如何保护您的 WordPress 网站

已发表: 2019-08-06

WordPress 拥有互联网世界中 35% 的网站。 正如他们所说的“更大的权力伴随着更大的责任”,WordPress 也有很多事情需要照顾。 随着 WordPress 在网络市场上的烙印越来越大,黑客已经注意到了,特别是针对 WordPress 网站。 无论您的网站提供何种内容和服务,如果没有正确的安全预防措施,您始终处于危险之中。

如果它找到了一种伤害自己的方法,那么你启动一个高效网站的努力都是徒劳的。 Internet 黑客攻击和随机攻击有时是如此可预测,以至于您的网站可能会在几分之一秒内崩溃。 因此,以最佳方式保护您的 WordPress 始终是明智之举。 以下是保护您的 WordPress 网站的一些提示。

1. 定期更新 WordPress、主题和插件

更新 WordPress

每次更新都意味着一些更改,通常包括对安全功能的更新。 使用最新版本更新您的 WordPress、主题和插件可以保护您免受预先识别的漏洞和黑客攻击。

值得庆幸的是,WordPress 会自动下载任何次要更新。 但是您需要从 WordPress 管理仪表板对主要版本进行进一步更新。

2.更改WordPress表前缀

使用默认前缀(即“wp_”)安装 WordPress 会使您的站点数据容易受到 SQL 注入攻击。 因此,首先要做的就是将您的 wp_ 更改为 wpmy_ 或 wpnew_ 之类的东西,甚至是随机的东西。

更改表前缀

但是,如果您安装了带有 wp_ 前缀的 WordPress 网站,请使用插件来更改它。 Change Table Prefix、iThemes Security 和 WP-DB Manager 等插件只需单击一个按钮即可完成这项工作。

3.更改默认的“admin”用户名

更改管理员用户名

永远不要为您的管理员帐户使用“admin”用户名。 任何这样容易猜到的用户名都容易为黑客打开大门。 如果用户名如此容易预测,那么他们只需要弄清楚密码即可。 你不想让他们的事情变得更容易,是吗?

默认情况下,WordPress 不允许您更改用户名。 因此,您可以使用几种方法来更改用户名 - 创建一个新的管理员用户名并删除旧用户名,使用用户名更改插件或从 phpMyAdmin 更新用户名。

4.添加两因素身份验证

使用双因素身份验证模块,用户提供两个不同组件的登录详细信息,网站管理员可以决定这两个是什么,即一个常规密码,后跟一个问题、一个代码、一组字符或提供密码使用 Google Authenticator 应用程序连接到您的手机。

这意味着只有使用您手机的人才能登录您的网站。 首先,安装并激活两个因素身份验证插件,然后单击 WordPress 管理侧栏上的“两个因素身份验证”链接。

您可以使用一些插件来实现两因素身份验证:

  • Google Authenticator – WordPress 两因素身份验证(2FA,MFA)
  • 两因素身份验证
  • 双重双重身份验证

5. 安装 SSL 证书

单套接字层,通常称为 SSL,早期用于保护特定交易,如流程支付。 但现在,随着 Google 已经认识到 SSL 的重要性,获得 SSL 证书的网站在搜索结果中具有移动价值。

安装 SSL 证书

一家好的托管公司提供免费的 Let?s Encrypt SSL 证书。 否则,对于接受敏感信息的网站,他们应该支付大约 70-199 美元/年的 SSL 价格。 对于处理敏感信息的网页,SSL 是强制性的,否则您的网络服务器和用户的网络浏览器之间的数据以黑客可以读取的纯文本形式传递。

6. 安装 WordPress 安全插件

定期检查您网站的安全性可能会很忙。 即便如此,除非您定期更新最新的编码实践,否则您可能不会注意到恶意软件。 值得庆幸的是,有一些 WordPress 安全插件旨在为您完成这项工作。

WordPress 安全插件扫描恶意软件以保护您的网站安全并全天候 24/7 监控您的网站。 开发人员更喜欢 Wordfence 安全插件作为端点防火墙和恶意软件扫描程序。 它可以在一个视图中有效地评估您所有网站的总体安全状态。

7. 保护你的 wp-config.php

您可以通过隐藏 wp-config.php 文件来保护您的 wp-config.php。 这可以防止黑客访问您的网站。 虽然强烈建议有经验的开发人员使用此过程,但对于新手来说可能会很忙。

首先,备份所有文件,然后将以下代码添加到.htaccess文件中:

 # protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>

8.重命名您的登录网址

“yoursite.com/wp-admin”是站点的默认登录名。 这种登录是针对暴力攻击以破解用户名和密码组合,或者您可能会收到一些垃圾邮件注册。

所以明智的做法是更改管理员登录 URL。 您还可以在注册和登录页面添加一些身份验证插件或安全问题。 此外,检查最失败的登录尝试 IP 并阻止它们。?

9. 选择一家好的托管公司

廉价托管服务提供商的闪亮广告总是很诱人。 但它经常会在路上引起噩梦。 已经注意到您的 URL 被重定向到其他地方或您的数据被完全删除的情况。

如果多花几美元就可以保证您的网站安全,请不要犹豫。 听着,我知道你想要一个经济的起点。 但是,如果一家好的托管公司可以为您的网络形成一些额外的安全层,为什么不呢?

10.注意文件权限

WordPress 允许网络服务器写入不同的文件。 但是这种对文件的写访问权限是危险的。 当您需要允许写访问时,限制您的文件权限以放松这些限制是明智的。 保护重要文件以防他人多余。

11. 定期备份您的网站

您可能有一百种方法来保护您的 WordPress 网站,但数据总是有可能被删除。 因此,最后,最好的方法是将异地备份保存在其他地方。 使用备份数据,您可以随时轻松恢复您的 WordPress 网站。

您可以使用 UpdraftPlus、VaultPress、BlogVault、BackWPup 等插件。

总结一下:

保护您的 WordPress 是拥有网站的关键部分。 您可能成为黑客窃取所有个人信息并删除数据的故事的受害者。 但是维护您网站的安全并不是您采用了简单的保护技巧。 只需仔细按照上面列出的程序,您就可以轻松保护您的 WordPress 网站。

哦,即使在进行最轻微的更改之前,也要确保备份文件。