1 、保护你的计算机

确保 WordPress 网站安全的下一个重要步骤是保护您的计算机。我建议您始终在计算机上使用付费防病毒软件。此外，在为您的 WordPress 网站聘请开发人员时，请确保开发人员运行付费防病毒软件。我推荐的付费防病毒软件是卡巴斯基，因为我已经使用它很多年了。

卡巴斯基： https://www.kaspersky.com/

2、两步验证

始终为与您的网站托管服务提供商关联的电子邮件帐户设置两步验证。一些托管服务提供商提供两步验证，我强烈建议使用此功能。安全层越多，黑客进入您的网站就越困难。您将面临同样漫长的

每次尝试访问 WordPress 网站的托管网站中的托管仪表板时，都要经过所有安全措施。相信我，为了保护您的投资，所有这些麻烦都是值得的。

 

就 WordPress 而言，没有内置的两步验证功能。不过，您可以使用其他插件来帮助您设置双因素身份验证。例如，您可以选择 Google Authenticator 或 mini Orange 的 Google Authenticator 等插件，因为这些插件支持基于时间的 OTP (TOTP) 和通过短信或电子邮件发送的 OTP。此方法的工作方式类似于您的电子邮件，具有两步验证功能，为您的 WordPress 网站仪表板提供额外的安全保护。

我推荐这些插件，因为我曾经使用过它们，但是，如果它可以完成同样的实现两步验证的工作，那么您可以选择任何其他插件。

Google 身份验证器：https://WordPress.org/plugins/google-authenticator/

3 、防火墙插件

拥有一个安全插件来保护您的 WordPress 网站至关重要。WordPress 中的安全插件只不过是一个防火墙插件。除非您有任何其他兼容的安全插件，否则建议您在 WordPress 网站上使用 Wordfence、All-In-One Security (AIOS) – Security and Firewall、Sucuri Security、iThemes Security 和 Jetpack 等防火墙插件。Jetpack 插件需要特别提及，因为它由与 WordPress 相同的组织运营和维护。

除了我关于安全插件的建议外，选择 Wordfence插件，因为它是目前最流行的 WordPress 安全插件。此防火墙插件包括一个 端点防火墙和恶意软件扫描程序以及其他附加功能。Wordfence 插件免费许可证以其免费服务而闻名。此外，它还提供一系列具有附加功能的高级计划。它与几乎所有 Web 服务器（如 Nginx 和 Apache）兼容。

因此，建议为 WordPress 网站使用 Wordfence 防火墙插件，因为在您的 WordPress 网站加载期间，当用户流量通过 Wordfence 插件时，将进行实时安全过滤。

此外，您可以选择任何您喜欢的安全插件，以及最适合您需求的插件。不过，首先，我给您一些建议。

4 、安全插件的特点

在选择安全插件时，您可以关注的其他基本功能包括文件和恶意软件扫描、暴力攻击预防、带黑名单监控的 IP 过滤和 Web 防火墙。您还可以查看其他功能，例如我们之前讨论过的 DDOS 保护、安全监控、电子邮件警报、双因素身份验证等。作为 WordPress 网站所有者，您永远不要忘记至少安装一个安全插件。

 

5 、使用更多 不止一个安全插件

不同的安全插件可能具有相同的功能。因此，将这些插件一起安装没有任何好处。您可以安装多个安全插件，只要它提供额外的安全控制即可。但是，安装一个安全插件就足够了。您应该始终尝试将网站上的插件数量降至最低。如果这些插件相互冲突，使用如此多的插件甚至会减慢您的网站速度。

在您了解托管服务提供商的 Web 服务器详细信息的情况下（例如，托管服务提供商使用 Apache Web 服务器来托管网站），您还可以安装 All-In-One Security (AIOS) – 安全和防火墙插件，以获得 Wordfence 等防火墙未提供的额外防火墙安全选项。

默认情况下，WordPress 会在网站的根目录中创建一个 .htaccess 文件（隐藏）。如果您的网站在 Apache Web 服务器上运行，则此文件对于运行您的 WordPress 网站是必需的。但如果您的网站在 Nginx Web 服务器上运行，则 WordPress 网站不需要 .htaccess 文件。

必须提到的是，WordPress 中的 .htaccess 文件是Apache Web 服务器的服务器配置文件。通过此文件可以在 WordPress 网站上进行重定向、安全性和性能优化。

而且，由于您为托管在 Apache Web 服务器上的 WordPress 网站安装了附加插件，即 All-In-One Security (AIOS) – 安全和防火墙插件，该插件将添加一些用于在 .htaccess 文件中添加规则的代码。因此，每次访问者访问您的 WordPress 网站时，Apache Web 服务器都会在 WordPress 加载之前处理 .htaccess 文件中的防火墙规则。

其他 Web 服务器（如 Nginx）运行时无需 .htaccess 文件，因此它们的功能不同。因此，任何条目（如 .htaccess 文件中的规则）都不会被 Nginx 服务器处理。因此，如果您的 Web 服务器是 Nginx，则额外安装的防火墙All-In-One Security (AIOS) – 安全和防火墙插件的许多功能将无法运行。

但无需担心，因为只需安装像 Wordfence 这样的知名防火墙就足以抵御黑客攻击。如果您正在测试安装多个安全插件，请记住备份您的网站。因为如果不同的防火墙插件发生冲突，您需要恢复网站。我使用了 Wordfence 和 All-In-One Security (AIOS) – 安全和防火墙插件。我没有看到任何冲突。

此外，不同的安全插件可能对特定安全功能有不同的看法。例如，有一个 All-In-One Security (AIOS) – 安全和防火墙插件功能可以更改 WordPress 登录 URL。但 Wordfence 建议不要更改它，因为他们没有将此功能作为安全措施包含在 Wordfence 插件中。由于 Wordfence 认为隐藏登录 URL 是安全隐患，因此它通常会导致虚假安全。因为黑客可以轻松检测到登录 URL。因此，我们应该实施其他安全控制来保护他们已经在防火墙中提供的 WordPress 站点，即 Wordfence。

最后要注意的是，同时使用多个安全插件时，每个安全插件都有一些可用的功能。因此，请花时间探索不同的安全插件，并使用最适合您网站的插件。我总是 建议在演示网站上测试安全插件，并阅读所有文档，然后为您的主网站选择合适的插件。

6 、使用手册 WordPress 安全强化

还建议具有适当知识和技能的专业人士手动保护您的 WordPress 网站。可以执行不同的手动步骤来提高您网站的安全性，而这是使用插件无法做到的。

7 、禁用文件编辑选项

您可以选择手动维护 WordPress 网站的安全性，方法是在 WordPress 配置文件（即 wp-config.php 文件）中添加一些代码，并禁用 WordPress 网站上的文件编辑选项。wp-config.php 文件包含所有机密信息，所有重要数据连接都通过这些信息与数据库进行。因此，通过禁用文件编辑选项，任何管理员 WordPress 用户都无法在您不知情的情况下编辑您网站的核心主题或插件文件。

要禁用管理面板中的文件编辑选项，您可以编辑并在 wp-config.php 文件中放置以下代码。

define（'DISALLOW_FILE_EDIT'，true）；

每当您想要启用 WordPress 网站的文件编辑选项时，您都可以将“true”值更改为“false”。您可以编辑并将以下代码放置在 wp-config.php 文件中以再次允许编辑。

一旦将上述禁用文件编辑的代码成功插入到 wp-config.php 文件中，所有额外选项（即上图 4 中显示的主题文件编辑器和插件文件编辑器选项）都将被删除。

该代码将立即删除编辑 WordPress 网站任何部分的所有权限。因此，即使有恶意的用户拥有您网站的管理员权限，该用户也无法修改或编辑任何主题核心文件或插件核心文件。

8 、禁用插件和 主题安装

您还可以为 WordPress 网站添加另一层安全性。您可以通过将以下代码添加到配置文件 wp-config.php来阻止登录的管理员用户安装主题和插件。