如何保護您的 WordPress 網站

已發表: 2019-08-06

WordPress 擁有互聯網世界中 35% 的網站。 正如他們所說的“更大的權力伴隨著更大的責任”,WordPress 也有很多事情需要照顧。 隨著 WordPress 在網絡市場上的烙印越來越大,黑客已經註意到了,特別是針對 WordPress 網站。 無論您的網站提供何種內容和服務,如果沒有正確的安全預防措施,您始終處於危險之中。

如果它找到了一種傷害自己的方法,那麼你啟動一個高效網站的努力都是徒勞的。 Internet 黑客攻擊和隨機攻擊有時是如此可預測,以至於您的網站可能會在幾分之一秒內崩潰。 因此,以最佳方式保護您的 WordPress 始終是明智之舉。 以下是保護您的 WordPress 網站的一些提示。

1. 定期更新 WordPress、主題和插件

更新 WordPress

每次更新都意味著一些更改,通常包括對安全功能的更新。 使用最新版本更新您的 WordPress、主題和插件可以保護您免受預先識別的漏洞和黑客攻擊。

值得慶幸的是,WordPress 會自動下載任何次要更新。 但是您需要從 WordPress 管理儀表闆對主要版本進行進一步更新。

2.更改WordPress表前綴

使用默認前綴(即“wp_”)安裝 WordPress 會使您的站點數據容易受到 SQL 注入攻擊。 因此,首先要做的就是將您的 wp_ 更改為 wpmy_ 或 wpnew_ 之類的東西,甚至是隨機的東西。

更改表前綴

但是,如果您安裝了帶有 wp_ 前綴的 WordPress 網站,請使用插件來更改它。 Change Table Prefix、iThemes Security 和 WP-DB Manager 等插件只需單擊一個按鈕即可完成這項工作。

3.更改默認的“admin”用戶名

更改管理員用戶名

永遠不要為您的管理員帳戶使用“admin”用戶名。 任何這樣容易猜到的用戶名都容易為黑客打開大門。 如果用戶名如此容易預測,那麼他們只需要弄清楚密碼即可。 你不想讓他們的事情變得更容易,是嗎?

默認情況下,WordPress 不允許您更改用戶名。 因此,您可以使用幾種方法來更改用戶名 - 創建一個新的管理員用戶名並刪除舊用戶名,使用用戶名更改插件或從 phpMyAdmin 更新用戶名。

4.添加兩因素身份驗證

使用雙因素身份驗證模塊,用戶提供兩個不同組件的登錄詳細信息,網站管理員可以決定這兩個是什麼,即一個常規密碼,後跟一個問題、一個代碼、一組字符或提供密碼使用 Google Authenticator 應用程序連接到您的手機。

這意味著只有使用您手機的人才能登錄您的網​​站。 首先,安裝並激活兩個因素身份驗證插件,然後單擊 WordPress 管理側欄上的“兩個因素身份驗證”鏈接。

您可以使用一些插件來實現兩因素身份驗證:

  • Google Authenticator – WordPress 兩因素身份驗證(2FA,MFA)
  • 兩因素身份驗證
  • 雙重雙重身份驗證

5. 安裝 SSL 證書

單套接字層,通常稱為 SSL,早期用於保護特定交易,如流程支付。 但現在,隨著 Google 已經認識到 SSL 的重要性,獲得 SSL 證書的網站在搜索結果中具有移動價值。

安裝 SSL 證書

一家好的託管公司提供免費的 Let?s Encrypt SSL 證書。 否則,對於接受敏感信息的網站,他們應該支付大約 70-199 美元/年的 SSL 價格。 對於處理敏感信息的網頁,SSL 是強制性的,否則您的網絡服務器和用戶的網絡瀏覽器之間的數據以黑客可以讀取的純文本形式傳遞。

6. 安裝 WordPress 安全插件

定期檢查您網站的安全性可能會很忙。 即便如此,除非您定期更新最新的編碼實踐,否則您可能不會注意到惡意軟件。 值得慶幸的是,有一些 WordPress 安全插件旨在為您完成這項工作。

WordPress 安全插件掃描惡意軟件以保護您的網站安全並全天候 24/7 監控您的網站。 開發人員更喜歡 Wordfence 安全插件作為端點防火牆和惡意軟件掃描程序。 它可以在一個視圖中有效地評估您所有網站的總體安全狀態。

7. 保護你的 wp-config.php

您可以通過隱藏 wp-config.php 文件來保護您的 wp-config.php。 這可以防止黑客訪問您的網站。 雖然強烈建議有經驗的開發人員使用此過程,但對於新手來說可能會很忙。

首先,備份所有文件,然後將以下代碼添加到.htaccess文件中:

 # protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>

8.重命名您的登錄網址

“yoursite.com/wp-admin”是站點的默認登錄名。 這種登錄是針對暴力攻擊以破解用戶名和密碼組合,或者您可能會收到一些垃圾郵件註冊。

所以明智的做法是更改管理員登錄 URL。 您還可以在註冊和登錄頁面添加一些身份驗證插件或安全問題。 此外,檢查最失敗的登錄嘗試 IP 並阻止它們。?

9. 選擇一家好的託管公司

廉價託管服務提供商的閃亮廣告總是很誘人。 但它經常會在路上引起噩夢。 已經註意到您的 URL 被重定向到其他地方或您的數據被完全刪除的情況。

如果多花幾美元就可以保證您的網站安全,請不要猶豫。 聽著,我知道你想要一個經濟的起點。 但是,如果一家好的託管公司可以為您的網絡形成一些額外的安全層,為什麼不呢?

10.注意文件權限

WordPress 允許網絡服務器寫入不同的文件。 但是這種對文件的寫訪問權限是危險的。 當您需要允許寫訪問時,限制您的文件權限以放鬆這些限制是明智的。 保護重要文件以防他人多餘。

11. 定期備份您的網站

您可能有一百種方法來保護您的 WordPress 網站,但數據總是有可能被刪除。 因此,最後,最好的方法是將異地備份保存在其他地方。 使用備份數據,您可以隨時輕鬆恢復您的 WordPress 網站。

您可以使用 UpdraftPlus、VaultPress、BlogVault、BackWPup 等插件。

總結一下:

保護您的 WordPress 是擁有網站的關鍵部分。 您可能成為黑客竊取所有個人信息並刪除數據的故事的受害者。 但是維護您網站的安全並不是您採用了簡單的保護技巧。 只需仔細按照上面列出的程序,您就可以輕鬆保護您的 WordPress 網站。

哦,即使在進行最輕微的更改之前,也要確保備份文件。