5 个让你的 WordPress 网站安全的技巧

wordpress 是迄今为止最流行的博客平台。

正由于它的流行，也因此带来了正面和负面的影响。事实上，几乎每个人都使用它，使它更容易被发现漏洞。wordpress 的开发人员做了很多工作，一旦新的缺陷被发现，就会发布修复和补丁，但这并不意味着你可以安装完就置之脑后。

在这篇文章中，我们将提供一些最常见的保护和强化 wordpress 网站的方法。

<a target="_blank"></a>

由第三方开发人员所开发，每个插件的质量和安全性总是值得怀疑，并且它仅取决于其开发人员的经验。当安装任何额外的插件时，你应该仔细选择，并考虑其受欢迎程度以及插件的维护频率。应该避免维护不良的插件，因为它们更容易出现易于被利用的错误和漏洞。

此主题也是上一个关于 ssl 主题的补充，因为许多插件包含的脚本会发出不安全连接（http）的请求。只要你的网站通过 http 访问，一切似乎很好。但是，一旦你决定使用加密并强制使用 ssl 访问，则会立即导致网站的功能被破坏，因为当你使用 https 访问其他网站时，这些插件上的脚本将继续通过 http 提供请求。

wordfence 是由 feedjit inc. 开发的，wordfence 是目前最流行的 wordpress 安全插件，并且是每个严肃的 wordpress 网站必备的，特别是那些使用 woocommerce 或其它的 wordpress 电子商务平台的网站。

wordfence 不只是一个插件，因为它提供了一系列加强您的网站的安全功能。它具有 web 程序防火墙、恶意软件扫描、实时流量分析器和各种其它工具，它们可以提高你网站的安全性。防火墙将默认阻止恶意登录尝试，甚至可以配置为按照 ip 地址范围来阻止整个国家/地区的访问。我们真正喜欢 wordfence 的原因是，即使你的网站因为某些原因被侵害，例如恶意脚本，wordfence 可以在安装以后扫描和清理你的网站上被感染的文件。

该公司提供这个插件的免费和付费订阅计划，但即使是免费计划，你的网站仍将获得令人满意的水平。

这是攻击者发现你网站上的有效用户名的一种相当简单的方法（即找出管理员用户名）。那么它是如何工作的？这很简单。在任何 wordpress 站点上的主要 url 后面跟上 <code>/?author=1</code> 即可。 例如：<code>wordpressexample.com/?author=1</code>。

rpc 代表远程过程调用，它可以用来从位于网络上另一台计算机上的程序请求服务的协议。对于 wordpress 来说，xml-rpc 允许你使用流行的网络博客客户端（如 windows live writer）在你的 wordpress 博客上发布文章，如果你使用 wordpress 移动应用程序那么也需要它。 xml-rpc 在早期版本中被禁用，但是从 wordpress 3.5 时它被默认启用，这让你的网站面临更大的攻击可能。虽然各种安全研究人员建议这不是一个大问题，但如果你不打算使用网络博客客户端或 wp 的移动应用程序，你应该禁用 xml-rpc 服务。

原文发布时间为：2017-02-15

本文来自云栖社区合作伙伴“linux中国”