• 主頁
  • 文章
  • 主題
  • 保護您的 WordPress 網站的 10 個最佳 WordPress 安全指南

保護您的 WordPress 網站的 10 個最佳 WordPress 安全指南

已發表: 2020-11-10

隨著 Covid-19 大流行將大多數企業推向網上,網站無疑是您最大的商業資產之一。 像 WordPress 這樣的內容管理系統使構建網站變得更容易,不幸的是,網站安全性大多被忽略了——直到為時已晚,網站被黑客入侵。 黑客每天攻擊超過 100,000 個網站——無論大小,其中 WordPress 網站佔多數。 雖然 WordPress 本身是安全的,但它的巨大受歡迎程度使其成為黑客的最愛。 雖然沒有辦法確保 100% 的網站安全,但由於大多數用戶沒有遵循最佳安全實踐,導致他們的網站容易受到黑客攻擊,因此會發生黑客攻擊。 在本文中,我們分享了 10 個最佳 WordPress 安全指南和經過測試的安全措施,它們構成了全面 WordPress 安全策略的支柱。 開始我們的話題吧。

1. 定期掃描和清理您的網站

此步驟可確保立即引起您的注意任何惡意代碼。 但如果您是非技術用戶,識別此類代碼可能會很棘手。 此外,黑客不斷創新和設計更新的黑客手段,使他們的代碼更難識別。

掃描

我們建議您安裝一個安全插件,例如 Sucuri 或 MalCare 來為您完成這項工作。 安全插件旨在使用其先進且不斷發展的算法來檢測最狡猾的惡意軟件。 它們易於安裝,就像任何其他插件一樣,無需任何技術知識的用戶即可使用。 您可以使用它們來安排定期掃描,因此惡意軟件永遠不會有機會在您的網站上停留太久。 MalCare 等安全插件提供一鍵式自動惡意軟件刪除功能,因此您可以立即清理您的網站,而無需等待技術幫助。

您可以選擇手動掃描和修復您的網站。 但是,除非您精通 WP 後端文件和數據庫表,否則我們不建議您這樣做。

2. 更新您的網站

您是否經常看到消息“WordPress 版本 xxx 可用”或插件/主題的“更新到 xxx”之類的消息? 雖然忽略它們可能很誘人,但這樣做可能是一個巨大的錯誤。 您延遲更新套件的時間越長,您的網站就越容易受到攻擊。 黑客利用舊版 Core WP、插件和主題中的已知安全漏洞。 一旦他們在特定版本中發現故障,他們就會針對使用相同版本的所有站點。

更新您的網站

不幸的是,大多數網站都運行在 WordPress 的舊版本或過時版本上,例如 3.x 版甚至 2.x 版。 大多數安裝的插件/主題也是如此。

應用更新可能是一件耗時的事情,尤其是在您管理數百個站點時。 為方便起見,您可以選擇一個安全插件,例如 WP Remote,它提供了 WordPress 管理功能,可以一次性更新所有站點中的所有 WP 組件。

3. 加強您的用戶名和密碼

您是否繼續使用“密碼”或“123123”之類的登錄頁面密碼? 黑客總是利用這些常見的用戶名和弱密碼來闖入登錄頁面。 在常見的黑客攻擊方法中,黑客使用自動機器人部署暴力攻擊,這些機器人猜測您的用戶名和密碼,以針對全球登錄頁面。

防範蠻力攻擊的最好也是最簡單的方法是加強您的登錄憑據。 作為一種做法,請確保您的所有用戶都為登錄目的配置唯一的用戶名。

選擇一個長度至少為 12 個字符的強密碼,並且混合了字母、數字和特殊符號(如 #、@ 或 _)。

另一項安全措施是每六到八個月定期更改您的用戶密碼。 Dashlane 等密碼管理工具可以有效地生成和存儲強密碼。

4. 實施 2 因素身份驗證或 2FA

2 因素身份驗證或 2FA 是一種行業標準,可為您的站點提供額外的安全層。

2FA 是如何工作的? 啟用它後,每個嘗試登錄其帳戶的用戶都必須經過兩步過程。 第一步是輸入正確的用戶名和密碼。 下一步是輸入一個特殊且唯一的代碼,該代碼僅生成並發送到用戶的手機號碼。

簡而言之,2FA 使黑客很難在您的網站登錄頁面上部署暴力攻擊。 您需要做的就是安裝 2FA 插件,例如 Google Authenticator 或 Duo Two-Factor Authentication。 另一種選擇是使用像 MalCare 這樣的安全插件,它的特性中內置了 2FA 功能。

5. 安裝 SSL 證書

SSL 安全網站

SSL 或 Short Secure Layer 是一種安全層,用於加密在您的託管服務器和用戶瀏覽器之間傳輸的每個數據。 通過這種加密,可以確保黑客無法輕易截取和解密共享信息。 還有一個額外的好處。 這也是提高您的 SEO 排名的好方法,因為搜索引擎偏愛具有 SSL 證書的網站。

您如何為您的網站獲取 SSL 證書? 您可以從您的託管公司獲得一個。 如果這不起作用,請在您的網站上安裝第三方 SSL 插件,例如 Let's Encrypt。

6. 為您的網站設置防火牆保護

防火牆充當傳入流量和 Web 服務器之間的連續防線。 有效的網站防火牆可以阻止數據庫注入、XSS 攻擊和會話劫持等攻擊。

怎麼這麼有效? 很簡單,它會監控向您的 Web 服務器發出的每個傳入請求 - 並阻止來自錯誤或可疑 IP 地址的請求。 無論您使用哪種設備瀏覽互聯網,它都由一個唯一的代碼標識——它的 IP 地址。 任何黑客的設備也是如此。 防火牆會阻止來自具有發起惡意軟件攻擊歷史的 IP 地址的請求。

設置防火牆

你如何設置防火牆? 您可以從不同類型的防火牆中進行選擇,包括基於雲的 Web 應用程序防火牆和網絡級防火牆。 選擇像 MalCare 這樣的安全插件,這些插件還包括可以輕鬆啟用或禁用的防火牆保護。

7. 執行 WP 強化

根據黑客部署的常見黑客機制,WordPress 團隊自己推薦了一套 12 種強化措施來強化任何網站。 這包括禁用文件編輯器工具、更改安全密鑰和阻止插件/主題安裝。

然而,其中一些措施對於非技術用戶來說可能難以獨立實施。 任何無意的錯誤都可能導致您的網站出現故障或崩潰。 MalCare 安全插件具有簡單的分步 WordPress 強化功能,只需單擊幾下即可為您完成此操作。

8.分配用戶權限

對於 WordPress 站點,您可以創建多個用戶,但並非所有用戶都需要擁有最高權限。 這就是為什麼 WP 允許六種不同的用戶角色,即超級管理員、管理員、編輯、作者、貢獻者和作者。

超級管理員擁有“最高”的權利或特權,而作者擁有“最低”的特權。 由於管理員用戶擁有最多的權限,因此黑客經常試圖侵入管理員帳戶——他們可以在其中造成最大的損害。

我們的建議——採用最小權限原則,只有少數受信任的用戶被分配“管理員”權限。 根據他們的工作角色,其餘的可以被賦予其他用戶角色。

9.實施地理封鎖

根據有關網絡攻擊的最新統計數據,大多數成功的黑客都位於少數幾個國家。 就像防火牆可以阻止來自選定 IP 地址的請求一樣,它也可以阻止來自特定國家/地區的所有請求。 這就是所謂的國家封鎖。 通過阻止來自這些國家/地區的傳入流量,位於這些國家/地區的黑客將無法訪問您的網站。 如果您的網站有一個地理目標細分市場,這種方法效果最好。

選擇一個安全工具,讓您查看所有失敗或被阻止的 IP 請求的來源國家/地區,並為您提供對該地區實施國家/地區阻止的選項。

10. 定期備份您的網站和數據庫

儘管您採取了所有安全措施,但現實情況是無法 100% 保證避免攻擊。 網站備份就像針對成功黑客攻擊的保險單。 只有在您的網站崩潰或被黑客入侵後,您才會意識到它的價值。

當您的網站出現故障時,您會怎麼做? 您的首要任務是將您的網站恢復到正常狀態,這只有在您備份了網站和數據庫文件時才有可能。

更新

您如何對網站進行完整備份?

如果可用,請選擇您的託管公司提供的備份服務。 或者,您可以手動執行此操作——儘管這可能會耗費大量時間和精力。 如果您正在尋找一種更簡單、更短的方法,您可以選擇像 BlogVault 或 Backupbuddy 這樣的備份插件,它可以自動執行備份過程並將備份的獨立副本存儲在安全位置。

眾所周知,備份插件的性能優於其他備份工具。 僅僅因為它們為您的最新文件和數據庫表的備份提供了完整的解決方案,從而最大限度地降低了丟失任何內容的風險。 此外,它們還提供簡單的一鍵還原功能,只需單擊幾下即可還原您的網站。

綜上所述

無論您的網站有多大或多小,它始終是聰明黑客的潛在目標。 保護自己免受網絡威脅的唯一方法是為自己配備可以使黑客的工作更加困難的知識和工具。 這十個步驟構成了適用於任何 WordPress 網站的完整且強大的安全策略。 大多數上述措施都可以通過安裝一個結合了這些安全措施的單個安全插件來解決。

我們希望這篇 10 個最佳 WordPress 安全指南的文章對您有所幫助。 繼續實施這些 WordPress 安全指南並提高您網站的安全評分。 如果您對這篇 WordPress 安全指南文章有任何疑問,請在下面的評論部分告訴我。 另外,如果您喜歡這篇文章,請與您的朋友和社交媒體關注者分享。