• 主页
  • 文章
  • 主题
  • 保护您的 WordPress 网站的 10 个最佳 WordPress 安全指南

保护您的 WordPress 网站的 10 个最佳 WordPress 安全指南

已发表: 2020-11-10

随着 Covid-19 大流行将大多数企业推向网上,网站无疑是您最大的商业资产之一。 像 WordPress 这样的内容管理系统使构建网站变得更容易,不幸的是,网站安全性大多被忽略了——直到为时已晚,网站被黑客入侵。 黑客每天攻击超过 100,000 个网站——无论大小,其中 WordPress 网站占多数。 虽然 WordPress 本身是安全的,但它的巨大受欢迎程度使其成为黑客的最爱。 虽然没有办法确保 100% 的网站安全,但由于大多数用户没有遵循最佳安全实践,导致他们的网站容易受到黑客攻击,因此会发生黑客攻击。 在本文中,我们分享了 10 个最佳 WordPress 安全指南和经过测试的安全措施,它们构成了全面 WordPress 安全策略的支柱。 开始我们的话题吧。

1. 定期扫描和清理您的网站

此步骤可确保立即引起您的注意任何恶意代码。 但如果您是非技术用户,识别此类代码可能会很棘手。 此外,黑客不断创新和设计更新的黑客手段,使他们的代码更难识别。

扫描

我们建议您安装一个安全插件,例如 Sucuri 或 MalCare 来为您完成这项工作。 安全插件旨在使用其先进且不断发展的算法来检测最狡猾的恶意软件。 它们易于安装,就像任何其他插件一样,无需任何技术知识的用户即可使用。 您可以使用它们来安排定期扫描,因此恶意软件永远不会有机会在您的网站上停留太久。 MalCare 等安全插件提供一键式自动恶意软件删除功能,因此您可以立即清理您的网站,而无需等待技术帮助。

您可以选择手动扫描和修复您的网站。 但是,除非您精通 WP 后端文件和数据库表,否则我们不建议您这样做。

2. 更新您的网站

您是否经常看到消息“WordPress 版本 xxx 可用”或插件/主题的“更新到 xxx”之类的消息? 虽然忽略它们可能很诱人,但这样做可能是一个巨大的错误。 您延迟更新套​​件的时间越长,您的网站就越容易受到攻击。 黑客利用旧版 Core WP、插件和主题中的已知安全漏洞。 一旦他们在特定版本中发现故障,他们就会针对使用相同版本的所有站点。

更新您的网站

不幸的是,大多数网站都运行在 WordPress 的旧版本或过时版本上,例如 3.x 版甚至 2.x 版。 大多数安装的插件/主题也是如此。

应用更新可能是一件耗时的事情,尤其是在您管理数百个站点时。 为方便起见,您可以选择一个安全插件,例如 WP Remote,它提供了 WordPress 管理功能,可以一次性更新所有站点中的所有 WP 组件。

3. 加强您的用户名和密码

您是否继续使用“密码”或“123123”之类的登录页面密码? 黑客总是利用这些常见的用户名和弱密码来闯入登录页面。 在常见的黑客攻击方法中,黑客使用自动机器人部署暴力攻击,这些机器人猜测您的用户名和密码,以针对全球登录页面。

防范蛮力攻击的最好也是最简单的方法是加强您的登录凭据。 作为一种做法,请确保您的所有用户都为登录目的配置唯一的用户名。

选择一个长度至少为 12 个字符的强密码,并且混合了字母、数字和特殊符号(如 #、@ 或 _)。

另一项安全措施是每六到八个月定期更改您的用户密码。 Dashlane 等密码管理工具可以有效地生成和存储强密码。

4. 实施 2 因素身份验证或 2FA

2 因素身份验证或 2FA 是一种行业标准,可为您的站点提供额外的安全层。

2FA 是如何工作的? 启用它后,每个尝试登录其帐户的用户都必须经过两步过程。 第一步是输入正确的用户名和密码。 下一步是输入一个特殊且唯一的代码,该代码仅生成并发送到用户的手机号码。

简而言之,2FA 使黑客很难在您的网站登录页面上部署暴力攻击。 您需要做的就是安装 2FA 插件,例如 Google Authenticator 或 Duo Two-Factor Authentication。 另一种选择是使用像 MalCare 这样的安全插件,它的特性中内置了 2FA 功能。

5. 安装 SSL 证书

SSL 安全网站

SSL 或 Short Secure Layer 是一种安全层,用于加密在您的托管服务器和用户浏览器之间传输的每个数据。 通过这种加密,可以确保黑客无法轻易截取和解密共享信息。 还有一个额外的好处。 这也是提高您的 SEO 排名的好方法,因为搜索引擎偏爱具有 SSL 证书的网站。

您如何为您的网站获取 SSL 证书? 您可以从您的托管公司获得一个。 如果这不起作用,请在您的网站上安装第三方 SSL 插件,例如 Let's Encrypt。

6. 为您的网站设置防火墙保护

防火墙充当传入流量和 Web 服务器之间的连续防线。 有效的网站防火墙可以阻止数据库注入、XSS 攻击和会话劫持等攻击。

怎么这么有效? 很简单,它会监控向您的 Web 服务器发出的每个传入请求 - 并阻止来自错误或可疑 IP 地址的请求。 无论您使用哪种设备浏览​​互联网,它都由一个唯一的代码标识——它的 IP 地址。 任何黑客的设备也是如此。 防火墙会阻止来自具有发起恶意软件攻击历史的 IP 地址的请求。

设置防火墙

你如何设置防火墙? 您可以从不同类型的防火墙中进行选择,包括基于云的 Web 应用程序防火墙和网络级防火墙。 选择像 MalCare 这样的安全插件,这些插件还包括可以轻松启用或禁用的防火墙保护。

7. 执行 WP 强化

根据黑客部署的常见黑客机制,WordPress 团队自己推荐了一套 12 种强化措施来强化任何网站。 这包括禁用文件编辑器工具、更改安全密钥和阻止插件/主题安装。

然而,其中一些措施对于非技术用户来说可能难以独立实施。 任何无意的错误都可能导致您的网站出现故障或崩溃。 MalCare 安全插件具有简单的分步 WordPress 强化功能,只需单击几下即可为您完成此操作。

8.分配用户权限

对于 WordPress 站点,您可以创建多个用户,但并非所有用户都需要拥有最高权限。 这就是为什么 WP 允许六种不同的用户角色,即超级管理员、管理员、编辑、作者、贡献者和作者。

超级管理员拥有“最高”的权利或特权,而作者拥有“最低”的特权。 由于管理员用户拥有最多的权限,因此黑客经常试图侵入管理员帐户——他们可以在其中造成最大的损害。

我们的建议——采用最小权限原则,只有少数受信任的用户被分配“管理员”权限。 根据他们的工作角色,其余的可以被赋予其他用户角色。

9.实施地理封锁

根据有关网络攻击的最新统计数据,大多数成功的黑客都位于少数几个国家。 就像防火墙可以阻止来自选定 IP 地址的请求一样,它也可以阻止来自特定国家/地区的所有请求。 这就是所谓的国家封锁。 通过阻止来自这些国家/地区的传入流量,位于这些国家/地区的黑客将无法访问您的网站。 如果您的网站有一个地理目标细分市场,这种方法效果最好。

选择一个安全工具,让您查看所有失败或被阻止的 IP 请求的来源国家/地区,并为您提供对该地区实施国家/地区阻止的选项。

10. 定期备份您的网站和数据库

尽管您采取了所有安全措施,但现实情况是无法 100% 保证避免攻击。 网站备份就像针对成功黑客攻击的保险单。 只有在您的网站崩溃或被黑客入侵后,您才会意识到它的价值。

当您的网站出现故障时,您会怎么做? 您的首要任务是将您的网站恢复到正常状态,这只有在您备份了网站和数据库文件时才有可能。

更新

您如何对网站进行完整备份?

如果可用,请选择您的托管公司提供的备份服务。 或者,您可以手动执行此操作——尽管这可能会耗费大量时间和精力。 如果您正在寻找一种更简单、更短的方法,您可以选择像 BlogVault 或 Backupbuddy 这样的备份插件,它可以自动执行备份过程并将备份的独立副本存储在安全位置。

众所周知,备份插件的性能优于其他备份工具。 仅仅因为它们为您的最新文件和数据库表的备份提供了完整的解决方案,从而最大限度地降低了丢失任何内容的风险。 此外,它们还提供简单的一键还原功能,只需单击几下即可还原您的网站。

综上所述

无论您的网站有多大或多小,它始终是聪明黑客的潜在目标。 保护自己免受网络威胁的唯一方法是为自己配备可以使黑客的工作更加困难的知识和工具。 这十个步骤构成了适用于任何 WordPress 网站的完整且强大的安全策略。 大多数上述措施都可以通过安装一个结合了这些安全措施的单个安全插件来解决。

我们希望这篇 10 个最佳 WordPress 安全指南的文章对您有所帮助。 继续实施这些 WordPress 安全指南并提高您网站的安全评分。 如果您对这篇 WordPress 安全指南文章有任何疑问,请在下面的评论部分告诉我。 另外,如果您喜欢这篇文章,请与您的朋友和社交媒体关注者分享。