全球約有 31.9% 的網站使用WordPress 作為其內容管理系統 (CMS)，互聯網上每天還有另外 50,000 個新網站也使用 WordPress。如果這還不足以讓您相信 WordPress 是 CMS 市場的主導者，請再考慮一下 Internet 上排名前 10,000 的網站，其中 3,845 個由 WordPress 提供支持。顯然，這一切對 WordPress 來說都是好事，但擁有這種流行度也有一個小缺點——CMS 巨頭也是試圖滲透網站和網絡安全系統的黑客最熱門的目標。

由于其在全球范圍內的流行和作為內容管理系統的壓倒性優勢，它是一個 CMS，它經常成為犯罪分子的目標，他們試圖劫持網站數據并持有它以勒索贖金或進行其他類型的安全威脅。這并不意味著 WordPress 的安全系統天生就很弱——事實上恰恰相反。但是，無論其當前的安全系統多么強大，WordPress 的早期版本在很大程度上仍然安裝，而那些是最容易受到攻擊的版本。如果你參考這個更新的 WordPress 統計數據，在所有被黑的 WordPress 網站中，39.3% 是最新版本之前的版本，僅僅是因為它們不包括最新的保護。

如果您有一個 WordPress 網站，您應該優化以下內容以保護它：

1. 確保您使用的是最新版本，因為該版本將包含所有最新的安全功能

2. 保持所有插件最新，因為它們也容易受到攻擊，尤其是互聯網上最新的網絡威脅

3. 遵循下面列出的一些建議，因為這些都是經過驗證的阻止網絡攻擊的技術。

阻止暴力攻擊

雖然任何人幾乎不可能猜出正確的密碼和用戶名以進入您的 WordPress 系統，但計算機猜出它要容易得多。對于 WordPress 網站尤其如此，因為系統將允許您繼續猜測密碼或用戶名，即使您繼續輸入錯誤的條目也是如此。

當然，這是您可以更改的默認情況，但許多人并不知道它可以更改，并且他們保留默認行為。這使您的 WordPress 網站容易受到暴力攻擊。為了防止這種情況發生，您可以使用一個簡單的插件來阻止任何在輸入錯誤次數達到指定次數后試圖訪問您網站的用戶的 IP 地址。一旦你安裝了Login Lockdown 插件，這個漏洞就會被關閉，暴力攻擊將不再可能。

重命名您的 WP 登錄 URL

默認情況下，WordPress 允許所有人通過導航到您網站上提供的wp-admin或wp-login.php URL 輕松登錄。每個人，包括黑客,?意識到這一事實，所以任何有犯罪意圖的人都會知道登錄頁面的確切位置，這使得它容易受到各種類型的安全威脅。

但是，如果黑客不知道您的登錄頁面在哪里，他們將無法對您的網站進行任何攻擊。隱藏登錄頁面并防止網絡罪犯找到它的最有效方法是簡單地重命名 URL。您可以使用登錄鎖定（如上所述）重命名您的登錄頁面 URL，使其具有您選擇的自定義字符串。一旦這個插件被激活，它會將所有訪問 wp-admin 的嘗試重定向回您的主頁。

有一種粗略但有效的方法可以更改 wp-login.php 文件的名稱。您所需要的只是訪問您站點的文件并手動創建一個新的登錄文件。以下是步驟：

創建一個新文件

1. 復制 wp-login.php 中的代碼，然后將其粘貼到新文件中。

2. 用新文件名替換 wp-login.php 的每個實例。您可以使用快捷方式鑰匙查找并替換以幫助您。

3. 刪除舊的 wp-login.php 文件。

通過您的新 URL 登錄。

為您的網站使用 SSL 協議

您應該為 WordPress 網站使用的防線之一是安裝安全套接字層 (SSL) 協議，因為它可以保證兩個網站之間的任何連接都是安全的。每當兩個網站連接時，大量信息和其中大部分信息將被視為敏感信息。

您可以為您的 WordPress 網站獲取多種類型的 SSL。AltusHost 為您提供3 種類型的 SSL 證書，您可以將它們用于您的 WordPress 網站。您可以按照以下步驟從 cPanel輕松安裝 SSL 證書：

1. 登錄到您的控制面板。

2. 在“安全”選項下，單擊“SSL/TLS 管理器”

3. 在“安裝和管理 SSL”下，選擇“管理 SSL 站點”

4. 復制您的證書代碼，包括 —–BEGIN CERTIFICATE—– 和 —–END CERTIFICATE—– 并將其粘貼到“Certificate: (CRT)”字段中

5. 點擊“按證書自動填充”

6. 將中間證書鏈 (CA Bundle) 復制并粘貼到下面的框中證書權威包 (捆綁式)

7. 點擊“安裝證書”

如果沒有安裝 SSL 協議，大部分信息將以普通文本形式來回發送。這意味著如果它被黑客攔截，它很容易被盜。如果安裝了 SSL 協議，則不會發生這種情況，因為它使用一種加密算法，如果沒有密鑰，數據將無法讀取。

實施雙因素身份驗證

通常，您只需提供用戶名和密碼即可登錄網站，這被稱為單因素身份驗證。為了增加讓任何人侵入您的系統的難度，您可以通過要求用戶識別的輔助方法來實現雙因素身份驗證。

一旦用戶正確提供了用戶名和密碼，您就可以向他們詢問他們的手機號碼，這樣您就可以向該手機發送一個一次性密碼。然后必須在屏幕上輸入密碼才能獲得訪問權限。或者，在正確輸入用戶名和密碼后，您可以要求用戶回答他們之前已經提供答案的秘密安全問題。可以使用已有的免費插件安裝雙因素身份驗證。

只允許通過電子郵件登錄

猜測某人的用戶名比猜測他們的電子郵件地址要容易得多，尤其是因為電子郵件地址往往要長得多。您可以通過強制用戶使用他們的電子郵件地址而不是用戶名登錄來提高網站的安全性。

任何試圖猜測電子郵件地址的黑客都必須知道地址的本地部分以及域名和頂級域所需的字符。這使得猜測變得更加困難，即使是在使用計算機進行暴力攻擊時也是如此。為了防止用戶使用他們的用戶名登錄并強制使用電子郵件登錄，您可以安裝 WP 電子郵件登錄插件。

密碼保護您的管理目錄

您可以通過在允許任何人訪問 wp-admin 目錄之前要求用戶名和密碼來為您的系統添加額外的安全層。這將迫使任何有犯罪傾向的人猜測兩組用戶名和密碼才能進入您的系統。如果您的系統位于 Apache Web 服務器上，那么實現這一點的最簡單方法是，因為 Apache 使您可以輕松地使用密碼保護系統上的任何目錄。如果 Apache 服務器不支持您的系統，您仍然可以通過與操作系統交互或安裝名為 AskApache Password Protect 的免費插件來手動執行此操作。

禁止文件編輯

WordPress 允許管理員編輯系統中的任何插件文件和任何主題。由于這是事實，如果您的任何管理員帳戶被網絡罪犯成功入侵，他/她將能夠在您現有的代碼中插入有害或惡意代碼。比這更糟糕的是，當發生這種滲透時，它幾乎是檢測不到的，因此有害活動可以在后臺進行，而您卻根本沒有意識到。

防止這種情況的唯一方法是禁止文件編輯，這可以通過簡單地在 wp-config.php 文件中添加一行代碼來實現。這是您應該添加的代碼行：

定義（'DISALLOW_FILE_EDIT'，真）；

一旦您插入了這行簡單的代碼，它將具有禁止從您的 WordPress 儀表板編輯任何類型的文件的效果，并且您將擁有一個額外的安全層。

上面的提示很簡單，但對于提高 WordPress 網站的安全性很有用，尤其是當它是一個新網站時。如果您想為您的 WordPress 網站定制一個環境，建議使用 WordPress 主機托管它。您將獲得 WordPress 網站的優化性能、安全性和易用性。