手札

如何增强WordPress安全性

内容

(访问量：603)

如果您像大多数 WordPress 用户一样，那么您可能已经安装了一个安全插件来帮助确保您的网站安全。这是一个很好的第一步，将处理您的大部分保护 – 特别是如果您启用了双因素身份验证。

但请注意，我强调了第一步。我故意这样做是因为许多人认为这是他们需要采取的唯一步骤。但是，如果您真的关心网站的安全性，那么它不应该如此。

好消息是，通过一些简单的手动配置，您可以在服务器级别增强WordPress安全性，并使您的网站显着更能抵抗攻击。作为额外的奖励，您会感觉自己像个 WordPress 安全专家——可以说是整个过程中最重要的部分。😉

因此，如果您准备好从休闲 WordPress 用户转变为专业人士并使您的网站无懈可击，那么让我们开始吧。

工具箱

信不信由你，要做到这一点，你只需要三个（可能是四个）工具。

Sucuri Site Check：用于运行初始扫描并验证更改的免费工具。
安全标头：另一个免费工具，可提供有关网站安全配置的详细反馈。
访问您的托管控制面板：我正在使用 cPanel，但我将介绍如果您有其他东西该怎么做。
文本编辑器（也许）：您的托管控制面板可能内置了一个，因此可能不需要，但我在这里列出它以防万一。

上面列表中最复杂的事情将是访问 cPanel。这并不难，但每个托管公司都有自己的方法，如果您以前从未这样做过，那么您需要弄清楚。

最简单的方法（如果您不确定）是转到托管公司的网站知识库并搜索“cPanel”。如果这不能让您找到任何东西，请联系他们的客户支持。

运行初始安全检查

在开始修改网站的代码之前，您首先需要检查它当前如何处理安全性。我将向您展示的更改非常具体，因此您需要确保它们实际上对您的网站是必要的。

在大多数情况下——特别是如果您依赖共享主机——您将需要制作它们。但是，在一些更高级别的托管 WordPress 托管计划中，您的主机可能会代表您进行调整。因此，为什么事先运行这些扫描很重要。

Sucuri 现场检查

首先，前往 Sucuri 的站点检查工具并将您的网站地址粘贴到扫描仪中：

单击“提交”，让 Sucuri 发挥其魔力。

出于本教程的目的，我故意取消了对我的个人网站的保护，以向您展示标准 WordPress 配置的外观（在您进行编辑之前）：

如您所见，扫描揭示了您在任何典型的 WordPress 设置中都会看到的五个安全漏洞。我稍后会解释它们的含义。

安全标头

虽然 Sucuri 为我们提供了很好的概述，但安全标头工具的意义更深。使用它是不言自明的，但由于这是一个指南，如果我不直接站出来说出来，会感觉不完整：

在此处输入或粘贴您网站的地址窗口，然后单击扫描。

根据您网站的大小，结果可能需要一秒钟到…嗯，更长。😅 我的初始结果是这样的：

所有的红色和巨大的 F 可能看起来有点吓人，但它实际上给了我们一些非常有用的信息。这些红色标记中的每一个都指出缺少一个安全标头，使您的网站更容易受到攻击。

我还想再次强调，即使在您的网站上安装了 Wordfence 或其他一些安全插件，您也会看到这些结果。例外情况是，如果您的托管公司或其他人进行了我们将在您之前进行的编辑。

了解所有危险信号

现在让我们整理一下扫描发现的所有内容——这些工具之间有一些重叠，但每个工具也发现了一些独特的问题。

捕获的两个工具🤝的问题

内容安全策略完全缺失——这意味着没有任何东西可以控制可以在网站上加载的脚本和内容。i️为什么这很糟糕？
缺少 X-Frame-Options，这使得该网站容易受到未经授权的嵌入的点击劫持尝试。i️为什么这很糟糕？
未设置 Content-Type-Options，这可能会启用 MIME 类型的混淆攻击。i️为什么这很糟糕？

Sucuri 的独特发现 🔍

PHP 版本在 HTTP 标头中可见。i️为什么这很糟糕？

Security Header 的额外见解 🔬

没有推荐人政策。i️为什么这很糟糕？
尚未配置权限策略。i️为什么这很糟糕？
缺少 Strict-Transport-Security。i️为什么这很糟糕？

解决这些问题的美妙之处在于，您不需要了解每一个技术细节——您只需要正确实施解决方案。方便的是，这正是我们即将要做的事情。

查找服务器文件的方式

假设您像我一样拥有 cPanel，请单击仪表板中的文件管理器：

如果您使用的是 cPanel 以外的其他工具，那么您可以下载 FileZilla（它是免费的，这里是有关如何使用它的快速指南）。安装后，使用托管仪表板中的 FTP 详细信息连接到您的服务器：

主机： – 仔细检查 cPanel FTP 部分中的地址是否正确ftp.yoursite.com
用户名：your-username
密码：your-password
端口： – 还要检查这是否是您的设置正在使用的端口（cPanel 中的 FTP）21

一些主机还会为您提供他们自己的 cPanel 替代方案，其功能可能类似。换句话说，您可能不一定要使用 FileZilla。如果您不确定，请询问客户支持。

查找 .htaccess 文件

登录后，您会看到类似于计算机文件浏览器的内容。我们需要找到一个名为.htaccess– 它控制您的服务器如何处理各种安全设置。找到它的最简单方法是使用右上角的 cPanel 文件管理器搜索功能。FileZilla 用户可以依赖类似的功能。

在窗口中键入并单击“执行”。.htaccess

如果您只有一个网站链接到您的托管帐户，那么这应该相当简单。如果您有多个站点，请确保您单击的是与要进行这些编辑的站点关联的文件。.htaccess

另一个需要注意的潜在绊线细节是，即使在单个站点设置中，您可能仍然会有其他 -ish 文件。基本上，文件名称中包含其他单词或字符。.htaccess.htaccess

你不想要这些。你只想要被调用的那个，别无他法。.htaccess

向 .htaccess 文件添加代码以修复安全问题

找到文件后，您需要在进行任何编辑之前下载它。这样，如果出现问题，您就有一个备份，可以上传回文件夹。

什么都不应该出错，但安全总比你知道的要好。

安全下载备份后，您可以继续编辑文件。在 cPanel 的文件管理器中，右键单击该文件并选择编辑。如果您使用的是 FileZilla，请右键单击并选择查看/编辑 – 这将在您的默认文本编辑器中打开该文件。.htaccess

下一部分是整个使命的顶点。在这里，您可以短暂地感觉自己像个 WordPress 安全专家。趁它持续的时候享受它。

将代码放在文件👨🏻 💻中的位置`.htaccess`

WordPress 安装通常在这里有几个部分，以和开头的注释标记。# BEGIN# END

寻找这样说的行：

# END WordPress

最安全的方法是在此之后立即添加安全标头。如果您没有看到确切的行，或者您不确定，您可以在文件的最末尾添加标题 – 只需确保在任何现有代码和新添加的代码之间留一个空行即可。

这是代码：

# BEGIN Security Headers
Header unset X-Powered-By
php_flag expose_php Off
Header set X-Frame-Options "SAMEORIGIN"
Header set X-Content-Type-Options "nosniff"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' blob: https://*.wordpress.org; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com; img-src 'self' data: https: blob:; font-src 'self' data: https://fonts.gstatic.com; frame-src 'self' https://*.wordpress.org; media-src 'self'; object-src 'none'; base-uri 'self'; form-action 'self'"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=()"
# END Security Headers