保护 WordPress 网站免受攻击的 3 种方法
已发表: 2017-12-27如今,每个网站都需要认真对待安全问题。 如果它使用 WordPress 等内容管理系统 (CMS),则尤其如此。 这类平台通常存储大量敏感信息,使其成为目标。 如果有人闯入您的网站,您将需要花费宝贵的时间来弄清楚他们是如何进入并修复损坏的。
好消息是,在增加网站的安全措施方面,WordPress 非常灵活。 例如,有几种方法可以保护您的登录页面免受攻击,并将其隐藏在您不认识的人面前。 在这里和那里进行一些调整,您的网站可以迅速成为堡垒。
在本文中,我们将讨论 WordPress 安全性的重要性。 然后,我们将向您介绍三种可用于使您的网站更安全的方法。 让我们开始吧!
为什么 WordPress 安全性很重要
需要明确的是,WordPress 已经是一个非常安全的开箱即用平台。 然而,它也是一个拥有数百万用户的庞大软件,以及数以千计的插件和主题选项。 由于发生了这么多事情,一些用户最终不得不处理安全问题是很自然的。 在大多数情况下,您可以将这些问题追溯到容易破解的凭据、未能一致更新以及其他用户错误。
另一方面,如果您是那种随时了解最新版本的 WordPress 并监控您使用的所有插件和主题的人,您会更安全。 跟上您网站的安全性听起来可能需要做很多工作,但保持谨慎是最好的做法。 原因如下:
- WordPress 是攻击的目标。 内容管理系统 (CMS) 的流行使其成为在线攻击者的最爱。 毕竟,在单个插件或主题中发现漏洞可以帮助他们访问数千个网站。
- 您需要保护敏感的用户信息。 即使您没有通过您的网站处理任何信用卡号码,这并不意味着您不应该保护用户的隐私。
- 劫持者可能会通过您的网站传播恶意软件。 如今,攻击者使用被黑网站向访问者提供恶意软件是一种常见做法。 不用说,您不希望您的用户设备因为您的安全措施松懈而受到感染。
幸运的是,您可以采取很多措施来抢先保护您的 WordPress 网站。 例如,使用一个接收不断更新的编码良好的主题总是一个聪明的主意。 例如,我们自己的 Uncode 主题具有出色的评级和安全功能,我们随时可以回答您关于如何进一步保护您的网站的任何问题。 整理好主题后,您可以采取其他一些简单的措施。
保护 WordPress 网站免受攻击的 3 种方法
在本节中,我们将教您三种方法来保护您的 WordPress 网站免受攻击,无论是否使用插件。 由于您将对网站的功能进行一些非常重要的更改,因此您应该在开始之前创建备份。 这样,如果出现问题(它不应该!),您将能够在几分钟内恢复您的网站并重试。
1.使用双重身份验证(2FA)
通常,登录网站所需的只是您的用户名和密码。 但是,有些网站会更进一步,并要求您输入发送到您的电子邮件或智能手机的一次性代码。 这称为两因素身份验证 (2FA)。 使用这种方法,即使有人掌握了您的凭据,他们仍然无法访问您的帐户。
WordPress 不支持开箱即用的 2FA。 但是,您可以使用正确的工具来实现它。 有很多优秀的 2FA 插件可用,但我们偏爱 miniOrange 两因素身份验证,因为它提供了所有功能:
要开始使用此技术,您首先需要安装并激活插件。 然后,您将能够从仪表板访问新的miniOrange 2-Factor选项卡。 第一次点击它时,你必须填写几个字段来注册一个 miniOrange 帐户:
之后,您将通过电子邮件或短信收到一次性代码,您可以使用它来激活插件。
完成后,您可以跳转到屏幕顶部的“设置双因素”选项卡,然后选择访问者可以使用的 2FA 类型。 为了给用户提供最多的选择,我们建议您使用电子邮件验证作为您的默认方法:
选择您想要的方法后,您可以注销。 下次您尝试访问仪表板时,您会看到为您的帐户启用 2FA 的选项。 现在,您网站的所有用户都可以选择加入 2FA。 您的 WordPress 网站会更安全!
2. 将可以访问您的仪表板的 IP 地址列入白名单
WordPress 仪表板是最神奇的地方。 因此,您不希望任何人都可以访问。 只有受信任的团队成员才能进入您网站的仪表板并使用其主要功能。
您的登录页面是您抵御不必要入侵的主要防线。 但是,有时攻击者可以访问您的团队成员之一的凭据。 如果发生这种情况,您将需要第二道防线来阻止它们。 这就是您的.htaccess文件的来源。
此文件使您能够向服务器提供特定说明。 例如,您可以告诉它阻止 IP 不在预先批准列表中的任何人访问您的仪表板。 当您将 IP 地址添加到该列表时,您将其“列入白名单”。 这种方法需要一些前期工作,但它可以将您的网站变成堡垒。
首先,您需要知道所有同事的 IP 地址。 为了获得最佳结果,您还需要确保这些 IP 是静态的。 团队成员可以使用“我的 IP 是什么”之类的网站来了解他们的地址是什么,并联系他们的互联网提供商,以便为他们分配一个静态地址(如果他们还没有静态地址)。
最好先完成这些任务,这样您就可以一次输入所有列入白名单的 IP。 准备好地址列表后,您需要找到并访问您网站的.htaccess文件。 为此,我们建议使用文件传输协议 (FTP) 和 FileZilla 等工具。
只需使用您的 FTP 凭据登录您的网站,然后访问您的public_html文件夹。 然后,在以下位置查找.htaccess文件:
现在,右键单击文件并选择查看/编辑选项。 这样做将使用您的默认文本编辑器在您的计算机上打开文件。 里面应该已经有几行代码,您不想更改它们。 相反,滚动到文件底部并查找#END WordPress行。
您需要在该行之前粘贴以下代码段:
<IfModule mod_rewrite.c>
重写引擎开启
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
重写规则 ^(.*)$ - [R=403,L]
</IfModule>这五行代码告诉 WordPress 检查任何试图访问您的仪表板的人的 IP 地址。 如果他们的地址与您的白名单中的一个不匹配(上例中有两个),他们将收到 403 错误:
您可以使用相同的格式添加任意数量的地址,也可以阻止其他页面。 例如,如果您想阻止除白名单上的任何人之外的任何人的登录页面,您所要做的就是添加一行额外的代码:
<IfModule mod_rewrite.c>
重写引擎开启
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
重写规则 ^(.*)$ - [R=403,L]
</IfModule>完成对.htaccess的更改后,保存文件并关闭文本编辑器。 除非您忘记将自己的 IP 地址列入白名单,否则您应该仍然可以像往常一样访问您的仪表板和登录页面!
3. 使用全面的 WordPress 安全插件
如果您选择只采取一种措施来保护您的 WordPress 网站,那么使用安全插件可以让您获得最大的收益。 有大量流行的安全插件可用,其中许多能够保护您的网站免受大多数类型的攻击。
我们的最爱之一是 All In One WP Security & Firewall。 它提供了广泛的功能和用户友好的界面:
到目前为止,我们已经讨论了很多关于保护您的 WordPress 登录和仪表板页面的内容。 该插件使您可以同时使用内置功能,只需单击几下即可打开。 例如,您可以限制某人在临时锁定站点之前可以进行的登录尝试次数。 此功能可从WP 安全 > 用户登录选项卡获得:
您还可以配置插件以在有人被锁定在登录页面时通知您,并完全阻止 IP 地址。 All In One WP Security & Firewall 还包括一个综合防火墙,您可以从WP Security > Firewall选项卡进行配置:
激活插件后,您的第一步应该是查看其文档。 您需要学习如何使用许多设置,但快速速成课程应该会告诉您为了保护您的网站而需要知道的一切。
最后但同样重要的是,Kinsta 对锁定您的网站有一些很好的见解,如果您需要更多关于 WordPress 安全性的提示,请查看它。
结论
WordPress 安全性是您想要积极主动的事情。 从一开始就花费一点精力来保护您的网站将为您省去很多麻烦。 如果幸运的话,您将永远不必处理对您网站的不必要入侵的后果,您将能够专注于改进它。
好消息是有很多简单的方法可以保护您的网站。 再一次,这是我们最喜欢的三个:
- 在您的登录页面上使用 2FA。
- 将团队成员的 IP 地址列入白名单。
- 使用全面的 WordPress 安全插件。
您对如何保护您的 WordPress 网站有任何疑问吗? 在下面的评论部分询问!