保护你的网络家园：站主提升WordPress安全性的秘密指南

修改默认的“管理员”用户名

早期，WordPress的默认管理员用户名为“admin”。由于用户名是登录信息的一部分，这使得黑客针对该用户名进行暴力破解变得更加简单。

由于WordPress不允许直接更改用户名，您可以通过以下三种方式进行修改：

1. 创建一个新的管理员用户名，并删除旧的用户名。
2. 利用用户名更改插件
3. 通过phpMyAdmin更新用户名

详细的步骤可以在我们关于如何正确修改WordPress用户名的指南中找到。

值得注意的是，我们讨论的是名为“admin”的用户名，而非管理员角色。

您可以通过在 wp-config.php 文件中添加以下代码来轻松实现此项操作。

您只需在 wp-config.php 文件中加入以下代码：

12// 禁止文件编辑define( ‘DISALLOW_FILE_EDIT’, true );

或者，您可以使用前面提到的免费 Sucuri 插件中的强化功能来一键完成。

在特定WordPress目录中禁用PHP文件执行

增强WordPress安全性的另一种方式是在不必要的目录中禁用PHP文件的执行，例如/wp-content/uploads/。

您可以通过打开记事本等文本编辑器，并粘贴以下代码来完成：

123deny from all

接着，将此文件另存为 .htaccess，并使用FTP客户端将其上传至网站的/wp-content/uploads/目录中。

限制登录尝试次数

WordPress默认允许用户无限次尝试登录。这使得网站容易遭受暴力破解攻击，黑客尝试通过不同组合破解密码。

通过限制用户的失败登录尝试次数，可以轻松解决这个问题。如果您使用了之前提到的Web应用防火墙，它会自动处理此类问题。

若您未设置防火墙，请按照以下步骤操作。

首先，安装并激活登录锁定插件。

激活后，访问设置 » 登录锁定页面以配置插件。

启用双因素身份验证

双因素身份验证要求用户采用两步验证方式进行登录。第一步是输入用户名和密码，第二步则需使用独立设备或应用进行验证。

许多知名网站，如谷歌、Facebook和Twitter，都允许用户为账户启用此功能。您也可以将其添加到您的WordPress网站中。

首先，安装并激活双因素身份验证插件。

激活后，点击WordPress管理侧边栏中的“双因素身份验证”链接。

接下来，您需要在手机上安装并打开身份验证器应用，有多个可供选择，如谷歌身份验证器、Authy和LastPass身份验证器。

在本教程中，我们将使用LastPass身份验证器，但所有应用的设置过程相似。打开应用后，点击“添加”按钮。

系统会询问您是手动输入站点信息还是扫描条形码。选择扫描条形码选项，并将手机对准插件设置页面上的QR码。

这样，您的身份验证应用就保存了相关信息。下次登录时，输入密码后，系统会要求您输入双因素身份验证代码。

只需打开手机上的身份验证器应用，输入显示的代码即可。

更改WordPress数据库前缀

WordPress默认使用wp_作为数据库中所有表的前缀。如果您仍在使用默认前缀，黑客将更容易推测您的表名，因此建议您进行更改。

您可以参考我们关于如何更改WordPress数据库前缀以增强安全性的逐步教程。

注意：操作不当可能导致网站损坏，只有在您对自己的编码能力有信心时再进行此项操作。

为WordPress管理员和登录页面添加密码保护

通常情况下，黑客可以轻易访问您的wp-admin文件夹和登录页面，这使他们能够尝试各种攻击或发起DDoS攻击。

您可以在服务器端添加额外的密码保护，有效阻止这些请求。

禁用目录索引和浏览

黑客可以通过目录浏览来查明您是否存在已知漏洞的文件，从而利用这些文件获取访问权限。

其他人也能借助目录浏览查看您的文件、复制图像、了解您的目录结构等信息，因此强烈建议您关闭此功能。

您需要通过FTP或cPanel的文件管理器连接到网站，找到根目录下的.htaccess文件。

然后，在该文件末尾添加以下行：

Options -Indexes

记得保存.htaccess文件并将其重新上传至网站。

在WordPress中禁用XML-RPC

XML-RPC在WordPress 3.5中默认启用，目的是连接您的网站与Web及移动应用。然而，它的强大功能也使暴力攻击的风险显著增加。

例如，通常情况下，黑客若想尝试500个不同的密码，将需要进行500次单独的登录尝试，而这些尝试会被登录锁定插件记录和阻止。

然而，使用XML-RPC，黑客可以通过system.multicall函数在一次请求中尝试数千个密码。

因此，如果您不使用XML-RPC，建议您将其禁用。

提示：使用.htaccess方法是资源占用最少的选择。

如果您有Web应用防火墙，它也能处理这项工作。

在WordPress中自动注销空闲用户

登录用户有时会离开屏幕，这可能导致安全隐患。其他人可能会劫持他们的会话、修改密码或更改账户设置。

这就是为什么许多银行和金融网站会自动注销非活动用户的原因。您同样可以在WordPress网站上实现此功能。

只需安装并激活非活动注销插件，激活后访问设置 » 非活动注销页面，配置插件设置即可。

只需设置超时长度并添加注销提示，别忘了点击保存更改来存储您的设置。

在WordPress登录界面添加安全问题

在WordPress登录界面中添加安全问题可以使未经授权的访问更加困难。

您可以通过安装WP安全问题插件来实现，激活后访问设置 » 安全问题页面以配置插件。

对WordPress进行恶意软件和漏洞扫描

提升WordPress安全性：如何应对黑客攻击与身份盗窃

若您已在网站上安装了WordPress安全插件，这些工具将会定期监测潜在的恶意软件及安全漏洞。

然而，若您注意到网站的流量或搜索引擎排名突然下滑，建议您亲自进行一次扫描。可以借助WordPress安全插件，或使用其他一些专门的恶意软件与安全扫描工具。

进行这些在线扫描的步骤相当简单，您只需输入网站的URL，相关工具的爬虫便会遍历您网站，寻找已知的恶意软件和恶意代码。

大部分WordPress安全扫描工具能对您的网站进行检测，但请注意，它们并不具备删除恶意软件或清理被攻击网站的能力。

应对黑客攻击的WordPress网站修复

很多WordPress用户在遭遇黑客攻击后，才意识到定期备份和网站安全的必要性。

清理被攻击的WordPress网站通常是一个复杂且耗时的过程。我们建议寻求专业人士的帮助来处理此事。

黑客往往会在受影响的网站中植入后门程序，如果没有彻底修复这些后门，您的网站可能会再次遭到攻击。

额外建议：防范身份盗窃与网络安全

作为小企业的经营者，维护我们的数字及财务身份至关重要，因为忽视这点可能会带来严重的后果。黑客和网络犯罪分子能利用您的身份窃取域名、侵入银行账户，甚至可能使您卷入犯罪活动。