经过多次维护 WordPress 网站后，我学到了以下内容

引言

网络安全威胁日益严峻，保护WordPress网站至关重要。本文总结了维护WordPress网站的经验，旨在帮助您降低安全风险，有效应对潜在漏洞。

一、选择安全可靠的主题和插件

• 避免盗版资源： 切勿使用盗版或未经授权的主题或插件，它们通常存在安全隐患。选择提供持续支持的正版插件，避免一次性购买的插件。
• 选择维护良好的主题： 优先选择定期更新和维护的主题，确保及时修复漏洞。对于关键项目，建议使用经过专业安全审计的主题，或由WPVIP等平台提供的主题。
• 采用无头CMS架构： 利用Next.js和WP REST API等技术，将WordPress作为后端，前端使用React或Angular等框架，提升性能和安全性。

二、实施强力安全措施

• 定期更新： 及时更新WordPress核心程序、主题和插件，修复已知漏洞。
• 安全扫描： 定期使用安全扫描工具，例如WPScan（扫描WordPress特定漏洞）、Burp Suite（检查HTTP标头和Cookie）、Nmap（检查服务器开放端口），及时发现并修复安全问题。 对于不需要的端口（如SSH或WP-CLI），应限制或禁用访问。
• SSH和WP-CLI安全加固： 限制SSH访问权限，谨慎使用WP-CLI，防止潜在的漏洞利用。
• 禁用未使用的API路由： 关闭不必要的API端点，例如禁用/wp/v2/users路由，防止用户信息泄露。
• 数据安全检查： 定期检查文章、评论等内容，避免意外泄露用户名或敏感信息。

三、实施流量限制

限制用户请求频率，防止滥用和DDoS攻击。例如，将请求限制为每分钟500次，并阻止过量流量。

DDoS攻击示例脚本：

以下脚本演示了如何通过重复请求淹没服务器：

function floodImagesXYZ() {
  var TARGET = ""; // 替换为目标URL
  var URI = "/index.php?";
  var pic = new Image();
  var rand = Math.floor(Math.random() * 10000000000000000000000);
  try {
    pic.src = "http://" + TARGET + URI + rand + "=val";
  } catch (error) {
    console.log(error);
    console.log("Error in:", URI);
  }
}
setInterval(floodImagesXYZ, 10);

使用Cloudflare等CDN服务可以有效缓解DDoS攻击。

四、使用安全工具

• 限制文件上传： 如果不需要通过PHP上传文件，则应禁用此功能，减少潜在漏洞。
• 服务器安全加固： 采取服务器级别的安全措施，例如设置正确的文件权限，防止恶意脚本执行。

五、谨慎使用页面构建器

使用Divi、Elementor或WPBakery等页面构建器时，注意其与安全工具的兼容性。 某些安全工具可能会阻止构建器正常工作，需要进行相应的配置调整。

六、自定义代码最佳实践

• 代码审查： 仔细检查自定义脚本、小部件和第三方集成，确保其安全性。
• 使用开发工具： 利用插件检查工具（如Plugin Check）、主题检查器（如Envato Theme Checker）、PHPUnit（单元测试）、PHP代码美化器等工具，提高代码质量和安全性。
• 数据转义和随机数验证： 始终转义输出数据，并验证随机数，防止安全漏洞。

七、安装Web应用防火墙（WAF）

使用Wordfence等WAF，过滤恶意流量，防止暴力破解和常见的Web应用漏洞。 启用主动监控功能，记录和阻止可疑活动。

八、使用Cloudflare增强防护

使用Cloudflare等CDN服务，过滤恶意流量，缓解DDoS攻击，增强网站安全性。

九、定期备份

定期备份网站文件和数据库，并熟悉数据恢复流程。

十、启用双因素身份验证（2FA）

为所有管理员账户启用2FA，增强账户安全性。

十一、使用reCAPTCHA保护表单和登录

使用reCAPTCHA v3保护登录页面，使用reCAPTCHA v2保护表单，防止机器人攻击和垃圾邮件。

结论

网站安全是一个持续的过程，需要不断关注和维护。 定期备份、安全扫描、及时更新和使用安全工具是保障网站安全的重要措施。 切勿掉以轻心，积极主动地采取安全措施，才能有效降低风险。

参考文献及进一步阅读

（此处列出原文提供的参考文献，并可根据需要补充其他相关资源）

以上就是经过多次维护 WordPress 网站后，我学到了以下内容的详细内容，更多请关注php中文网其它相关文章！