5 個讓你的 WordPress 網站安全的技巧

wordpress 是迄今為止最流行的部落格平台。

正由于它的流行，也是以帶來了正面和負面的影響。事實上，幾乎每個人都使用它，使它更容易被發現漏洞。wordpress 的開發人員做了很多工作，一旦新的缺陷被發現，就會釋出修複和更新檔，但這并不意味着你可以安裝完就置之腦後。

在這篇文章中，我們将提供一些最常見的保護和強化 wordpress 網站的方法。

<a target="_blank"></a>

由第三方開發人員所開發，每個插件的品質和安全性總是值得懷疑，并且它僅取決于其開發人員的經驗。當安裝任何額外的插件時，你應該仔細選擇，并考慮其受歡迎程度以及插件的維護頻率。應該避免維護不良的插件，因為它們更容易出現易于被利用的錯誤和漏洞。

此主題也是上一個關于 ssl 主題的補充，因為許多插件包含的腳本會發出不安全連接配接（http）的請求。隻要你的網站通過 http 通路，一切似乎很好。但是，一旦你決定使用加密并強制使用 ssl 通路，則會立即導緻網站的功能被破壞，因為當你使用 https 通路其他網站時，這些插件上的腳本将繼續通過 http 提供請求。

wordfence 是由 feedjit inc. 開發的，wordfence 是目前最流行的 wordpress 安全插件，并且是每個嚴肅的 wordpress 網站必備的，特别是那些使用 woocommerce 或其它的 wordpress 電子商務平台的網站。

wordfence 不隻是一個插件，因為它提供了一系列加強您的網站的安全功能。它具有 web 程式防火牆、惡意軟體掃描、實時流量分析器和各種其它工具，它們可以提高你網站的安全性。防火牆将預設阻止惡意登入嘗試，甚至可以配置為按照 ip 位址範圍來阻止整個國家/地區的通路。我們真正喜歡 wordfence 的原因是，即使你的網站因為某些原因被侵害，例如惡意腳本，wordfence 可以在安裝以後掃描和清理你的網站上被感染的檔案。

該公司提供這個插件的免費和付費訂閱計劃，但即使是免費計劃，你的網站仍将獲得令人滿意的水準。

這是攻擊者發現你網站上的有效使用者名的一種相當簡單的方法（即找出管理者使用者名）。那麼它是如何工作的？這很簡單。在任何 wordpress 站點上的主要 url 後面跟上 <code>/?author=1</code> 即可。 例如：<code>wordpressexample.com/?author=1</code>。

rpc 代表遠端過程調用，它可以用來從位于網絡上另一台計算機上的程式請求服務的協定。對于 wordpress 來說，xml-rpc 允許你使用流行的網絡部落格用戶端（如 windows live writer）在你的 wordpress 部落格上釋出文章，如果你使用 wordpress 移動應用程式那麼也需要它。 xml-rpc 在早期版本中被禁用，但是從 wordpress 3.5 時它被預設啟用，這讓你的網站面臨更大的攻擊可能。雖然各種安全研究人員建議這不是一個大問題，但如果你不打算使用網絡部落格用戶端或 wp 的移動應用程式，你應該禁用 xml-rpc 服務。

原文釋出時間為：2017-02-15

本文來自雲栖社群合作夥伴“linux中國”