保護 WordPress 網站免受攻擊的 3 種方法
已發表: 2017-12-27如今,每個網站都需要認真對待安全問題。 如果它使用 WordPress 等內容管理系統 (CMS),則尤其如此。 這類平台通常存儲大量敏感信息,使其成為目標。 如果有人闖入您的網站,您需要花費寶貴的時間弄清楚他們是如何進入並修復損壞的。
好消息是,在增加網站的安全措施方面,WordPress 非常靈活。 例如,有幾種方法可以保護您的登錄頁面免受攻擊,並將其隱藏在您不認識的人面前。 在這里和那裡進行一些調整,您的網站可以迅速成為堡壘。
在本文中,我們將討論 WordPress 安全性的重要性。 然後,我們將向您介紹三種可用於使您的網站更安全的方法。 讓我們開始吧!
為什麼 WordPress 安全性很重要
需要明確的是,WordPress 已經是一個非常安全的開箱即用平台。 然而,它也是一個擁有數百萬用戶的龐大軟件,以及數以千計的插件和主題選項。 由於發生了這麼多事情,一些用戶最終不得不處理安全問題是很自然的。 在大多數情況下,您可以將這些問題追溯到容易破解的憑據、未能一致更新以及其他用戶錯誤。
另一方面,如果您是那種隨時了解最新版本的 WordPress 並監控您使用的所有插件和主題的人,您會更安全。 跟上您網站的安全性聽起來可能需要做很多工作,但保持謹慎是最好的做法。 原因如下:
- WordPress 是攻擊的目標。 內容管理系統 (CMS) 的流行使其成為在線攻擊者的最愛。 畢竟,在單個插件或主題中發現漏洞可以幫助他們訪問數千個網站。
- 您需要保護敏感的用戶信息。 即使您沒有通過您的網站處理任何信用卡號碼,這並不意味著您不應該保護用戶的隱私。
- 劫持者可能會通過您的網站傳播惡意軟件。 如今,攻擊者使用被黑網站向訪問者提供惡意軟件是一種常見做法。 不用說,您不希望您的用戶設備因為您的安全措施鬆懈而受到感染。
幸運的是,您可以採取很多措施來搶先保護您的 WordPress 網站。 例如,使用一個接收不斷更新的編碼良好的主題總是一個聰明的主意。 例如,我們自己的 Uncode 主題具有出色的評級和安全功能,我們隨時可以回答您關於如何進一步保護您的網站的任何問題。 整理好主題後,您可以採取其他一些簡單的措施。
保護 WordPress 網站免受攻擊的 3 種方法
在本節中,我們將教您三種方法來保護您的 WordPress 網站免受攻擊,無論是否使用插件。 由於您將對網站的功能進行一些非常重要的更改,因此您應該在開始之前創建備份。 這樣,如果出現問題(它不應該!),您將能夠在幾分鐘內恢復您的網站並重試。
1.使用雙重身份驗證(2FA)
通常,登錄網站所需的只是您的用戶名和密碼。 但是,有些網站會更進一步,並要求您輸入發送到您的電子郵件或智能手機的一次性代碼。 這稱為兩因素身份驗證 (2FA)。 使用這種方法,即使有人掌握了您的憑據,他們仍然無法訪問您的帳戶。
WordPress 不支持開箱即用的 2FA。 但是,您可以使用正確的工具來實現它。 有很多優秀的 2FA 插件可用,但我們偏愛 miniOrange 兩因素身份驗證,因為它提供了所有功能:
要開始使用此技術,您首先需要安裝並激活插件。 然後,您將能夠從儀表板訪問新的miniOrange 2-Factor選項卡。 第一次點擊它時,你必須填寫幾個字段來註冊一個 miniOrange 帳戶:
之後,您將通過電子郵件或短信收到一次性代碼,您可以使用它來激活插件。
完成後,您可以跳轉到屏幕頂部的“設置雙因素”選項卡,然後選擇訪問者可以使用的 2FA 類型。 為了給用戶提供最多的選擇,我們建議您使用電子郵件驗證作為您的默認方法:
選擇您想要的方法後,您可以註銷。 下次您嘗試訪問儀表板時,您會看到為您的帳戶啟用 2FA 的選項。 現在,您網站的所有用戶都可以選擇加入 2FA。 您的 WordPress 網站會更安全!
2. 將可以訪問您的儀表板的 IP 地址列入白名單
WordPress 儀表板是最神奇的地方。 因此,您不希望任何人都可以訪問。 只有受信任的團隊成員才能進入您網站的儀表板並使用其主要功能。
您的登錄頁面是您抵禦不必要入侵的主要防線。 但是,有時攻擊者可以訪問您的團隊成員之一的憑據。 如果發生這種情況,您將需要第二道防線來阻止它們。 這就是您的.htaccess文件的來源。
此文件使您能夠向服務器提供特定說明。 例如,您可以告訴它阻止 IP 不在預先批准列表中的任何人訪問您的儀表板。 當您將 IP 地址添加到該列表時,您將其“列入白名單”。 這種方法需要一些前期工作,但它可以將您的網站變成堡壘。
首先,您需要知道所有同事的 IP 地址。 為了獲得最佳結果,您還需要確保這些 IP 是靜態的。 團隊成員可以使用“我的 IP 是什麼”之類的網站來了解他們的地址是什麼,並聯繫他們的互聯網提供商,以便為他們分配一個靜態地址(如果他們還沒有靜態地址)。
最好先完成這些任務,這樣您就可以一次輸入所有列入白名單的 IP。 準備好地址列表後,您需要找到並訪問您網站的.htaccess文件。 為此,我們建議使用文件傳輸協議 (FTP) 和 FileZilla 等工具。
只需使用您的 FTP 憑據登錄您的網站,然後訪問您的public_html文件夾。 然後,在以下位置查找.htaccess文件:
現在,右鍵單擊文件並選擇查看/編輯選項。 這樣做將使用您的默認文本編輯器在您的計算機上打開文件。 裡面應該已經有幾行代碼,您不想更改它們。 相反,滾動到文件底部並查找#END WordPress行。
您需要在該行之前粘貼以下代碼段:
<IfModule mod_rewrite.c>
重寫引擎開啟
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
重寫規則 ^(.*)$ - [R=403,L]
</IfModule>這五行代碼告訴 WordPress 檢查任何試圖訪問您的儀表板的人的 IP 地址。 如果他們的地址與您的白名單中的一個不匹配(上例中有兩個),他們將收到 403 錯誤:
您可以使用相同的格式添加任意數量的地址,也可以阻止其他頁面。 例如,如果您想阻止除白名單上的任何人之外的任何人的登錄頁面,您所要做的就是添加一行額外的代碼:
<IfModule mod_rewrite.c>
重寫引擎開啟
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
重寫規則 ^(.*)$ - [R=403,L]
</IfModule>完成對.htaccess的更改後,保存文件並關閉文本編輯器。 除非您忘記將自己的 IP 地址列入白名單,否則您應該仍然可以像往常一樣訪問您的儀表板和登錄頁面!
3. 使用全面的 WordPress 安全插件
如果您選擇只採取一種措施來保護您的 WordPress 網站,那麼使用安全插件可以讓您獲得最大的收益。 有大量流行的安全插件可用,其中許多能夠保護您的網站免受大多數類型的攻擊。
我們的最愛之一是 All In One WP Security & Firewall。 它提供了廣泛的功能和用戶友好的界面:
到目前為止,我們已經討論了很多關於保護您的 WordPress 登錄和儀表板頁面的內容。 該插件使您可以同時使用內置功能,只需單擊幾下即可打開。 例如,您可以限制某人在臨時鎖定站點之前可以進行的登錄嘗試次數。 此功能可從WP 安全 > 用戶登錄選項卡獲得:
您還可以配置插件以在有人被鎖定在登錄頁面時通知您,並完全阻止 IP 地址。 All In One WP Security & Firewall 還包括一個綜合防火牆,您可以從WP Security > Firewall選項卡進行配置:
激活插件後,您的第一步應該是查看其文檔。 您需要學習如何使用許多設置,但快速速成課程應該會告訴您為了保護您的網站而需要知道的一切。
最後但同樣重要的是,Kinsta 對鎖定您的網站有一些很好的見解,如果您需要更多關於 WordPress 安全性的提示,請查看它。
結論
WordPress 安全性是您想要積極主動的事情。 從一開始就花費一點精力來保護您的網站將為您省去很多麻煩。 如果幸運的話,您將永遠不必處理對您網站的不必要入侵的後果,您將能夠專注於改進它。
好消息是有很多簡單的方法可以保護您的網站。 再一次,這是我們最喜歡的三個:
- 在您的登錄頁面上使用 2FA。
- 將團隊成員的 IP 地址列入白名單。
- 使用全面的 WordPress 安全插件。
您對如何保護您的 WordPress 網站有任何疑問嗎? 在下面的評論部分詢問!