2019 年 WordPress 安全最佳实践

已发表: 2019-07-16

随着世界正在迁移到互联网,它已经变得比一年前更多。 最初是一个用于互连几个系统的简单网络,现在已成为互连网络、设备和用户的巨大网络中心。 但是,随着互联网逐渐成为世界的中心——商业、教育、网络、存储等。互联网安全正成为一个严重的问题。

每天,Google、Yahoo 和 Bing 等搜索引擎都会将数千个网站列入黑名单,寻找恶意软件和安全威胁的迹象。 今天,我们在网上做很多事情——购物、管理财务、交易、经营企业,甚至存储敏感信息。 但对于黑客来说,所有这些都是有回报的目标。

WordPress 和安全

在过去的十年中,WordPress 已发展成为最受欢迎的网站开发平台之一。 从将其用于博客的贡献者,到将其用于业务简介的企业; WordPress是人们创建网站的最爱。 但是,除了关注网站排名和关注受众之外,另一件非常重要的事情是安全性。

对于任何网站所有者或开发者来说,保护他们的网站免受安全威胁是首要考虑的问题。 在像 WordPress 这样的流行平台上拥有一个网站可以为您带来很多好处,但也会让您受到黑客的关注。 现在,更大的问题是 – 您如何在保护您的网站/门户或博客的同时继续获得平台的好处。

为什么有人会攻击您的网站?

不管你认为你的博客小还是无关紧要,对于黑客来说,它只是一个目标。 他们可以利用的目标。 黑客可以通过多种方式从您的网站、流量和受众中受益。

  1. 将流量重定向到其他 URL,以增加这些网站的传入流量。
  2. 收集有关用户的敏感信息或传播恶意软件,同时利用您网站的可信度作为掩护。
  3. 他们可以使用您的服务来发送垃圾邮件和传播非法信息,同时保护他们的真实身份。
为什么有人会攻击您的网站

所有这些不仅会影响您的网站排名,还会影响您的声誉和收入。

如果网站如此容易受到安全威胁,人们可能会质疑 WordPress 平台的完整性和安全性。 回答这个问题 – WordPress 本身是安全的,并且符合标准以防止攻击。 但是,网站管理员有责任跟上最佳实践并防止自己受到此类威胁。

Joel House Australia SEO 等专业 SEO 专家强调互联网安全的重要性。 并且,采用最佳实践来为其 WordPress 客户端实施安全协议。

什么是最佳安全实践?

  1. 更新您的核心 WordPress 平台
    与所有其他软件和应用程序一样,WordPress 社区也在不断升级、构建更好的功能并修复错误。 使用过时的平台会使您面临高风险,因为这些漏洞可能会使您的网站面临威胁。 因此,请确保定期更新您的核心应用程序。
    此外,您应该避免暴露您的 WordPress 应用程序或您正在运行的任何插件的版本。 这可以防止黑客侵犯您的漏洞。
  2. 保护管理和用户登录免受暴力攻击
    未经授权的用户的一种常见做法是使用暴力攻击——使用登录凭据获得未经授权的访问。 您可以通过一些强大的安全实践来保护自己,如下所示
    • 禁用无限制登录尝试的默认设置——这将防止黑客使用密码生成器或密钥序列化器来猜测密码。
    • 双重身份验证已成为增加安全性的非常流行的选择。
    • 除了 WordPress 的密码分析工具,您还可以使用复杂的密码生成器来强制用户使用可靠的密码。
    • 自定义您的网址
      默认情况下,可以通过将“/wp-admin/”或“/wp-login.php”附加到基本 URL 来访问 WordPress 网站的管理部分。 自定义它以防止暴露于外界。
    • 强制注销试图访问网站受限部分的用户。 此外,结束空闲会话是一种很好的做法 - 以防止攻击。
    • 谨慎地提供用户可访问性,并确保核心应用程序文件(如“wp-config.php”、“.htaccess”等)远离客户端可访问目录。
  3. 使用 SSL 证书加密您的数据
    除了提供第一级保护的基本 Web 协议外,您还可以使用其他安全协议和加密来保护您的数据。 实施 SSL 证书以在服务器和客户端之间传输期间保护数据。 这将防止黑客进入频道或欺骗信息。 在共享敏感信息或处理金融交易时,SSL 加密非常重要。
    但是,不同的 SSL 类别可以满足网站安全的要求,例如单域、多域等。例如,如果您没有。 域,那么多域 SSL 是您网站和域的必然选择。 这个单一的证书可以保护多个域。
  4. 不要忘记备份和安全托管
    即使您已经在您的网站周围建立了堡垒,您也不能无忧无虑地坐下来。 黑客真的很聪明,可能会找出一个弱点。 因此,作为预防措施,请定期为您的网站维护备份。 保证万一发生任何事情,您可以在线获得回扣。 如今,您还可以选择 Azure、Google Cloud 等安全云服务来维护多位置备份。
    此外,您甚至可以使用它们来托管您的网站。 这些专有云解决方案使用多层安全性,从而保护您的主机。
  5. 防止 SQL 注入
    SQL 注入攻击是最常用的攻击策略之一。 基本上,攻击者在请求中嵌入 SQL 查询,当服务器处理这些查询时,可能会导致数据库修改。 建议的缓解措施是将数据库表前缀从默认的“wp-”更改为唯一的。
    此外,监控用户活动和任何恶意模式的请求也是一种很好的做法。 您可以使用许多工具和安全插件来实现它。 如果您的网站允许用户上传文件,建议将它们与您的核心应用程序分开存储。 此外,限制可执行文件的上传,并使用强大的防火墙和恶意软件扫描程序扫描每个上传资源。

Web 安全是一个庞大的池,需要考虑很多方面。 尽管保护 WordPress 网站的安全不仅限于上述最佳实践,但它们将帮助您在应用程序周围建立初级安全边界。 选择专业的视角有助于建立强大的基础架构。 就像您投资以吸引观众与您的内容一样,通过关注其安全性来保护您的投资。