32步WordPress网站安全终极检查清单

上周五，我们WordPress中文网与大家分享了2016年1季度WordPress安全趋势报告，其中有3个过期插件引发8000多个网站遭黑客入侵，给我们留下了深刻的印象。那么，如何才能保护你的WordPress网站安全呢？今天，WordPress中文网就给你分享一个32步的检查清单，保护你WordPress网站免受入侵。

网站安全至关重要

不管你的网站是个人博客，还是企业网站，网站数据安全都十分重要。

有许多用户总觉得自己只是一个小网站，应该没人感兴趣，不会有人专门来黑自己的网站。但实际上并非如此。黑客寻找网站，往往是通过程序来自动寻找的，并不是手动一个个查找，因此哪个网站中招，都是随机的。

我们WordPress中文网同时向用户提供专业的WordPress主机，几乎每一两个月就会有用户反应网站被黑。这些网站，大部分也都是普通的企业或个人网站。这其中有的网站是主页变成了恐怖组织的骷髅头，有的是成为诈骗钓鱼网站的帮凶，还有的向外发送垃圾邮件。

正如WordPress安全趋势报告所说，网站被黑并不说明WordPress这样的开源平台不安全，因为这些平台本身都会在第一时间来修补发现的漏洞，他们的安全性要比其他软件更高。网站被黑的主要原因是，用户没有及时更新到最新版本，以及使用了来源不可靠的或者过期的扩展，包括主题、插件等。

那么，怎么才能确保WordPress网站的安全呢？除了选择安全可靠的WordPress主机外，以下这份32步检查清单，可以有效帮你保护你的网站。

32步安全检查清单 – 目录

这是一个来自国外知名网站WPMU DEV推荐的安全检测清单，其中内容基本上涉及到了常见安全问题的方方面面。我们来一起看一下这份清单，我们今后几天将详细介绍如何进行32步安全检查：

• 32步WordPress网站安全终极检查清单：第1~5步
  
  1. 保持使用最新版本的WordPress；
  2. 不要修改WordPress的内核代码；
  3. 确保所有插件更新到最新版本；
  4. 移除所有未激活、未启用的插件；
  5. 确保所有主题更新到最新版本；
• 32步WordPress网站安全终极检查清单：第6~12步
  1. 仅安装下载自其官方网站的插件、主题和脚本程序；
  2. 选择安全可靠的WordPress主机服务商；
  3. 确保你的网站运行在最新版的PHP版本上；
  4. 修改默认的admin用户名；
  5. 使用强健安全的密码；
  6. 不要重复使用密码；
  7. 注意保护密码的安全，不要使用文本格式来保存密码；
• 32步WordPress网站安全终极检查清单：第13~17步
  1. 只在可信任网络中更新你的网站；
  2. 本地计算机要安装杀毒软件；
  3. 使用Google Search Console等类似服务监控网站安全；
  4. 使用安全防护插件来保护你的WordPress网站；
  5. 如果其他步骤失败了，那使用备份文件恢复网站；
• 32步WordPress网站安全终极检查清单：第18~22步
  1. 限制尝试登录的行为；
  2. 启用双重认证（可参考本站推荐的25个最受欢迎的WordPress插件之25）
  3. 确保文件权限设置正确；
  4. 修改默认的数据库表前缀；
  5. 确保设置了WordPress秘密认证验证密钥；
• 32步WordPress网站安全终极检查清单：第23~27步
  1. 禁用执行PHP代码；
  2. 隔离数据库；
  3. 限制数据库用户的权限；
  4. 禁止文件编辑；
  5. 保护wp-config.php文件的安全；
• 32步WordPress网站安全终极检查清单：第28~32步
  1. 禁用xml-rpc功能（如果你不需要这一功能的话）；
  2. 禁用PHP错误报告功能；
  3. 安装防火墙；
  4. 使用CDN防火墙；
  5. 通过安全日志监视WordPress网站安全。

各位使用WordPress建站的用户及站长，请对照以上清单进行检查，做好网站安全防范工作，以免你的网站遭遇入侵，给你带来更大的损失。

本文出自：

32步WordPress网站安全终极检查清单 – 目录