如何保护您的 WordPress 网站:工作安全提示
已发表: 2021-11-30
WPMU Dev 20% 折扣
对于本文,我们将使用 WPMU DEV 托管和工具。 您可以获得 WPMU DEV 20% 的会员折扣。
WordPress 安全是一个巨大的话题。 您可以采取多种措施来保护您的 WordPress 网站并防止黑客和漏洞破坏您的电子商务网站或博客。
虽然 WordPress 核心软件非常安全,并且经常被数百名工程师审查,但您仍然可以做很多事情来确保您的网站安全。
您不想一天早上醒来发现您的网站一片混乱。 因此,今天,我们将介绍您可以用来提高 WordPress 安全性并保持安全的各种方法、策略和方法。
为什么网站安全很重要?
任何受损的 WordPress 网站都会严重损害您的现金流和信誉。 攻击者可以获取客户数据、密码、注入恶意程序,甚至用恶意软件感染您的用户。
可怕的情况是,公司可能被迫向攻击者使用勒索软件,以恢复对网站的访问。 据谷歌称,超过 5000 万网站用户已被警告他们正在访问的网页可能包含恶意软件或窃取数据。
这是一个实时统计网站在一天内被黑客入侵。
此外,Google 每周都会将大约 20,000 个恶意软件网站和大约 50,000 个网络钓鱼网站列入黑名单。 如果您正在运行公司页面,则需要重视网站安全。
作为在线企业主,您的工作确实是保护您的企业网站,就像您有责任保护您的真实商店设施一样。
WordPress 是一个安全的平台吗?
WordPress安全吗?
这可能是你脑海中的第一个问题。 是的,在大多数情况下。
只要网站所有者认真对待安全并遵守推荐的做法,WordPress 就是安全的。 使用安全插件和主题、维护负责任的登录过程、使用安全插件来监控您的站点以及定期更新都是很好的做法。
另一方面,WordPress 以容易出现安全漏洞而闻名,因此不是用于企业的安全平台。 大多数情况下,这是由于用户继续遵循经过行业验证的安全最差做法。
黑客通过使用旧的 WordPress 软件、无效的插件、糟糕的系统管理、凭证管理以及非技术 WordPress 用户缺乏必要的 Web 和安全专业知识来控制他们的网络犯罪游戏。 即使是最好的实践也不总是被行业领导者遵循。 因为他们使用的是旧版本的 WordPress,路透社被黑了。
这并不是说不存在漏洞。 在 2017 年第三季度的一项调查中,WordPress 继续主宰多平台安全企业 Sucuri 的受感染网站(占 83%)。 这比上一年的 74% 有所增加。
由于 WordPress 为互联网上超过 42% 的网站提供支持,并且有数十万个主题和插件组合可供选择,因此存在漏洞并不断被发现也就不足为奇了。 但是,围绕 WordPress 平台有一个强大的社区,可以确保尽快解决这些问题。 截至 2021 年,WordPress 安全团队由大约 50 名专家组成,包括首席开发人员和安全研究人员(高于 2017 年的 25 名); 大约一半是 Automattic 的员工,还有一些在网络安全领域工作。
开始使用适当的托管
使用提供多层安全性的主机是保持网站安全的最简单方法。
在网站托管上省钱意味着您可以将钱花在组织内的其他地方,因此与便宜的托管服务提供商签约可能很诱人。 但是你应该抵制这种诱惑。
便宜的主机将来可能会引起头痛。 与您的 URL 关联的数据可能会被完全删除,并且您的 URL 可能会开始重定向到其他地方。 仅举几个例子,还有更多原因可以说明您应该避免选择不值得您开展业务的廉价托管服务。
如果您多付一点钱,优质主机提供的额外安全性会自动归功于您的网站。 此外,您可以通过使用良好的 WordPress 托管服务来提高 WordPress 网站的性能。
创建站点备份
首先,在对您的网站进行任何修改之前备份您的 WordPress 备份。
有许多可用的 WordPress 备份插件可用于实现相同的目标。
有免费和付费的。 但是,只有少数建议是免费的。
- 上升气流
- BackWPup
我假设您已经安装并使用了其中一个备份 WordPress 插件。 现在您已准备好继续下一步。
我建议在每篇文章发布后安排备份。 在对帖子或博客数据库进行任何修改后。
创建强密码
您可以做很多事情来保护您的 WordPress 网站,但很少有人关注基础知识。
您应该为所有社交媒体网站和电子邮件帐户创建安全密码。
同样,由于 WordPress 网站像其他所有网站一样被黑客入侵,因此对您的 WordPress 网站采取相同的预防措施至关重要。 您的博客有多大不再重要。 这一切都激起了黑客的好奇心。 哈哈!
使用强密码意味着不使用您个人的任何东西。 几乎所有事情都应该避免,包括您的姓名、生日、员工 ID、女朋友的姓名以及任何其他可能被猜到的信息。
破解密码需要时间
您在想出创造性的密码想法时遇到问题吗? 要建立安全密码,您可以随时使用任何在线密码生成器工具。 我使用 LastPass 密码生成器。
更改 WP 登录 URL
“yoursite.com/wp-admin”是登录 WordPress 的默认 URL。
如果您保持原样,您可能会成为旨在破解您的用户名/密码组合的暴力攻击的受害者。
如果您允许用户注册订阅帐户,您可能会收到大量垃圾邮件注册。 更改管理员登录 URL 或在注册和登录页面添加安全问题以避免这种情况。
您可以安装自定义登录 URL 或 WPS 隐藏登录等插件来更改 wp-login URL。
更改 WordPress 用户名
创建博客时,您可以选择输入用户名,该用户名将用于登录您的博客或网站。
大多数人默认将其保留为“管理员”,然后忘记更改它。
考虑一下,即使是一个可怜的黑客也能很容易地预测到这一点。 哈哈! 我注意到你脸上露出笑容。
您需要使其独一无二且无法猜测。 如果您不确定如何完成,我提供了一个关于更改 WordPress 用户名的简单教程。
两因素身份验证
您以前是否对 Gmail 帐户使用过双重身份验证? 如果你熟悉它,你可能已经明白我在说什么了。
双重身份验证是一种简单的技术,可以保护您的 WordPress 网站免受黑客攻击。
如果您将博客连接到手机进行双重身份验证,您将在登录时收到 OTP。 您可以通过输入该号码登录。
这将安全性提升到了一个新的水平,并为组合增加了另一层。 可以在此处找到有关 WordPress 双重身份验证的简短课程。
密码保护 WordPress 管理员和登录页面
通常,黑客可以不受限制地访问您的 wp-admin 文件夹和登录页面。 这使他们有机会测试他们的黑客技能或发起 DDoS 攻击。
在服务器端,您可以实施进一步的密码保护,这将基本上停止这些请求。
按照我们的分步步骤使用密码保护您的 WordPress wp-admin。
限制登录尝试
在 WordPress 中,默认情况下,用户可以尝试多次登录。 如果您经常忘记哪些字母是大写字母,这可能会有所帮助,但它也会让您面临暴力攻击。
您可以限制登录尝试次数,直到用户被暂时阻止。 它减少了您被蛮力攻击的机会,因为黑客在攻击完成之前就被锁定了。
使用 WordPress 登录限制尝试插件,您可以轻松启用此功能。
使用设置 > 登录限制尝试,您可以在安装插件后更改登录尝试次数。
注销 WordPress 中的空闲用户
登录的用户有时可能会偏离他们的屏幕,从而构成安全风险。 有人可以控制他们的会话、更改他们的密码和修改他们的帐户。
这就是为什么许多银行和金融网站会自动锁定闲置用户的原因。 类似的功能也可以在您的 WordPress 网站上实现。
必须安装并激活 Inactive Logout 插件。 要配置插件设置,请单击设置»激活后不活动注销。
设置计时器和注销消息,您就完成了。 不要忘记通过单击“保存更改”按钮来保存更改。
在 WordPress 登录屏幕中添加安全问题
在您的 WordPress 登录屏幕中添加安全问题会使获得未经授权的访问变得更加困难。
安装WP 安全问题插件将允许您添加安全问题。 要配置插件设置,请在激活后转到设置»安全问题。
有关更多信息,请参阅我们的教程,了解如何向 WordPress 添加安全问题。
禁用目录浏览
网站管理员检查的另一个阶段是这个。 当谈到网站安全时,这是一个鲜为人知的事实。
但是,如果启用了对根目录的浏览。 读者、访问者或黑客可以访问主题、插件、图像等文件。
以下是使用 .htaccess 文件防止在 WordPress 中浏览目录的方法。
禁用文件编辑
在您的 WordPress 仪表板中,有一个代码编辑器工具,可让您在设置站点时更改主题和插件。
外观>编辑器是您可以找到它的地方。 您也可以通过前往插件>编辑器来访问插件编辑器。
我们建议您在网站上线后禁用此功能。 如果黑客获得对您的 WordPress 管理面板的访问权限,他们可以在您的主题和插件中引入微妙的有害代码。
编码通常非常微妙,直到为时已晚,您才会意识到任何错误。
只需将以下代码输入到您的 wp-config.php 文件中。
define('DISALLOW_FILE_EDIT', true);此过程将帮助您防止从仪表板更改插件和主题文件的能力。
在 WordPress 中禁用 XML-RPC
从 WordPress 3.5 开始,默认启用 XML-RPC 以帮助您将 WordPress 站点与移动应用程序和 Web 服务连接起来。
XML-RPC 由于其强大的性质,可以显着放大暴力攻击。
过去,如果黑客想在您的网站上尝试 500 个不同的密码,他们必须登录 500 次。 登录锁定插件会捕获并阻止这些尝试。
然而,使用 XML-RPC,黑客可以使用 system.multicall 函数通过 20 或 50 个请求尝试数千个密码。
因此,如果您不使用 XML-RPC,那么您应该禁用它。 如果您使用上面提到的 Web 应用程序防火墙,这可以由防火墙处理。
隐藏 wp-config.php 和 .htaccess 文件
虽然隐藏站点的 .htaccess 和 wp-config.php 文件以防止黑客访问它们是提高站点安全性的一种复杂方法,但如果您认真对待自己的安全性,这是一种明智的做法。
我们强烈建议有经验的开发人员采用此选项,因为首先备份您的网站并谨慎行事至关重要。 任何错误都可能导致您的网站不可用。
备份后,您需要执行两件事来隐藏文件:
首先,将以下代码添加到您的 wp-config.php 文件中:
<Files wp-config.php> order allow,deny deny from all </Files>您将以类似的方式将以下代码添加到您的 .htaccess 文件中。
<Files .htaccess> order allow,deny deny from all </Files>尽管该过程很简单,但您应该确保有备份,以防出现问题。
删除 WP 版本
我们之前讨论过 WordPress 升级。 现在,让您的 WordPress 版本不被黑客发现也是合乎逻辑的。
鉴于您拥有登录凭据,我很好奇他们如何看到您使用的 WordPress 版本。
黑客可以通过查看源页面轻松检查 WordPress 版本。 他们现在要做的就是
CTRL F – 右键单击(在网页上)– 查看页面源代码(搜索版本)。 它将类似于下面看到的标签。
启用 Web 应用程序防火墙
您可能知道防火墙的概念,它是一个有助于保护您的计算机免受各种类型的恶意攻击的程序。 您几乎可以肯定在您的 PC 上安装了防火墙。
Web 应用程序防火墙 (WAF) 是一种专门用于保护网站的防火墙。 服务器、特定网站或大量网站都可以受到保护。
WordPress 站点上的 Web 应用程序防火墙 (WAF) 将充当您的站点和 Internet 其余部分之间的防火墙。 防火墙监视可疑行为,检测攻击、病毒和其他不受欢迎的事件,并阻止它认为危险的任何事情。
安装 SSL 证书
SSL 或安全套接字层现在广泛用于所有类型的网站。 最初,需要 SSL 以确保网站对特定流程(例如支付处理)安全。 然而,今天,谷歌已经意识到它的重要性,并在其搜索结果中赋予支持 SSL 的网站更高的排名。
任何处理敏感数据(例如密码或信用卡号)的站点都需要 SSL。 如果您没有 SSL 证书,则用户的 Web 浏览器和您的 Web 服务器之间的所有数据都以纯文本形式传输。
黑客可能能够阅读此内容。 使用 SSL 会在重要信息在其浏览器和您的服务器之间发送之前对其进行加密,使其更难阅读并提高您网站的安全性。
接受敏感信息的网站的 SSL 平均定价约为每年 70 至 199 美元。 如果您不接受任何敏感数据,则无需为 SSL 证书付费。 几乎每个托管服务提供商都提供免费的 Let's Encrypt SSL 证书,您可以使用它来保护您的网站。
对空主题说不
与免费主题相比,高级 WordPress 主题看起来更专业,并提供更多自定义选项。 无论如何,很难说您通过免费主题获得了所支付的费用。
所有高级主题均由经验丰富的开发人员设计,并在发布前经过测试。 如果您的网站出现问题,您可以获得全力支持。 自定义主题没有任何限制。 此外,更新主题是定期的。
有些网站也提供无效或破解的主题。 无效主题是已被黑客入侵且非法可用的高级主题的版本。 这可能会使您的网站面临风险。 隐藏在这些主题中的恶意代码可能会破坏您的网站和数据库或窃取您的登录凭据。
尽管可以节省一点钱,但任何网站所有者都应避免使用那些无效的 WordPress 主题,这一点很重要。
定期更新 WordPress 版本
保持 WordPress 网站安全的最有效方法是使其保持最新状态。 每次更新通常都会进行一些更改,包括安全更新。 定期更新您的软件可以防止您成为攻击和漏洞的目标,黑客会利用这些漏洞访问您的网站。
同样的原因也适用于更新插件和主题。
默认情况下,WordPress 会自动下载次要更新。 但是,需要进行重大更改的更新必须直接通过您的 WordPress 管理仪表板完成。
更改数据库表前缀
您可能已经注意到,在您的服务器上安装 WordPress 时,会出现一个对话窗口,要求输入某个前缀来开始类似 wp_ 的内容。 这就是它的含义。 这是您的 WordPress 网站的数据库。 文件夹的名称是 wp_。
毫不奇怪,任何常见的东西都可能被所谓的黑客推断出来。 修改您创建的任何内容的前缀也是一个好主意。 mywpsite_、friendswp_ 等中的任何内容。
我可以通过访问您网站的数据库来简单地实现这一点。 但是,如果您不熟悉所有技术细节,插件总是可用的。
安装最佳 WordPress 安全插件
WordPress 有几个安全插件,包括免费的和高级的。 为您的 WordPress 网站安装一个插件是一个不错的选择。
在本指南中,我们将了解如何通过 WPMU DEV 构建的 Defender Pro 在我们的 WordPress 站点周围创建坚如磐石的安全环境。
Defender Pro 亮点功能
Defender 强大的 WordPress 安全屏障和针对黑客、暴力破解者和有害机器人的伪装技术。
- 定期进行安全检查
- 地理位置 IP 锁定
- 屏蔽和保护登录
- 审计记录
- 使用两个因素进行身份验证
- 监控黑名单
- 漏洞报告
- 恢复和修复更改的文件
安装 Defender Pro WordPress 插件
安装 Defender Pro 后,您会发现分类选项可用,即使对于初学者来说也很容易理解。
仪表板、建议、恶意软件扫描、审计日志、防火墙、WAF、2FA 工具、设置、教程。
完成扫描后,您将在 Defender Pro 仪表板中看到这样的屏幕。
当站点发现安全问题时,该插件会提供有关如何进行补救的建议。 这很有趣。
Defender Pro 更进一步,提供针对站点量身定制的全面、可操作的建议,并解决当前和未来的风险。
使这些建议脱颖而出的是您可以微调您采取的行动。
如果您不小心启用了“更新旧的安全密钥”,您仍然可以禁用或更改提醒频率。 这可以保持网站的安全和最新。
结论 – WordPress 安全性
保护您的 WordPress 网站的方法可能需要一些时间,但最终还是值得的。 而不是说我的 WordPress 网站被黑了。
我已经向您展示了 DIY 用户的方法和插件方法。 无论哪种方式,您都可以选择,WordPress 网站的安全性对任何用户都至关重要。
WPMU Dev 20% 折扣
Defender Pro 是一款出色的安全插件,可保护您的 WordPress 网站。 您可以获得 WPMU DEV 20% 的会员折扣。