如何对WordPress进行安全检查及安全审计

确保你的WordPress网站的安全并不是一劳永逸的事情。不管你有多信任你的安全插件，或者你对网站的加固有多彻底，今天的网站安全并不代表明天的网站安全。为了防止黑客入侵，你必须定期进行WordPress安全检查及审计，填补你发现的安全漏洞。

网站黑客的策略总是在不断进步，随之而来的是保持你的网站安全的预防措施。把它看成是一个循环。一个网站越安全，黑客就越要有创造性地进入它，这意味着你的网站必须变得更加安全，以此类推。之前搬主题介绍过安全的文章【WordPress网站中毒或被黑客挂马清理修复全指南】。

争取至少每三个月进行一次WordPress安全审计。每个月更好，每周（甚至每天，取决于你的网站有多敏感）是最好的。当然，如果你觉得你的网站有什么问题，那就立即进行一次安全审计。以下任何一种情况都应该引起注意。

• 你的网站突然变得缓慢和迟钝。
• 网站流量无缘无故地大幅下降。
• 有新的账户、登录尝试或 "忘记密码 "请求。
• 你没有添加的新链接出现在你的网站上。

以下步骤是保持你的网站在安全方面处于最佳状态的必做之事。有了一份检查表，你将使你的审计工作精简，而不是压倒性的。

一、关于WordPress安全审计的概述

在某一点上，几乎每个WordPress网站都会遇到某种类型的安全问题。一个常见的问题是，一个插件或主题出现了漏洞，让黑客直接进入你的网站。一旦你的网站被黑，任何数量的事情都可能发生。

• 客户的个人数据被盗
• 显示非法的广告和内容
• 流量被转移到其他地方
• WordPress数据被加密、删除或出售

这不仅仅是一个令人头痛的问题，也不仅仅是一个瘫痪了几个小时的网站。黑客可以用你的数据来勒索赎金。你的网站的信息可以在暗网上出售。谷歌可以将你的网站列入黑名单，因为它在网页上显示垃圾邮件。如果客户的信用卡信息被盗，他们可以起诉你。一旦黑客获得了你的网站的访问权，其他网站也会被感染。

WordPress的安全审计可以识别这些漏洞，这样你就可以在黑客找到他们的方法之前，立即修补它们。你将确保你目前采取的安全步骤仍然有效，你也将找出你需要更多保护的地方。

二、评估你所使用的安全插件

你的WordPress安全插件是保护你网站的最重要工具之一。确保你的安全插件仍然在以下方面发挥作用。

• 活动日志。这可以跟踪你网站的用户，包括谁在什么时候登录，登录失败，以及网站的变化。
• 防火墙。这将阻止机器人、黑客和试图进入你的网站的IP地址。
• 登录尝试。高质量的安全插件将强制执行强大的密码，要求双因素认证并限制登录尝试。
• 登录保护。这可以阻止暴力攻击，也就是黑客尝试不同的用户名和密码组合来登录。
• 恶意软件扫描和清理。这应该每天运行，深入扫描你的网站的数据库、文件和文件夹中的恶意软件，并擦除它发现的任何东西。
• 实时警报。如果你的网站有任何可疑的情况，该插件应立即通知你。

还没有一个安全插件吗？考虑买一个，作为你的WordPress安全审计的第一步。可以参考这里【终极WordPress安全防护指南-2021 年网站安全强化的详细操作教程】

三、测试你的网站备份解决方案

如果你的网站出了什么问题，不可能或太复杂而无法修复，有一个WordPress备份意味着你可以把你的网站恢复到问题发生前的状态。然而，如果你的备份失败了，那么你就没有什么可以恢复的了，这意味着你可能被困在一个被感染或故障的网站里。理想情况下，你将使用一个备份解决方案（无论是由你的主机提供的还是你使用的插件），允许你测试你的备份，如BlogVault。你也可能想阅读我们的文章，其中有6个最好的WordPress备份插件。

四、仔细检查你的WordPress管理和FTP设置

有了WordPress，你可以让多个人登录到各种项目上工作，但这并不意味着每一个有登录资格的人都应该完全访问你的网站。而当涉及到你的FTP客户端时，允许多人访问意味着他们可以对你的网站的……嗯，一切进行修改。

当你在WordPress中添加一个新用户时，你会给他们分配一个角色（你也可以编辑他们的资料来改变他们的角色）。

不同的角色有不同的能力。例如，管理员可以访问网站的所有管理工具（如改变主题或安装插件），但贡献者只能编写和管理自己的文章。这里有一个关于不同角色及其能力的全面细分。

对于你的WordPress安全审计，请做以下工作。

• 看看哪些WordPress用户有管理级别的权限。
• 决定是否所有这些用户都需要这个级别的访问权限（以及其他拥有有限访问权限的用户是否应该成为管理员）。
• 通过更新这些人的用户角色来降低权限和限制访问。
• 如果你不认识仪表板上的用户，请删除它们--它们可能是由黑客创建的账户。
• 是否有任何用户名只是 "admin"？这是一个太常见的用户名，也是一个黑客经常试图用来访问你的网站的用户名。为这个人创建一个新的用户账户，并删除旧的账户。
• 删除那些不需要那么高权限的用户的FTP账户。

最后，如果你的网站允许会员，你要确保他们在注册时必须实际创建一个账户，而且他们的默认角色不允许管理员访问。进入设置>常规。取消勾选 "任何人都可以注册 "旁边的方框。然后，选择新用户默认角色下的适当选项。

五、确保WordPress是最新的

你可能会让它自动运行，但还是要仔细检查WordPress是否已经更新到最新的版本。更新不只是修补安全漏洞--它们还改善性能和增加功能。进入仪表板>更新，看看是否已经准备好了。

六、清理你的插件和主题

插件可以扩展你网站的功能，但它们也很容易受到攻击，特别是如果它们太久没有更新的话。可靠的开发者会一直关注他们的插件的漏洞，并发布带有补丁的更新。在你的WordPress安全更新期间，前往你的插件列表，做以下工作。

• 停用和卸载任何你不再使用的或你不认识的插件。
• 更新其余任何准备好更新的插件。
• 如果你使用的插件一直没有收到开发商的更新，考虑使用另一个具有相同功能的插件--一个过时的插件太容易出现安全问题了。

即使你每个月做一次WordPress的安全审计，更经常地检查你的插件以根据需要更新它们也是一个好主意。另外，删除任何你目前不使用的或预计不需要的主题。就像插件一样，主题也会带来安全漏洞的风险，所以最好是让你的网站尽可能不存在杂乱的主题。

七、最后总结

你不会停止在你业务的其他部分工作 - 想出新的产品或服务，营销它们，销售，等等。你的网站安全也不应该有什么不同。如果你不及时发现，一个小问题可以迅速导致一个威胁业务的黑客，但如果不知道问题所在，你就不知道该实施哪些修复措施。

保持你的网站安全是一个持续的过程，有一个可用的WordPress安全审计清单，可以省去你试图记住每个月做什么的麻烦。另外，你能用安全插件自动处理的事情越多越好。如果你要做的大部分事情是反复检查插件是否仍在正常运行，那么你的WordPress安全审计清单就会小得多。我们对两个领先的安全插件Sucuri和Wordfence进行了深入的概述和评论。

Tags：WordPress   WordPress安全防护插件   WordPress教程

转载：感谢您对Jerbo个人博客网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处“来源Jerbo个人博客”。/web/wordpress/359.html

很赞哦！ ()