完整的 WordPress 安全分步指南

已发表: 2022-08-28

WordPress 安全性专注于保护您的网站、访问者和数据免受恶意软件和黑客的攻击。 现在不要弄错了。 WordPress 是一个安全平台,黑客只有在密码策略不完善或存在安全漏洞的情况下才能成功渗透平台的安全功能。

当您缓解这些问题时,您可以显着降低您的网站被黑客入侵的机会。 那么,如何缓解 WordPress 网站上的安全漏洞呢?

安装备份解决方案

抵御 WordPress 攻击的第一道防线是备份数据。 赤裸裸的事实是,没有什么是绝对安全的。 如果财富 500 强网站可以被黑客入侵,那么您的网站也容易受到攻击。

尽管拥有备份解决方案并不意味着您的网站不会被黑客入侵,但它只是保护您的数据。 备份时,如果您的网站被黑客入侵,您可以立即恢复您的网站和数据。 您会发现各种免费和付费软件包的 WordPress 备份插件。

我们建议设置实时备份,以便您的数据可以每天自动备份。 此外,请确保定期备份到云上的远程位置,例如 Dropbox、Amazon 或其他私有云。

启用 WAF(Web 应用程序防火墙)

使用 Web 应用程序防火墙是保护您的网站免受恶意软件攻击的最简单方法。 WAF 甚至在恶意流量到达您的站点之前就可以阻止它。 以下是您可以考虑的 Web 应用程序防火墙:

• DNS 级网站防火墙:启用此功能后,它会通过云代理服务器路由您的站点流量,并仅将真实流量发送到您的 Web 服务器。

• 应用程序级防火墙:这些插件会在流量到达您的服务器时评估流量,然后再将 WordPress 脚本加载到您的站点上。 在两者之间,DNS 级别的防火墙是最有效地减少每次服务器负载的方法。

将您的 WordPress 网站迁移到 SSL/HTTPS

安全套接字层 (SSL) 是一种安全协议,用于加密在您的站点和用户浏览器之间传输的数据。 加密使授权人员很难窥探您的站点以窃取信息。 当您启用 SSL 时,您的站点开始丢弃 HTTP 并使用 HTTPS。

https

表明您的站点使用 HTTPS 的符号是一个挂锁标志,位于 Web 浏览器中的站点地址旁边。 只需提及 SSL 证书需要支付额外费用,并且由证书颁发机构颁发。

但是,您可以选择使用 Let's Encrypt 提供的免费 SSL 证书,Facebook、Google Chrome 和 Mozilla 等都支持该证书。 此外,许多托管公司现在提供免费的 SSL 证书作为托管 WordPress 网站的软件包的一部分。

使用维护服务

使用维护服务的好处在于它提供的不仅仅是 WordPress 安全性。 有了这样的服务,您就不必担心与您的网站相关的后端问题。

从安全到备份和其他维护问题,您的维护服务提供商将负责处理这些问题。 您可以专注于您的业务,同时让专业人员处理确保您的网站始终安全的任务。

如何通过编码实现 WordPress 安全性

如果您有一些基本的编码技能,并且想自己保持对 WordPress 安全性的关注,那么这部分适合您。 以下是帮助您通过一些编码知识维护 WordPress 安全性的步骤。

从“管理员”更改您的默认用户名

WordPress 管理员的默认用户名是“admin”。 这使黑客很容易找出您的用户名并暴力攻击您的网站。 尽管 WordPress 改变了这一点,并要求您在安装 WordPress 时选择一个唯一的用户名,但大多数一键式 WordPress 安装程序仍使用“Admin”作为默认用户名。

如果您在从网络托管公司安装 WordPress 时遇到此问题,则需要解决此问题。 WordPress 不支持更改用户名。 但是,您可以通过删除旧用户名来创建新的管理员用户名。

行政

如何删除旧管理员用户名并创建新用户名

您可以创建具有管理员用户角色的新用户名。 您可能需要创建一个新的电子邮件地址,因为您无法使用在创建现有帐户时使用的电子邮件地址。 请按照以下步骤使用新的电子邮件地址创建新的管理员用户名。

第 1 步:点击“用户”并填写简短表格。

用户

第 2 步:退出您的 WordPress 帐户并使用新创建的用户帐户登录。

第 3 步:导航到“用户”,然后导航到“所有用户”页面,然后单击旧用户名下方的“删除”链接。

用户

第 4 步:WordPress 会提示您是否要删除旧用户创建的任何内容。 单击“将所有内容归因于”并选择您创建的新用户名。

第五步:点击“确认删除”,删除旧账号。 这就是将旧用户名更改为新用户名所需的全部内容。

删除用户

禁用文件编辑

WordPress 具有内置的代码编辑器,使用户能够通过管理区域编辑主题和插件文件。 如果此功能落入坏人之手,它可能会带来重大的安全风险。 因此,最好禁用它。 为此,请按照以下步骤操作:

第 1 步:在 wp-config.php 文件中添加以下代码

• // 禁止文件编辑

• define('DISALLOW_FILE_EDIT', true );减少登录尝试

编辑主题

用户可以不受限制地自由登录他们的 WordPress 仪表板。 当您这样做时,您的 WordPress 网站将容易受到暴力攻击。 黑客很容易通过使用不同组合的多次登录来破解您的密码。

您应该通过限制登录失败后的尝试次数来解决此问题。 为此,请按照以下步骤操作:

• 安装并激活登录锁定插件

• 访问“设置”,然后访问“登录锁定”页面进行设置

登录

• 按照提示完成该过程,一切顺利。

最后的想法

通过这些步骤,您可以显着提高 WordPress 安全性并防止攻击。 如果这些看起来像是您不想花时间做的事情,我们建议您使用 WordPress 维护服务。 这将减轻压力,您可以放心,由专业团队管理您的网站。

我如何知道 WordPress 网站是否安全?

在浏览器(例如 Chrome)中打开一个页面,然后在网址左侧查看安全状态。 您将看到“安全”或“不安全”消息。

什么是最安全的网址?

安全的 Web 地址应以“HTTPS”而不是“HTTP”开头。 “HTTPS”中的“S”代表安全,这表明该站点使用 SSL 证书。

乌迈尔
乌迈尔汗