如何保護您的 WordPress 網站:工作安全提示
已發表: 2021-11-30
WPMU Dev 20% 折扣
對於本文,我們將使用 WPMU DEV 託管和工具。 您可以獲得 WPMU DEV 20% 的會員折扣。
WordPress 安全是一個巨大的話題。 您可以採取多種措施來保護您的 WordPress 網站並防止黑客和漏洞破壞您的電子商務網站或博客。
雖然 WordPress 核心軟件非常安全,並且經常被數百名工程師審查,但您仍然可以做很多事情來確保您的網站安全。
您不想一天早上醒來發現您的網站一片混亂。 因此,今天,我們將介紹您可以用來提高 WordPress 安全性並保持安全的各種方法、策略和方法。
為什麼網站安全很重要?
任何受損的 WordPress 網站都會嚴重損害您的現金流和信譽。 攻擊者可以獲取客戶數據、密碼、注入惡意程序,甚至用惡意軟件感染您的用戶。
可怕的情況是,公司可能被迫向攻擊者使用勒索軟件,以恢復對網站的訪問。 據谷歌稱,超過 5000 萬網站用戶已被警告他們正在訪問的網頁可能包含惡意軟件或竊取數據。
這是一個實時統計網站在一天內被黑客入侵。
此外,Google 每週都會將大約 20,000 個惡意軟件網站和大約 50,000 個網絡釣魚網站列入黑名單。 如果您正在運行公司頁面,則需要重視網站安全。
作為在線企業主,您的工作確實是保護您的企業網站,就像您有責任保護您的真實商店設施一樣。
WordPress 是一個安全的平台嗎?
WordPress安全嗎?
這可能是你腦海中的第一個問題。 是的,在大多數情況下。
只要網站所有者認真對待安全並遵守推薦的做法,WordPress 就是安全的。 使用安全插件和主題、維護負責任的登錄過程、使用安全插件來監控您的站點以及定期更新都是很好的做法。
另一方面,WordPress 以容易出現安全漏洞而聞名,因此不是用於企業的安全平台。 大多數情況下,這是由於用戶繼續遵循經過行業驗證的安全最差做法。
黑客通過使用舊的 WordPress 軟件、無效的插件、糟糕的系統管理、憑證管理以及非技術 WordPress 用戶缺乏必要的 Web 和安全專業知識來控制他們的網絡犯罪遊戲。 即使是最好的實踐也不總是被行業領導者遵循。 因為他們使用的是舊版本的 WordPress,路透社被黑了。
這並不是說不存在漏洞。 在 2017 年第三季度的一項調查中,WordPress 繼續主宰多平台安全企業 Sucuri 的受感染網站(佔 83%)。 這比上一年的 74% 有所增加。
由於 WordPress 為互聯網上超過 42% 的網站提供支持,並且有數十萬個主題和插件組合可供選擇,因此存在漏洞並不斷被發現也就不足為奇了。 但是,圍繞 WordPress 平台有一個強大的社區,可以確保盡快解決這些問題。 截至 2021 年,WordPress 安全團隊由大約 50 名專家組成,包括首席開發人員和安全研究人員(高於 2017 年的 25 名); 大約一半是 Automattic 的員工,還有一些在網絡安全領域工作。
開始使用適當的託管
使用提供多層安全性的主機是保持網站安全的最簡單方法。
在網站託管上省錢意味著您可以將錢花在組織內的其他地方,因此與便宜的託管服務提供商簽約可能很誘人。 但是你應該抵制這種誘惑。
便宜的主機將來可能會引起頭痛。 與您的 URL 關聯的數據可能會被完全刪除,並且您的 URL 可能會開始重定向到其他地方。 僅舉幾個例子,還有更多原因可以說明您應該避免選擇不值得您開展業務的廉價託管服務。
如果您多付一點錢,優質主機提供的額外安全性會自動歸功於您的網站。 此外,您可以通過使用良好的 WordPress 託管服務來提高 WordPress 網站的性能。
創建站點備份
首先,在對您的網站進行任何修改之前備份您的 WordPress 備份。
有許多可用的 WordPress 備份插件可用於實現相同的目標。
有免費和付費的。 但是,只有少數建議是免費的。
- 上升氣流
- BackWPup
我假設您已經安裝並使用了其中一個備份 WordPress 插件。 現在您已準備好繼續下一步。
我建議在每篇文章發布後安排備份。 在對帖子或博客數據庫進行任何修改後。
創建強密碼
您可以做很多事情來保護您的 WordPress 網站,但很少有人關注基礎知識。
您應該為所有社交媒體網站和電子郵件帳戶創建安全密碼。
同樣,由於 WordPress 網站像其他所有網站一樣被黑客入侵,因此對您的 WordPress 網站採取相同的預防措施至關重要。 您的博客有多大不再重要。 這一切都激起了黑客的好奇心。 哈哈!
使用強密碼意味著不使用您個人的任何東西。 幾乎所有事情都應該避免,包括您的姓名、生日、員工 ID、女朋友的姓名以及任何其他可能被猜到的信息。
破解密碼需要時間
您在想出創造性的密碼想法時遇到問題嗎? 要建立安全密碼,您可以隨時使用任何在線密碼生成器工具。 我使用 LastPass 密碼生成器。
更改 WP 登錄 URL
“yoursite.com/wp-admin”是登錄 WordPress 的默認 URL。
如果您保持原樣,您可能會成為旨在破解您的用戶名/密碼組合的暴力攻擊的受害者。
如果您允許用戶註冊訂閱帳戶,您可能會收到大量垃圾郵件註冊。 更改管理員登錄 URL 或在註冊和登錄頁面添加安全問題以避免這種情況。
您可以安裝自定義登錄 URL 或 WPS 隱藏登錄等插件來更改 wp-login URL。
更改 WordPress 用戶名
創建博客時,您可以選擇輸入用戶名,該用戶名將用於登錄您的博客或網站。
大多數人默認將其保留為“管理員”,然後忘記更改它。
考慮一下,即使是一個可憐的黑客也能很容易地預測到這一點。 哈哈! 我注意到你臉上露出笑容。
您需要使其獨一無二且無法猜測。 如果您不確定如何完成,我提供了一個關於更改 WordPress 用戶名的簡單教程。
兩因素身份驗證
您以前是否對 Gmail 帳戶使用過雙重身份驗證? 如果你熟悉它,你可能已經明白我在說什麼了。
雙重身份驗證是一種簡單的技術,可以保護您的 WordPress 網站免受黑客攻擊。
如果您將博客連接到手機進行雙重身份驗證,您將在登錄時收到 OTP。 您可以通過輸入該號碼登錄。
這將安全性提升到了一個新的水平,並為組合增加了另一層。 可以在此處找到有關 WordPress 雙重身份驗證的簡短課程。
密碼保護 WordPress 管理員和登錄頁面
通常,黑客可以不受限制地訪問您的 wp-admin 文件夾和登錄頁面。 這使他們有機會測試他們的黑客技能或發起 DDoS 攻擊。
在服務器端,您可以實施進一步的密碼保護,這將基本上停止這些請求。
按照我們的分步步驟使用密碼保護您的 WordPress wp-admin。
限制登錄嘗試
在 WordPress 中,默認情況下,用戶可以嘗試多次登錄。 如果您經常忘記哪些字母是大寫字母,這可能會有所幫助,但它也會讓您面臨暴力攻擊。
您可以限制登錄嘗試次數,直到用戶被暫時阻止。 它減少了您被蠻力攻擊的機會,因為黑客在攻擊完成之前就被鎖定了。
使用 WordPress 登錄限制嘗試插件,您可以輕鬆啟用此功能。
使用設置 > 登錄限制嘗試,您可以在安裝插件後更改登錄嘗試次數。
註銷 WordPress 中的空閒用戶
登錄的用戶有時可能會偏離他們的屏幕,從而構成安全風險。 有人可以控制他們的會話、更改他們的密碼和修改他們的帳戶。
這就是為什麼許多銀行和金融網站會自動鎖定閑置用戶的原因。 類似的功能也可以在您的 WordPress 網站上實現。
必須安裝並激活 Inactive Logout 插件。 要配置插件設置,請單擊設置»激活後不活動註銷。
設置計時器和註銷消息,您就完成了。 不要忘記通過單擊“保存更改”按鈕來保存更改。
在 WordPress 登錄屏幕中添加安全問題
在您的 WordPress 登錄屏幕中添加安全問題會使獲得未經授權的訪問變得更加困難。
安裝WP 安全問題插件將允許您添加安全問題。 要配置插件設置,請在激活後轉到設置»安全問題。
有關更多信息,請參閱我們的教程,了解如何向 WordPress 添加安全問題。
禁用目錄瀏覽
網站管理員檢查的另一個階段是這個。 當談到網站安全時,這是一個鮮為人知的事實。
但是,如果啟用了對根目錄的瀏覽。 讀者、訪問者或黑客可以訪問主題、插件、圖像等文件。
以下是使用 .htaccess 文件防止在 WordPress 中瀏覽目錄的方法。
禁用文件編輯
在您的 WordPress 儀表板中,有一個代碼編輯器工具,可讓您在設置站點時更改主題和插件。
外觀>編輯器是您可以找到它的地方。 您也可以通過前往插件>編輯器來訪問插件編輯器。
我們建議您在網站上線後禁用此功能。 如果黑客獲得對您的 WordPress 管理面板的訪問權限,他們可以在您的主題和插件中引入微妙的有害代碼。
編碼通常非常微妙,直到為時已晚,您才會意識到任何錯誤。
只需將以下代碼輸入到您的 wp-config.php 文件中。
define('DISALLOW_FILE_EDIT', true);此過程將幫助您防止從儀表板更改插件和主題文件的能力。
在 WordPress 中禁用 XML-RPC
從 WordPress 3.5 開始,默認啟用 XML-RPC 以幫助您將 WordPress 站點與移動應用程序和 Web 服務連接起來。
XML-RPC 由於其強大的性質,可以顯著放大暴力攻擊。
過去,如果黑客想在您的網站上嘗試 500 個不同的密碼,他們必須登錄 500 次。 登錄鎖定插件會捕獲並阻止這些嘗試。
然而,使用 XML-RPC,黑客可以使用 system.multicall 函數通過 20 或 50 個請求嘗試數千個密碼。
因此,如果您不使用 XML-RPC,那麼您應該禁用它。 如果您使用上面提到的 Web 應用程序防火牆,這可以由防火牆處理。
隱藏 wp-config.php 和 .htaccess 文件
雖然隱藏站點的 .htaccess 和 wp-config.php 文件以防止黑客訪問它們是提高站點安全性的一種複雜方法,但如果您認真對待自己的安全性,這是一種明智的做法。
我們強烈建議有經驗的開發人員採用此選項,因為首先備份您的網站並謹慎行事至關重要。 任何錯誤都可能導致您的網站不可用。
備份後,您需要執行兩件事來隱藏文件:
首先,將以下代碼添加到您的 wp-config.php 文件中:
<Files wp-config.php> order allow,deny deny from all </Files>您將以類似的方式將以下代碼添加到您的 .htaccess 文件中。
<Files .htaccess> order allow,deny deny from all </Files>儘管該過程很簡單,但您應該確保有備份,以防出現問題。
刪除 WP 版本
我們之前討論過 WordPress 升級。 現在,讓您的 WordPress 版本不被黑客發現也是合乎邏輯的。
鑑於您擁有登錄憑據,我很好奇他們如何看到您使用的 WordPress 版本。
黑客可以通過查看源頁面輕鬆檢查 WordPress 版本。 他們現在要做的就是
CTRL F – 右鍵單擊(在網頁上)– 查看頁面源代碼(搜索版本)。 它將類似於下面看到的標籤。
啟用 Web 應用程序防火牆
您可能知道防火牆的概念,它是一個有助於保護您的計算機免受各種類型的惡意攻擊的程序。 您幾乎可以肯定在您的 PC 上安裝了防火牆。
Web 應用程序防火牆 (WAF) 是一種專門用於保護網站的防火牆。 服務器、特定網站或大量網站都可以受到保護。
WordPress 站點上的 Web 應用程序防火牆 (WAF) 將充當您的站點和 Internet 其餘部分之間的防火牆。 防火牆監視可疑行為,檢測攻擊、病毒和其他不受歡迎的事件,並阻止它認為危險的任何事情。
安裝 SSL 證書
SSL 或安全套接字層現在廣泛用於所有類型的網站。 最初,需要 SSL 以確保網站對特定流程(例如支付處理)安全。 然而,今天,谷歌已經意識到它的重要性,並在其搜索結果中賦予支持 SSL 的網站更高的排名。
任何處理敏感數據(例如密碼或信用卡號)的站點都需要 SSL。 如果您沒有 SSL 證書,則用戶的 Web 瀏覽器和您的 Web 服務器之間的所有數據都以純文本形式傳輸。
黑客可能能夠閱讀此內容。 使用 SSL 會在重要信息在其瀏覽器和您的服務器之間發送之前對其進行加密,使其更難閱讀並提高您網站的安全性。
接受敏感信息的網站的 SSL 平均定價約為每年 70 至 199 美元。 如果您不接受任何敏感數據,則無需為 SSL 證書付費。 幾乎每個託管服務提供商都提供免費的 Let's Encrypt SSL 證書,您可以使用它來保護您的網站。
對空主題說不
與免費主題相比,高級 WordPress 主題看起來更專業,並提供更多自定義選項。 無論如何,很難說您通過免費主題獲得了所支付的費用。
所有高級主題均由經驗豐富的開發人員設計,並在發布前經過測試。 如果您的網站出現問題,您可以獲得全力支持。 自定義主題沒有任何限制。 此外,更新主題是定期的。
有些網站也提供無效或破解的主題。 無效主題是已被黑客入侵且非法可用的高級主題的版本。 這可能會使您的網站面臨風險。 隱藏在這些主題中的惡意代碼可能會破壞您的網站和數據庫或竊取您的登錄憑據。
儘管可以節省一點錢,但任何網站所有者都應避免使用那些無效的 WordPress 主題,這一點很重要。
定期更新 WordPress 版本
保持 WordPress 網站安全的最有效方法是使其保持最新狀態。 每次更新通常都會進行一些更改,包括安全更新。 定期更新您的軟件可以防止您成為攻擊和漏洞的目標,黑客會利用這些漏洞訪問您的網站。
同樣的原因也適用於更新插件和主題。
默認情況下,WordPress 會自動下載次要更新。 但是,需要進行重大更改的更新必須直接通過您的 WordPress 管理儀表板完成。
更改數據庫表前綴
您可能已經註意到,在您的服務器上安裝 WordPress 時,會出現一個對話窗口,要求輸入某個前綴來開始類似 wp_ 的內容。 這就是它的含義。 這是您的 WordPress 網站的數據庫。 文件夾的名稱是 wp_。
毫不奇怪,任何常見的東西都可能被所謂的黑客推斷出來。 修改您創建的任何內容的前綴也是一個好主意。 mywpsite_、friendswp_ 等中的任何內容。
我可以通過訪問您網站的數據庫來簡單地實現這一點。 但是,如果您不熟悉所有技術細節,插件總是可用的。
安裝最佳 WordPress 安全插件
WordPress 有幾個安全插件,包括免費的和高級的。 為您的 WordPress 網站安裝一個插件是一個不錯的選擇。
在本指南中,我們將了解如何通過 WPMU DEV 構建的 Defender Pro 在我們的 WordPress 站點周圍創建堅如磐石的安全環境。
Defender Pro 亮點功能
Defender 強大的 WordPress 安全屏障和針對黑客、暴力破解者和有害機器人的偽裝技術。
- 定期進行安全檢查
- 地理位置 IP 鎖定
- 屏蔽和保護登錄
- 審計記錄
- 使用兩個因素進行身份驗證
- 監控黑名單
- 漏洞報告
- 恢復和修復更改的文件
安裝 Defender Pro WordPress 插件
安裝 Defender Pro 後,您會發現分類選項可用,即使對於初學者來說也很容易理解。
儀表板、建議、惡意軟件掃描、審計日誌、防火牆、WAF、2FA 工具、設置、教程。
完成掃描後,您將在 Defender Pro 儀表板中看到這樣的屏幕。
當站點發現安全問題時,該插件會提供有關如何進行補救的建議。 這很有趣。
Defender Pro 更進一步,提供針對站點量身定制的全面、可操作的建議,並解決當前和未來的風險。
使這些建議脫穎而出的是您可以微調您採取的行動。
如果您不小心啟用了“更新舊的安全密鑰”,您仍然可以禁用或更改提醒頻率。 這可以保持網站的安全和最新。
結論 – WordPress 安全性
保護您的 WordPress 網站的方法可能需要一些時間,但最終還是值得的。 而不是說我的 WordPress 網站被黑了。
我已經向您展示了 DIY 用戶的方法和插件方法。 無論哪種方式,您都可以選擇,WordPress 網站的安全性對任何用戶都至關重要。
WPMU Dev 20% 折扣
Defender Pro 是一款出色的安全插件,可保護您的 WordPress 網站。 您可以獲得 WPMU DEV 20% 的會員折扣。