制藥黑客、DOS（拒絕服務(wù)）、跨站點(diǎn)腳本以及使用暴力登錄。這些是黑客在過(guò)去對(duì)某些 wordpress 服務(wù)器造成嚴(yán)重破壞。不過(guò)，您應(yīng)該知道的一件好事是，您可以采取多種安全措施來(lái)保護(hù)您免受此類(lèi)攻擊。  

開(kāi)發(fā)人員正在充實(shí)數(shù)以千計(jì)的插件和主題，以支持眾多 wordpress 用戶實(shí)現(xiàn)他們的各種目標(biāo)，其中一些工具最終無(wú)意中為某些漏洞和安全漏洞創(chuàng)造了空間。但這不是你應(yīng)該擔(dān)心的事情，因?yàn)橛幸粋€(gè)專(zhuān)門(mén)的 wordpress 團(tuán)隊(duì)投入了他們的時(shí)間來(lái)確保這些安全漏洞在最短的時(shí)間內(nèi)得到充分處理和糾正。這些專(zhuān)業(yè)人員中有一些是為了完成此類(lèi)任務(wù)而獲得報(bào)酬的，因此您幾乎可以想象他們?yōu)檎瓶孛恳粋€(gè)安全情況準(zhǔn)備了多遠(yuǎn)。

根據(jù)以審查網(wǎng)站安全性而聞名的研究小組進(jìn)行的一項(xiàng)調(diào)查，每天有超過(guò) 100,000 個(gè)網(wǎng)站受到數(shù)字竊賊的攻擊。因此，在創(chuàng)建一個(gè)安全的 wordpress 網(wǎng)站時(shí)，您可以做很多事情來(lái)避免任何此類(lèi)攻擊，并根據(jù)情況防止不必要的經(jīng)濟(jì)損失。這些是您可以采取的一些步驟：

安全的 WordPress 托管公司更好

永遠(yuǎn)不要錯(cuò)誤地認(rèn)為保護(hù)您的 wordpress 網(wǎng)站完全取決于您一個(gè)人。您的托管公司有自己的責(zé)任，如果他們不履行職責(zé)，無(wú)論您做什么，您的網(wǎng)站都可能被黑客入侵。只將您的業(yè)務(wù)信任已在行業(yè)中證明其價(jià)值的網(wǎng)絡(luò)托管公司。就像我們說(shuō)的那樣，一旦他們的安全功能受到威脅，您只能做很少的事情；相信我，你永遠(yuǎn)不想發(fā)現(xiàn)自己處于那個(gè)位置！

最好的托管公司確實(shí)使用服務(wù)器強(qiáng)化作為確保 wordpress 網(wǎng)站安全環(huán)境的一種手段。它使用包含硬件和軟件的多個(gè)層來(lái)確保他們的 IT 設(shè)置足以抵御任何安全威脅，無(wú)論它們多么復(fù)雜。 

他們還確保使用最新的操作系統(tǒng)正確更新他們的服務(wù)器，并定期進(jìn)行全面的測(cè)試和掃描以處理任何潛在的惡意軟件和可能性。 

試圖在沒(méi)有必要的防火墻和系統(tǒng)來(lái)檢測(cè)任何可能的入侵的情況下運(yùn)行托管服務(wù)只是一場(chǎng)等待發(fā)生的災(zāi)難。在進(jìn)行任何 wordpress 安裝之前，這些事情必須到位。這些公司還通過(guò)安裝不完全支持該平臺(tái)的安全工具來(lái)確保他們不會(huì)損害您網(wǎng)站的性能。 

使用智能登錄憑證

通過(guò)簡(jiǎn)單地沉迷于使用出色的密碼和用戶名，您可以使您的 wordpress 網(wǎng)站對(duì)黑客來(lái)說(shuō)難以捉摸。一些站點(diǎn)管理員出于某種原因仍然喜歡使用看起來(lái)很笨的密碼來(lái)登錄他們的站點(diǎn)，當(dāng)這種情況發(fā)生時(shí)，您幾乎可以猜到后果。根據(jù)幾年前某技術(shù)期刊進(jìn)行的一項(xiàng)調(diào)查，站點(diǎn)管理員最常用的密碼是 1234567，其次是許多其他容易猜到的密碼。就是這么糟糕。

您想知道為什么高級(jí)網(wǎng)站強(qiáng)制使用密碼強(qiáng)度來(lái)衡量密碼的復(fù)雜性。如果您希望擁有一個(gè)受到高度保護(hù)的 wordpress 站點(diǎn)，那么您需要首先采用潛在黑客無(wú)法立即猜到的好密碼！ 

幸運(yùn)的是，有許多在線工具可以幫助您選擇密碼。在 Google 中進(jìn)行一些搜索，我相信您會(huì)找到合適的答案。 

wordpress 安裝附帶一個(gè)默認(rèn)用戶名 Admin，切勿嘗試使用該帳戶。為您的管理員想出您自己的唯一用戶名，并為其分配管理員角色。然后在創(chuàng)建自定義管理員帳戶后刪除默認(rèn)管理員用戶名。實(shí)現(xiàn)此目的的另一種方法是進(jìn)入 phyMyAdmin 并執(zhí)行以下命令。當(dāng)然，在備份你的表之后。

更新 wp_users SET user_login = 'customadminuser' WHERE user_login = 'admin';

沒(méi)有什么比最新版本的 PHP

正如我們所知，WordPress 非常依賴(lài) PHP 來(lái)完成工作。因此，知道您的主機(jī)服務(wù)器應(yīng)該運(yùn)行最新版本的 PHP 以確保您的網(wǎng)站安全并不是一件容易的事。 

每個(gè)發(fā)布的 PHP 版本只會(huì)在接下來(lái)的兩年內(nèi)獲得所需的支持。在那段時(shí)間之后，用戶將自行承擔(dān)使用它的風(fēng)險(xiǎn)。不幸的是，多達(dá) 56% 的許多用戶仍在使用 5.6 或更低版本的 PHP 來(lái)進(jìn)行 Web 開(kāi)發(fā)。 

這在很大程度上是不充分和不恰當(dāng)?shù)模粫?huì)給網(wǎng)站所有者帶來(lái)更多問(wèn)題。如果您不想為管理您的 wordpress 網(wǎng)站而心痛，則不必屬于此類(lèi)。 

除了在金盤(pán)上將敏感數(shù)據(jù)犧牲給黑客之外，運(yùn)行舊版本的 PHP 會(huì)很好地影響您的 wordpress 網(wǎng)站的性能，而現(xiàn)在任何人都不想拿這個(gè)因素開(kāi)玩笑。 

找出您的 wordpress 主機(jī)當(dāng)前使用的 PHP 版本。您可以通過(guò)幾種方式做到這一點(diǎn)。一種方法是在 pingdom 上運(yùn)行您的網(wǎng)站。如果它恰好低于可接受的當(dāng)前和安全的 PHP 版本，那么您可以使用您的 CPanel 來(lái)切換您的版本。 

鎖定您的 WordPress 管理員

充分鎖定您的 wordpress 管理部分是保護(hù)您的網(wǎng)站的好方法。這將使黑客幾乎不可能在您的網(wǎng)站上找到任何后門(mén)，因?yàn)檫@是他們中的一些人喜歡開(kāi)始的地方?，F(xiàn)在，您可以通過(guò)兩種方式執(zhí)行此操作。首先，您可以通過(guò)修改 wordpress 登錄的 URL 來(lái)挫敗攻擊者。 

wordpress 管理員的默認(rèn) URL 格式為 domain_name.com/wp-admin。如果你能改變這個(gè)，你就會(huì)為自己創(chuàng)造一個(gè)美好的世界，因?yàn)槟抢锏拿總€(gè)人（包括好人和壞人）都知道這是默認(rèn) URL，并且可能會(huì)決定試試運(yùn)氣。 

要成功修改此 URL，您可以使用幾個(gè)免費(fèi)插件，例如 WPS 隱藏登錄。 

第二種方法是限制某人嘗試登錄的次數(shù)。這種方法已被證明在阻止黑客入侵方面非常有效。探索可用的工具，因?yàn)樗鼈兛梢詭椭x鎖定持續(xù)時(shí)間、登錄次數(shù)以及 IP 黑名單和白名單。 

您使用的一切都應(yīng)該是最新版本

與我們之前提到的一致，太多的 wordpress 用戶發(fā)現(xiàn)自己在構(gòu)建網(wǎng)站時(shí)糾結(jié)于過(guò)時(shí)的部分。這些用戶幾乎沒(méi)有意識(shí)到創(chuàng)建安全 wordpress 網(wǎng)站的一個(gè)簡(jiǎn)單技巧是確保您用于該項(xiàng)目的所有內(nèi)容都應(yīng)該是最新版本。從 WordPress 軟件到您選擇的主題再到您正在使用的插件，一切都必須是最新的副本。這些更新版本通常具有改進(jìn)的安全性以及大量錯(cuò)誤修復(fù)。 

今天將自己從那些只是覺(jué)得他們不需要更新他們正在使用的任何東西的企業(yè)中趕出去。這是一種只會(huì)在以后導(dǎo)致厄運(yùn)的商業(yè)策略。您很可能會(huì)遇到錯(cuò)誤，甚至只是因?yàn)槟褂眠^(guò)時(shí)版本的插件來(lái)執(zhí)行您的 wordpress 網(wǎng)站而導(dǎo)致網(wǎng)站損壞。 

對(duì)于網(wǎng)站所有者來(lái)說(shuō)，另一個(gè)有趣的統(tǒng)計(jì)數(shù)據(jù)是，超過(guò) 50% 的被黑客利用的 wordpress 漏洞是過(guò)時(shí)插件的結(jié)果。通過(guò)探索任何可用的最佳 wordpress 網(wǎng)站安全插件，讓自己免于心痛。此外，專(zhuān)家通常建議您不要只是在網(wǎng)絡(luò)上選擇任何插件并開(kāi)始使用它們。如果您可以訪問(wèn)受信任的插件，那會(huì)好很多。因此，養(yǎng)成從開(kāi)發(fā)人員的存儲(chǔ)庫(kù)獲取插件的習(xí)慣，或者在應(yīng)用它們供您使用之前使用在線掃描工具對(duì)您下載的任何內(nèi)容進(jìn)行檢查。 

[sc name=”helpchat”]

更新 WordPress 核心

大多數(shù)托管公司確實(shí)提供一鍵式解決方案來(lái)更新您的 wordpress 核心。這是一個(gè)更簡(jiǎn)單的選項(xiàng)，因?yàn)樗鼤?huì)自動(dòng)處理更新。 

要完成此操作，請(qǐng)進(jìn)入 wordpress 儀表板并單擊“立即更新”。 

您同樣可以通過(guò)手動(dòng)下載最新的 wordpress 版本來(lái)實(shí)現(xiàn)這個(gè)目標(biāo)。使用此方法的唯一問(wèn)題是您必須非常小心，以免最終覆蓋錯(cuò)誤的目錄。因此，特此建議您在繼續(xù)使用此選項(xiàng)之前咨詢(xún)開(kāi)發(fā)人員。 

升級(jí)到最新版本時(shí)請(qǐng)遵守以下步驟：

• 刪除舊的 wp-includes 以及 wp-admin 目錄。

• 上傳最近的 wp-includes 和 wp-admin 目錄。

• 將文件從新目錄單獨(dú)上傳到您的 wp-content 文件夾。確保您不要?jiǎng)h除 wp-content 中的任何文件夾或文件，除非您打算覆蓋這些文件夾或文件。 

• 將新版本根目錄中的每個(gè)新文件上傳到 wordpress 的根目錄。 

更新 WordPress 插件

您還可以自動(dòng)或手動(dòng)更新您的 wordpress 插件。自動(dòng)更新過(guò)程與上面的方式幾乎相似。 

為此，請(qǐng)導(dǎo)航到您的 wordpress 儀表板并單擊“更新”，選擇您要更新的插件并單擊“更新插件”。它是如此簡(jiǎn)單！

對(duì)于手動(dòng)更新，從開(kāi)發(fā)人員的存儲(chǔ)庫(kù)獲取插件或轉(zhuǎn)到 wordpress 存儲(chǔ)庫(kù)并下載它并通過(guò) FTP 上傳它以覆蓋以前位于此目錄中的插件：/wp-content/plugins。

HTTPS 更適合加密連接

站點(diǎn)所有者的一個(gè)主要誤導(dǎo)性信念是，許多人認(rèn)為 SSL 僅適用于運(yùn)行使用信用卡和類(lèi)似東西處理金融交易的網(wǎng)站的人。HTTPS，即安全超文本傳輸協(xié)議，只是一種確保您的 Web 應(yīng)用程序或 Web 瀏覽器與網(wǎng)站安全連接的措施。 

因此，如果您想在在線社區(qū)中保持安全，那么您應(yīng)該確保始終對(duì)所有加密連接使用 HTTPS。并且為了您的信息，有很多顯而易見(jiàn)的原因可以向所有人推薦 HTTPS，即使您沒(méi)有運(yùn)行電子商務(wù)網(wǎng)站。其中一些原因包括： 網(wǎng)絡(luò)內(nèi)容加密；增加搜索引擎的機(jī)會(huì)；向網(wǎng)站訪問(wèn)者保證您是值得信賴(lài)的；網(wǎng)站不會(huì)被標(biāo)記為不安全；以合理的程度提高您的網(wǎng)站性能。 

采用兩階段認(rèn)證

有時(shí)您不能僅僅依靠密碼驗(yàn)證來(lái)保護(hù)您的 wordpress 站點(diǎn)。事實(shí)上，您不能太確定密碼的強(qiáng)度。那些黑客可能只是偶然發(fā)現(xiàn)了您的密碼，而您不想講述剩下的故事！

如今，兩階段身份驗(yàn)證已成為優(yōu)先事項(xiàng)，因?yàn)樗谂鷾?zhǔn)登錄之前使用除密碼之外的另一種方法。在很多情況下，談到的附加方法可能是電話、簡(jiǎn)單的短信或 OTP（一次性密碼）。 

對(duì)于采用兩階段身份驗(yàn)證過(guò)程的網(wǎng)站，暴力攻擊大多不會(huì)成功。因此，兩階段身份驗(yàn)證是您不想想當(dāng)然的wordpress網(wǎng)站安全功能之一！

應(yīng)隱藏 WordPress 版本

保護(hù)您的 wordpress 站點(diǎn)免受未經(jīng)授權(quán)訪問(wèn)的可靠方法是讓那些想知道的人不知道您的 wordpress 版本。沒(méi)有什么比知道您使用的是過(guò)時(shí)的 wordpress 更能讓入侵者高興的了。他們掌握的有關(guān)您的 wordpress 網(wǎng)站配置的信息越多，他們攻擊此類(lèi)網(wǎng)站的機(jī)會(huì)就越大。 

通常，您的 wordpress 站點(diǎn)的版本總是寫(xiě)在您網(wǎng)站的源代碼標(biāo)頭中。但是，如果您正在實(shí)施最新的 wordpress 版本，那么您將不需要將此作為額外的安全措施。 

話雖如此，如果您使用的是舊版本的 wordpress，您可以通過(guò)將以下代碼引入您的 functions.php 文件來(lái)刪除該版本：

函數(shù) wp_version_remove_version() {

返回 ”;

}

add_filter('the_generator', 'wp_version_remove_version');

或者最好是，您可以采用一鍵式解決方案來(lái)完成工作。一個(gè)可行的解決方案是 Perfmatters。 

編輯wordpress代碼

增強(qiáng) wp-config.php

協(xié)調(diào)任何 wordpress 安裝的一個(gè)關(guān)鍵功能是 wp-config.php。它包含一些關(guān)于您的安裝的非常有價(jià)值的信息，例如您的數(shù)據(jù)庫(kù)登錄、安全加密和其他相關(guān)信息。您可以通過(guò)執(zhí)行下面將突出顯示的一些操作來(lái)強(qiáng)化此文件的外觀：

• 確保更新您的 wordpress 安全密鑰——這些密鑰只不過(guò)是一組安全信息，用于增強(qiáng)用戶 cookie 中包含的信息的加密。wordpress 2.7的出現(xiàn)，引入了AUTH_KEY、LOGGED_IN_KEY、SECURE_AUTH_KEY、NONCE_KEY。安裝成功后，這些密鑰通常會(huì)自動(dòng)為您生成。但是，如果您似乎是從其他人那里繼承站點(diǎn)，那么這可能是需要一些新的 wordpress 密鑰集的充分理由。 

• 更改 wp-config.php 文件的位置——當(dāng)您使用默認(rèn)的公共 HTML 文件夾存儲(chǔ) wp-config.php 文件時(shí)，您可能會(huì)遇到麻煩。這可以通過(guò)將此類(lèi)敏感文件移動(dòng)到非 www 可訪問(wèn)的目錄來(lái)避免。要更改 wp-config.php 文件的位置，請(qǐng)復(fù)制其所有內(nèi)容并將其粘貼到新文件中。完成后，返回 wp-config.php 文件并發(fā)布以下代碼： 

<?php

include('/home/your_unique_name/wp-config.php'); 請(qǐng)注意，您自己的目錄路徑將取決于您的虛擬主機(jī)的目錄路徑以及設(shè)置。 

• 更改權(quán)限——通常，wordpress 網(wǎng)站根目錄中的文件通常設(shè)置為 644。這僅僅意味著該文件將可讀和可寫(xiě)，由文件所有者、組所有者和其他所有人讀取。根據(jù) wordpress 文檔的規(guī)定，wp-config.php 文件權(quán)限應(yīng)為 4wp-config.php 文件權(quán)限應(yīng)為 400 或 440，因?yàn)檫@會(huì)阻止服務(wù)器內(nèi)的其他用戶訪問(wèn)它。使用您自己的 FTP 客戶端進(jìn)行更改。 

你不需要 XML-RPC

記錄表明，XML-RPC在 wordpress 站點(diǎn)上執(zhí)行暴力破解措施而受到黑客的歡迎。正如網(wǎng)絡(luò)專(zhuān)家所說(shuō)，XML-RPC 的缺點(diǎn)之一是它允許用戶通過(guò)其 system.multicall 方法對(duì)單個(gè)請(qǐng)求進(jìn)行多次調(diào)用。當(dāng)出于正確的原因使用它時(shí)，這無(wú)疑是好的。唯一的問(wèn)題是它也可能被錯(cuò)誤的人用來(lái)幫助他們自己的邪惡和自私的道路。 

所以這就是為什么您當(dāng)然不需要任何 XML-RPC 的原因；它似乎更像是一種安全責(zé)任，而不是一種保護(hù)資產(chǎn)。話雖如此，您的 wordpress 站點(diǎn)目前不太可能在啟用此功能的情況下運(yùn)行。但是，為了讓您對(duì)它有絕對(duì)的把握，您可以嘗試使用任何可用的在線工具來(lái)驗(yàn)證它的狀態(tài)。如果碰巧啟用了它，那么請(qǐng)?jiān)谑褂媚?wordpress 網(wǎng)站之前將其禁用。

為 WordPress 采用安全插件

如果您認(rèn)為 wordpress 的安全插件只是為了好玩，那么我認(rèn)為您可以原諒。WordPress 安全插件仍然是確保您的 wordpress 網(wǎng)站安全的重要組成部分。 

從用戶創(chuàng)建個(gè)人資料時(shí)生成強(qiáng)密碼，到惡意軟件掃描，再到跟蹤 DNS 更改，這些安全插件的用途非常廣泛，而且非常重要，不容忽視。wordpress 安全領(lǐng)域的一些著名插件包括 WordFence Security、SecuPress、iThemes Security 和 WP fail2ban。這些最好的 wordpress 網(wǎng)站安全插件確實(shí)確保他們不時(shí)檢查您的網(wǎng)站并確保核心文件沒(méi)有受到任何損害。 

使用最新的 HTTP 安全標(biāo)頭

提高wordpress 網(wǎng)站安全功能的一種便捷方法是利用安全標(biāo)頭。它們的配置通常在 Web 服務(wù)器級(jí)別，指示瀏覽器在處理您網(wǎng)站上的內(nèi)容時(shí)執(zhí)行的操作。有很多 HTTP 標(biāo)頭可供您使用；然而，本文只是在這里列出一些最重要的：Public-Key-Pins、X-XSS-Protection、Strict-Transport-Security、Content-Security Policy、X-Frame-Options 和 X-Content -類(lèi)型。 

但是，如果您不確定 HTTP 安全標(biāo)頭的類(lèi)型，您可以通過(guò)打開(kāi) chrome 的開(kāi)發(fā)人員工具進(jìn)行檢查，并仔細(xì)查看第一個(gè)響應(yīng)中包含的標(biāo)頭。 

同樣，如果您不習(xí)慣自己處理這個(gè)問(wèn)題，您可以咨詢(xún)開(kāi)發(fā)人員的服務(wù)。 

檢查文件以及服務(wù)器權(quán)限

在安裝和 Web 服務(wù)器的過(guò)程中，對(duì)文件權(quán)限了解一兩件事非常重要。如果您沒(méi)有足夠嚴(yán)格的權(quán)限來(lái)阻止犯罪傾向，您可能會(huì)在不知不覺(jué)中丟棄很多東西。 

您必須知道如何為適當(dāng)?shù)挠脩舴峙湔_的文件和目錄權(quán)限。如果您不知道，讀取權(quán)限適用于被允許讀取文件的用戶，寫(xiě)入權(quán)限適用于有權(quán)更改所述文件內(nèi)容的用戶，而執(zhí)行權(quán)限僅適用于被允許的用戶運(yùn)行腳本。 

對(duì)于目錄，可以為有權(quán)訪問(wèn)和查看該目錄內(nèi)容的人分配讀取權(quán)限；寫(xiě)權(quán)限適用于可以在指定目錄中添加或刪除文件的用戶；執(zhí)行權(quán)限是有權(quán)訪問(wèn)指定的目錄并運(yùn)行命令及其上的功能。 

盡量不要通過(guò)為錯(cuò)誤的用戶分配不同的權(quán)限來(lái)混淆這些。作為更直接的指南，您可以使用下面的這些要點(diǎn)來(lái)分配您的 wordpress 網(wǎng)站的權(quán)限：

• 文件最好使用 640 或 644 權(quán)限。一個(gè)應(yīng)該被排除的文件是 wp-config.php 文件，它應(yīng)該是 400 或 440，這樣碰巧在同一臺(tái)服務(wù)器上的其他未經(jīng)授權(quán)的用戶就無(wú)法訪問(wèn)它。

• 目錄最好使用 750 或 755 權(quán)限。

• 避免為任何目錄分配 777 權(quán)限，包括用于上傳的目錄。 

始終確保備份

備份的說(shuō)教永無(wú)止境，但令人擔(dān)憂的是，用戶在備份他們的資料方面做得還不夠。您可以通過(guò)部署一些最先進(jìn)的安全措施來(lái)?yè)敉斯粽?，這是絕對(duì)正確的。 

然而，在計(jì)算機(jī)世界中，任何事情都必然會(huì)發(fā)生。因此，確保您的內(nèi)容安全的唯一方法是確保您不時(shí)進(jìn)行備份活動(dòng)。幸運(yùn)的是，許多托管公司現(xiàn)在都提供各種格式的備份服務(wù)。有些非常簡(jiǎn)單，您只需單擊一個(gè)按鈕，您的 wordpress 站點(diǎn)就會(huì)得到備份。 

然而，如果您正在光顧缺乏此類(lèi)功能的托管公司，那么您并不孤單。有幾個(gè)插件可以自動(dòng)備份并最終使它成為一個(gè)方便的過(guò)程。這些插件讓您可以通過(guò) FTP 或與 Google Drive、Dropbox 或 Amazon S3 等外部存儲(chǔ)集成來(lái)獲得備份副本。其中一些插件包括 WP Time Capsule、UpdraftPlus、BackWPup、Duplicator 等。 

注意：大多數(shù) web 專(zhuān)家和推薦基于增量的解決方案作為這里的方法。這樣的插件需要更少的資源并且不會(huì)影響性能。 

或者，您可以通過(guò)訂閱備份服務(wù)來(lái)應(yīng)對(duì)備份挑戰(zhàn)。這些服務(wù)可幫助您將內(nèi)容存儲(chǔ)在云中，每月收取少量費(fèi)用。它們包括 CodeGuard、VaultPress 和 BlogVault。 

DDOS防護(hù)

如果您認(rèn)為讓您的網(wǎng)站被黑是一種有趣的經(jīng)歷，那么請(qǐng)等到您遇到 DoS 或拒絕服務(wù)攻擊。這種攻擊利用各種系統(tǒng)來(lái)攻擊單個(gè)網(wǎng)站。他們的動(dòng)機(jī)？通常，此類(lèi)攻擊的重點(diǎn)只是在短時(shí)間內(nèi)關(guān)閉您的網(wǎng)站。 

有一些服務(wù)可以幫助您抵御對(duì)您的 wordpress 網(wǎng)站的這種形式的攻擊。其中一項(xiàng)服務(wù)是Cloudfare。任何真正想讓這些吸血鬼遠(yuǎn)離他們站點(diǎn)的人都可以依賴(lài)他們提供的針對(duì) DDOS 攻擊的內(nèi)容。它以神秘的方式工作，其中之一是使用代理保護(hù)您的 IP 地址，這樣黑客就不知道如何獲取您的確切信息。 

安全托管

安全的托管公司可以是避免所有這些麻煩的好方法。如果您缺乏實(shí)施上面推薦的所有選項(xiàng)的專(zhuān)業(yè)知識(shí)或技術(shù)訣竅，您的托管公司會(huì)很樂(lè)意為您提供幫助，因?yàn)檫@是幫助他們的客戶實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的一種方式。因此，您今天就可以通過(guò)連接來(lái)節(jié)省精力！ 

概括

你不需要在沒(méi)有采取必要的安全措施的情況下運(yùn)行你的 wordpress 站點(diǎn)，因?yàn)檫@是每個(gè)人都這樣做的方式。根據(jù)您在這篇文章中學(xué)到的所有知識(shí)，如果您將黑客攻擊成功的借口寄托在不知道自己應(yīng)該做什么上，那將是有罪的。為什么不通過(guò)創(chuàng)建一個(gè)wordpress 網(wǎng)站安全檢查表并使用它來(lái)確保在您做任何事情之前所有安全功能都到位，從而在您的網(wǎng)站安全方面采取大膽的步驟。最有趣的是，其中一些安全措施的成本并不像許多人擔(dān)心的那樣高。您可以部署最好的網(wǎng)站安全功能沒(méi)有在你的口袋里燒一個(gè)洞。與您的 wordpress 網(wǎng)站因黑客策劃的安全漏洞而遭受一些停機(jī)時(shí)間相比，上述所有措施都是便宜的。因此，今天要保持安全，不要忽視本文中提出的所有建議，因?yàn)檫@是確保您的業(yè)務(wù)永不中斷的最可靠方法。