5 個讓你的 WordPress 網站安全的技巧(WordPress Feed訂閱中如何添加自定義內容？)

5 個讓你的 WordPress 網站安全的技巧

WordPress 是迄今為止最流行的博客平台。

正由於它的流行，也因此帶來了正面和負面的影響。事實上，幾乎每個人都使用它，使它更容易被發現漏洞。WordPress 的開發人員做了很多工作，一旦新的缺陷被發現，就會發布修復和補丁，但這並不意味著你可以安裝完就置之腦後。

在這篇文章中，我們將提供一些最常見的保護和強化 WordPress 網站的方法。

在登錄後台時總是使用 SSL

不用說的是，如果你並不打算只是做一個隨意的博客，你應該總是使用 SSL。不使用加密連接登錄到你的網站會暴露你的用戶名和密碼。任何人嗅探流量都可能會發現你的密碼。如果你使用 WiFi 上網或者連接到一個公共熱點，那麼你被黑的幾率更高，這是特別真實的。你可以從這裡[1]獲取受信任的免費 SSL 證書。

精心挑選附加的插件

由第三方開發人員所開發，每個插件的質量和安全性總是值得懷疑，並且它僅取決於其開發人員的經驗。當安裝任何額外的插件時，你應該仔細選擇，並考慮其受歡迎程度以及插件的維護頻率。應該避免維護不良的插件，因為它們更容易出現易於被利用的錯誤和漏洞。

此主題也是上一個關於 SSL 主題的補充，因為許多插件包含的腳本會發出不安全連接（HTTP）的請求。只要你的網站通過 HTTP 訪問，一切似乎很好。但是，一旦你決定使用加密並強制使用 SSL 訪問，則會立即導致網站的功能被破壞，因為當你使用 HTTPS 訪問其他網站時，這些插件上的腳本將繼續通過 HTTP 提供請求。

安裝 Wordfence

Wordfence 是由 Feedjit Inc. 開發的，Wordfence 是目前最流行的 WordPress 安全插件，並且是每個嚴肅的 WordPress 網站必備的，特別是那些使用 WooCommerce 或其它的 WordPress 電子商務平台的網站。

Wordfence 不只是一個插件，因為它提供了一系列加強您的網站的安全功能。它具有 web 程序防火牆、惡意軟體掃描、實時流量分析器和各種其它工具，它們可以提高你網站的安全性。防火牆將默認阻止惡意登錄嘗試，甚至可以配置為按照 IP 地址範圍來阻止整個國家/地區的訪問。我們真正喜歡 Wordfence 的原因是，即使你的網站因為某些原因被侵害，例如惡意腳本，Wordfence 可以在安裝以後掃描和清理你的網站上被感染的文件。

該公司提供這個插件的免費和付費訂閱計劃，但即使是免費計劃，你的網站仍將獲得令人滿意的水平。

用額外的密碼鎖住 /wp-admin 和 /wp-login.php

保護你的 WordPress 後端的另一個步驟是使用額外的密碼保護任何除了你以外不打算讓任何人使用的目錄（即URL）。 /wp-admin 目錄屬於此關鍵目錄列表。 如果你不允許普通用戶登錄 WordPress，你應該使用密碼限制對 wp.login.php 文件的訪問。無論是使用 Apache[2] 還是 Nginx[3]，你都可以訪問這兩篇文章，了解如何額外保護 WordPress 安裝。

禁用/停止用戶枚舉

這是攻擊者發現你網站上的有效用戶名的一種相當簡單的方法（即找出管理員用戶名）。那麼它是如何工作的？這很簡單。在任何 WordPress 站點上的主要 URL 後面跟上 /?author=1 即可。 例如：wordpressexample.com/?author=1。

要保護您的網站免受此影響，只需安裝停止用戶枚舉[4]插件。

禁用 XML-RPC

RPC 代表遠程過程調用，它可以用來從位於網路上另一台計算機上的程序請求服務的協議。對於 WordPress 來說，XML-RPC 允許你使用流行的網路博客客戶端（如 Windows Live Writer）在你的 WordPress 博客上發布文章，如果你使用 WordPress 移動應用程序那麼也需要它。 XML-RPC 在早期版本中被禁用，但是從 WordPress 3.5 時它被默認啟用，這讓你的網站面臨更大的攻擊可能。雖然各種安全研究人員建議這不是一個大問題，但如果你不打算使用網路博客客戶端或 WP 的移動應用程序，你應該禁用 XML-RPC 服務。

有多種方法可以做到這一點，最簡單的是安裝禁用 XML-RPC[5]插件。

via: https://www.rosehosting.com/blog/5-tips-for-securing-your-wordpress-sites/

作者：rosehosting.com[6] 譯者：geekpi 校對：wxy

本文由 LCTT[7] 原創編譯，Linux中國 榮譽推出

• [1]: 這裡 - https://letsencrypt.org/

• [2]: Apache - https://linux.cn/article-5731-1.html

• [3]: Nginx - https://linux.cn/article-5229-1.html

• [4]: 停止用戶枚舉 - https://wordpress.org/plugins/stop-user-enumeration/

• [5]: 禁用 XML-RPC - https://wordpress.org/plugins/disable-xml-rpc/

• [6]: rosehosting.com - rosehosting.com

• [7]: LCTT - https://github.com/LCTT/TranslateProject

WordPress Feed訂閱中如何添加自定義內容？

我們都知道WordPress是支持Feed設置的，在設置–閱讀界面進行相關的Feed設置即可。默認情況下，只會輸出內容相關（標題、作者、文章正文或摘要等）的部分，不會有自定義的其他內容。WordPressFeed訂閱中如何添加自定義內容？

1.使用插件

在大多數情況下，使用插件是將自定義內容添加到WordPressRSS/Feed最簡單方法。只需安裝、激活、添加你的內容就可以了。這裡小編推薦SimpleCustomContent插件，其實這個插件不僅僅可以向Feed中添加自定義內容，還可以通過簡碼添加內容到任何地方。

2.使用自定義代碼

插件的方法雖然簡單，但是對於某些喜歡折騰的人或開發者來說，通過代碼方式添加可能更靈活。

常用到的代碼如下：

//添加自定義內容到所有Feed

functionwpkj_add_content_to_all_feeds($content){

$before=『<p>顯示在文章內容前的自定義內容</p>』;

$after=『<p>顯示在文章內容後的自定義內容</p>』;

if(is_feed()){

return$before.$content.$after;

}else{

return$content;

}

}

add_filter(『the_content_feed』,『wpkj_add_content_to_all_feeds』);

這段代碼段將指定的自定義內容添加到WordPressfeed中的每個文章中。你可以通過添加到主題的functions.php中，或者製作一個簡單的插件來使用。

上面的wpkj_add_content_to_all_feeds函數代碼定義了$before和$after兩個變數，分別對應文章正文的前後的自定義內容，我們可以去修改為任何你想添加的html格式的內容。

如果僅有wpkj_add_content_to_all_feeds函數自身的代碼，是不會執行的，我們必須通過WordPress的鉤子掛載，才可以生效。在這裡我們用的是the_content_feed這個過濾鉤子，可以對Feed輸出的內容進行修改。

註：代碼中使用了is_feed()作為判斷，只在Feed輸出中才添加自定義內容，否則直接顯示正文。在這裡其實是不必要的，因為我們是通過the_content_feed這個鉤子掛載函數的，這個鉤子本身就是只對Feed輸出進行操作的。只是想告訴大家可以這樣去做技術上的判斷。

在文本開頭的插圖裡面，我們看到可以設置Feed顯示全文或摘要。上面提到的the_content_feed鉤子就是針對全文的，如果你選擇的是摘要，就可以使用the_excerpt_rss鉤子。

//全文的時候用

add_filter(『the_content_feed』,『wpkj_add_content_to_all_feeds』);

//摘要的時候用

add_filter(『the_excerpt_rss』,『wpkj_add_content_to_all_feeds』);