32步WordPress网站安全终极检查清单：第6~12步

网站安全，是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全，也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤，来保护你WordPress网站的安全。这一些列步骤共分32步，今天介绍第6~12步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

6. 仅安装下载自其官方网站的插件、主题和脚本程序

有的用户没有正版意识，喜欢从一些不靠谱的网站下载本应付费购买的主题和插件。

我们不对这些用户的盗版行为做过多的价值评判。但根据WordPress主机主机用户的实际情况来看，使用盗版主题，是国内WordPress网站被黑的最主要的原因之一。

许多人并没有认识到，你从盗版网站免费下载的这些盗版主题，很多已经被置入了木马病毒等恶意程序。很多时候，这些主题里包含有后门程序，这样黑客就可以通过后门程序来远程控制你的网站。

你愿意把你的钱包交给一个骗子吗？我想不会的。同样，你也不应该把你的网站交给骗子。不要轻易相信那些偷盗别人付费主题来“免费”提供给你的盗版网站。

一个正版主题，价格通常在500元人民币之内，为了节省这点钱而冒着巨大的风险，并不值得。

那么，哪些安全网站可以获得高质量的主题呢？

WordPress.org官网是最为常用的下载插件和主题的网站。我们WordPress中文网每月为大家推荐的精选主题，基本上都是以该网站为主。付费主题和插件通常也有自己的官方网站。

如果你的WordPress网站比较重要，请记住远离盗版网站。

7. 选择安全可靠的WordPress主机服务商

好的WordPress主机服务商，可以保护你的网站远离黑客攻击。

重视安全的主机服务商，往往有独立的安全团队来监控各种最新漏洞（甚至包括0day暴露出来的尚无解决办法漏洞），并及时在防火墙中设置规则来缓和针对你网站的各种黑客攻击。

如何选择WordPress主机，是一个大的话题，我们以后将专门展开讨论。

我们WordPress中文网专门为用户提供专业的WordPress主机，非常重视用户数据安全，可靠性极高。上次出现的ImageTragick漏洞，影响了全球所有的PHP服务器，我们WordPress中文网主机的安全团队第一时间对所用服务器及时打了补丁，修复了此次安全漏洞包。

8. 确保你的网站运行在最新版的PHP版本上

根据全球WordPress网站统计数据，目前有7.3%的WordPress运行在PHP 7.1版本至上，2.3%运行在PHP 7上，22.1%运行在PHP 5.6上。而另外68.3%的WordPress网站安装在PHP 5.5以及更低版本之上。

这是PHP官方对于各个版本的支持时间表：

其中绿色版本号表示官方提供技术支持，绿色长条表示官方提供技术支持的日期范围；橙色长条表示官方仅针对严重安全漏洞提供修复；红色版本号，表示官方不再对该版本提供的技术支持，即使发现漏洞也不再进行修复。

如果你的网站仍在使用旧版本的PHP，那么你不仅无法享受新版PHP带来的性能飞跃，而且对今后出现PHP安全漏洞也无法进行修补。这样你的网站将会面临数据安全问题。

因此，和及时升级WordPress内核版本一样，你也要及时升级服务器的PHP版本，这样才能让你的网站更安全。

对于我们WordPress中文网的WordPress专业主机的用户，要升级PHP版本很简单。我们主机空间已经支持到最新版本的PHP 7（目前PHP 7.1仍处于beta测试状态，尚未发布正式版）。你可以登陆主机管理系统后，通过php版本来进行设置：

选择其他主机服务商的用户，请记住，升级PHP版本是你主机空间服务商的责任。如果你发现自己空间的PHP版本太低，你可以联系服务商进行升级。好的服务商就应该和我们一样，及时升级PHP至最新版本。

WordPress目前仍支持在最低PHP 5.2的环境中运行，但官方推荐的PHP版本为5.6以上；明年年中，WordPress官方会将推荐的PHP版本修改为7.0。

特别提醒：目前有一部分插件仍不兼容最新版的PHP 7.0。如果你要将升级到PHP 7.0，我们建议你先进行测试，不要直接在生产网站中直接升级PHP版本。你可以先做一个独立的备份网站，先进行测试之后，确认没有问题之后再进行升级操作。

9. 修改默认的admin用户名

在WordPress 3.0之前，WordPress默认的用户名都是 admin 。这样的设定，使得许多网络黑客根本不需要猜测网站的管理员用户名。直到今天，仍然有许多WordPress新手选择admin作为默认的管理员账户。

要增加WordPress网站管理员账户的安全性，最快捷的一招就是，修改默认的admin用户名，改成其他难以猜到的名字。

你可以在安装WordPress的时候，来设置自己的管理员用户名。

如果你的WordPress网站已经安装好了，使用了admin作为用户名，那么你可以在WordPress后台里添加一个新管理员账户，然后用新管理员账户登录，删除之前的admin账户。

这一步也可以通过操作数据库来完成。在phpMyAdmin或者其他数据库客户端来重命名admin用户名：

UPDATE wp_users SET user_login = 'newcomplexusernameforadmin' WHERE user_login = 'admin'

注意，这里wp_users是WordPress数据库中的用户表，wp_是安装WP时设置的默认数据库表前缀。使用默认置是不安全的，我们将在本文后面第21条专门进行介绍。如果你安装WordPress时使用了其他的数据库表前缀，比如是mytableprefix_，那么这里要改成mytableprefix_users。上面代码中的newcomplexusernameforadmin，是新的管理员用户名，你可以选一个自己好记的用户名。

这样简单的修改，就可以让你的WordPress免受很多黑客攻击。

10. 使用强健安全的密码

不得不说，很多用户的安全意识确实比较低，他们在设置密码的时候，根本没有经过太多的考虑。

很多用户选择使用12345678或者admin作为密码，看起来就让人担心。

即便在你输入密码的时候，不会有别人在旁边偷看，使用简单密码也很容易被黑客利用。虽然WordPress对用户密码做了md5加密处理，但是密码太短太简单的话，很容易通过技术手段来破解。

国内最近常见不鲜的某邮箱服务商用户密码泄密，某大型购物商场用户密码泄密等，其中有一些例子都是因为用户密码过于简单，可以直接通过对比md5加密结果而被泄露的。

因此，一定要使用足够强健安全的密码。

如果你不知道怎么设置复杂的密码，可以直接使用WordPress的密码生成器来帮你设置，然后记得把密码保存在安全的位置。WordPress密码生成器可以在WordPress后台的用户，个人资料中找到。

11. 不要重复使用密码

永远不要重复使用密码！

很多用户喜欢在所有的网站上使用同一个密码。要记住各个网站的密码，简单太难了，因此，他们选择使用相同的密码。

这实在是大错特错了。

再次强调，黑客了解人类的缺点。因此，他们一旦知道你其中某个账户的密码，那么很容易就知道了你在其他所有网站中的密码。

近年来，国内屡屡被爆的某邮箱用户资料泄露，某东用户密码泄露等，其中有些就是因为用户其他网站密码泄露后，用其账户和密码尝试登录的方式被破解的。据说，黑客将这种方式叫做撞库。

因此，为了你的网络资料安全，请不要重复使用密码。如果你觉得密码过于复杂不好记，你可以使用密码管理软件。

这不仅关系你WordPress网站的安全。

12. 注意保护密码的安全，不要使用纯文本格式来保存密码

众所周知，网络上有各种各样的偷窥者。敏感的数据，比如信用卡号、密码等，应该保存为加密模式。

有很多双眼睛盯着你的数据。请务必遵循以下步骤来保护你的密码：

1. 不要通过邮件、聊天软件、社交网络以及其他未加密的形式来发送密码；
2. 对你的网站部署HTTPS，尤其是网站后台，来避免以纯文本形式传输密码；
3. 避免使用纯FTP来访问你的网站。要使用SSH和FTPS。FTP协议开发于互联网的黑暗年代，并不太安全。密码和文件都将以纯文本形式传输，数据根本不进行加密处理。而FTPs（即Secure FTP，加密的FTP）协议，对所有通过FTP传输的数据都进行加密。要使用FTPs协议，你需要首先在主机空间中进行设置；
4. 当然，多个用户不应该共享密码，也不应该将密码保存为纯文本形式，不管这样有多麻烦。共享登录用户名和密码，将会面临安全和责任风险。

我们提供的WordPress专业主机支持用户部署HTTPS（需额外购买独立IP，SSL证书，以及设置费），支持FTPs（免费）加密传输数据。

（未完，待续…）