5个更安全的WordPress网站的提示-工具盒子

Web安全已发展成为我们面临的最重要的问题之一--就设计和开发而言。使用开放源码内容管理系统（如WordPress）的我们承受着更大的压力来加强安全性。不幸的事实是，随着时间的流逝，任务只会变得越来越困难。

WordPress本身就是一系列自动攻击的目标。僵尸程序正在尝试进行暴力登录，脚本和数据库注入以及大量其他恶意活动。但是，尽管预防机器人攻击至关重要，但它们远非唯一需要处理的威胁。

确实，我们还需要涵盖其他基础。除了自动威胁之外，改变人类行为可能是确保WordPress网站安全的更为重要的一步。考虑到这一点，我们现在可以做以下五件事来提高安全性。

1.培训用户最佳实践

设计师的职位描述通常包括培训客户。但是，尽管我们倾向于关注内容管理的基础知识，但这也是讨论安全性的绝佳机会。我知道，这听起来像是一个潜在的复杂讨论-但这不是必须的。

用户真正需要了解的是在线安全的基本知识。这意味着：

这些项目适用于WordPress，但也可以更广泛地应用。这样做的目的是让用户考虑自己在做什么，以防止任何不必要的风险。

5个更安全的WordPress网站的提示-WordPress极简博客

如果您花费足够的时间来构建WordPress网站，您会发现并非所有插件都是平等创建的。因为任何人都可以（至少可以想象）编写插件，所以质量可能会有很大差异。因此，在安装插件之前进行一些研究很重要。查看更新的频率，支持论坛以及使用次数（如果有）。这将使您至少对所有工作原理有所了解。

但是，一旦您决定使用插件，就不能保证从这里开始顺畅运行。而是将您安装的每个插件都视为其自身的持续维护问题。插件可能会过时或被废弃，因为作者不再有时间或兴趣来维护它们。我们还看到了在不经意间将插件出售给有恶意意图的人的地方。

为了应对这些可能性，值得紧跟一切。这意味着了解您正在使用的插件，及时了解新版本，并通常关注与WordPress有关的新闻。

最后，花一些时间例行审核维护的站点。降低风险的一种简单方法是简单地删除所有无效或不再需要的插件。这本身将有助于减少潜在的问题。

过去，SSL仅用于电子商务网站或处理敏感信息的网站。如今，它已成为标准。最近，浏览器和搜索引擎都认为警告用户仍然运行在http上的站点足够重要。

作为设计师，我们遇到的问题是，尽管很容易将SSL添加到WordPress网站，但在获得证书方面，我们并不总是决策者。在这种情况下，我们必须提倡使用SSL并教育客户有关为什么不再将其视为可选的原因。

如果幸运的话，我们的虚拟主机可以通过Let's Encrypt之类的服务提供对免费证书的访问。如果不是这样，那么至少要由我们来争取低成本的替代方案。

我们人类无法每天都在监视我们的网站。但是，有一些工具可以24/7随时注意。Wordfence或iThemes Security等安全插件是不错的选择，因为它们会寻找可疑的代码和行为。

例如，这些类型的插件可以限制登录尝试失败，阻止执行恶意代码并在软件过时时提醒您。高级版本增加了诸如国家封锁和两因素验证之类的好处。

这些插件的价值在于它们可以处理机器人和人类常见的威胁。它们不会使您的网站100％防弹，但是它们提供了额外的保护层。更重要的是，它们可以为您提供可操作的信息，从而使网站更安全。

全新安装的WordPress带有许多内置功能。但是您很有可能不会利用每一个功能。因此，将它们保持打开状态没有意义。

评论将是这里最大的罪魁祸首。并非所有站点都需要启用它们，而那些站点应该使用大量垃圾邮件防护。如果您正在构建的网站不需要此功能，请使用WordPress中的"讨论"设置将其禁用。

除此之外，请查看您可能没有使用的其他功能，例如REST API，Gravatars和XML-RPC作为可能要关闭的功能。

可能对WordPress网站安全的最大威胁不是任何特定的自动攻击，而是我们自己的行为。因此，通过更改操作，我们可以使我们的网站更难以妥协。

最重要的是，这些步骤似乎有一个共同的线索--积极主动。通过共享知识，研究我们使用的软件的背景以及在出现问题之前实施安全实践，我们正在采用安全第一的思维方式。虽然这不能使我们阻止所有可能的威胁，但它使我们处于战斗的最佳位置。