[ad_1]
您是否知道每天有超过100,000个网站被黑客入侵?没错,网络犯罪对任何公司都是严重的威胁,任何拥有WordPress网站的人也不安全。我遇到了黑客冲突(并且不得不 恢复我的WordPress网站),您可能知道它很丑。
黑客正在积极寻找易受攻击的网站,以破坏和窃取它们可以释放出来的数据,以牟取金钱或纯粹的恶意意图。为了保护自己和您的宝贵站点,您应该认真考虑加强WordPress安全性。
考虑到黑客入侵您的网站会给您带来收入,时间和精力的损失,我们创建了以下安全检查表,您可以使用该清单来保护WordPress网站。即使是初学者,帖子中的所有安全项目也相对易于实现:
- 更新WordPress
- 更新主题和插件
- 使用唯一且安全的密码
- 安装WordPress安全插件
- 选择出色的WordPress托管
- 使用SSL(HTTPS)
- 创建完整站点备份
- 使用Web应用程序防火墙(WAF)
- 在WordPress管理员中禁用文件编辑
- 保护您的登录页面
- 添加身份验证
- 注销不活动的用户
- 扫描恶意软件和问题
- 使用VPN
如您所见,我们会将帖子分为多个部分,涵盖从选择安全主机到加强管理区域及其他方面的所有内容。您将需要重复一些安全任务,例如定期更新主题。其他任务是一次性的事情,但对于确保站点安全仍然具有重大影响。检查您需要修复的内容,并立即进行修复,因为黑客也不会浪费时间。
1.更新WordPress
WordPress核心会定期进行审核并检查是否存在安全漏洞。如果检测到安全漏洞和错误,核心开发人员通常会发布维护更新。次要更新会自动安装在您的WordPress网站上。
但是,您将需要为所有主要版本手动更新WordPress。这是一个相对简单的过程,因为您会在WordPress管理员中收到烦人的消息。只有22%的网站在最新版本的WordPress上运行,考虑到更新的简便性,这令人遗憾。
由于您实际上是在通过不更新网站来使您的网站遭受各种形式的攻击,因此请不要进入剩余的78%。通常,黑客是第一批了解旧版本中任何漏洞的人,因为他们依靠漏洞来发起成功的攻击。
在你之前 更新WordPress 我们建议您阅读发行说明以了解更改内容并备份网站(为了安全起见)。这样,您现在可以在单击该更新按钮时期待什么,并且万一出现任何问题都可以使用故障保护功能。
2.更新主题和插件
在更新WordPress核心时,请不要忘记也更新主题和插件。黑客特别喜欢带有已知安全漏洞的旧主题和插件。
他们利用这些安全漏洞,甚至可能在旧主题或插件中隐藏后门。如果您不进行更新,那么他们可以随时随地入侵您的网站。
为了避免丢失您的自定义样式,我们建议您使用 WordPress子主题 而不是父主题。这样,您就不会在更新主题时丢失自定义设置。
您还应该删除所有无效的主题,插件和未使用的WordPress安装。您不仅可以节省带宽,而且 使您的网站更快,但您也会阻止黑客。
另外请注意,切勿下载“已清空”的高级主题和插件。仅使用可信任的来源,例如WordPress.org,Envato或其他信誉良好的主题店。
3.使用唯一且强壮的密码
当恶意分子窃取您的登录信息时,您会惊讶地发现大多数网站都被黑了,您会感到惊讶。此外,蛮力攻击非常普遍,涉及用数千种用户名和密码组合轰炸您的登录页面,直到出现提示为止。
如果您使用弱用户名和密码(例如臭名昭著的“ admin”或“ 12345”),那么黑客就很容易侵入您的网站。养成创建独特且功能强大的密码(定期更改)的习惯。您甚至可以使用免费的在线生成器,例如来自 最后通行证。
管理许多强密码可能是一个问题。为了提供帮助,我经常依赖密码管理器,例如1Password或LastPass等。不要在多个网站上重复使用相同的密码,并始终确保您的登录信息安全。确保您的WordPress用户也使用强密码。
进行操作时–切记对电子邮件,cPanel,MySQL数据库和FTP帐户也使用强密码。
4.安装WordPress安全插件
每当我创建一个新的WordPress网站时,通常都会自动安装几个事实上的插件。我得到一个 反垃圾邮件插件,联系表格7,Symple简码和 iThemes安全性,我的WordPress安全插件。
该插件使我能够不遗余力地加强WordPress防御。它具有许多功能,可以轻松将坏人拒之门外。配置插件超级简单。您应该立即启动并运行。
最好的WordPress安全插件为您提供了不同的功能,因此,无论安装有多么独特,请务必在安装前进行检查以确保您已获得保护整个网站所需的所有功能。标准功能包括恶意软件扫描,IP阻止,暴力破解防护,两因素身份验证等等,包括许多功能-选中许多框,以获取您正在阅读的此安全检查表!
5.选择出色的WordPress托管
通常,初学者会遇到他们遇到的第一个便宜的主机软件包。我不会对您不利,因为您对此一无所知,但是便宜的(甚至免费的)共享主机可能会给您带来安全风险。我之所以知道这一点,是因为我遭到了两家提供共享托管服务的托管公司的黑客攻击。
共享主机涉及与数千个其他网站共享服务器。这增加了跨站点污染的风险。也就是说,即使他人的网站是原始攻击点,黑客也可以访问您的网站。
另一方面,托管WordPress托管仅针对WordPress网站。您无需与他人共享服务器,并且可以使用更多安全选项来确保安全。他们也提供专门的支持,如果情况最糟,还会提供更多的恢复选项。
如果您必须使用共享托管,请说您是从一个尚不赚钱的博客开始,请确保这些网站是孤立的或“被监禁”的。如果您经营的是企业网站或电子商务网站,则可以使用 最好的WordPress托管 您可以一口气满足预算要求,例如VPS,专用或托管WordPress托管。
6.使用SSL(HTTPS)
如今,很多WordPress托管公司都有充分的理由提供go一词中的免费SSL证书。 SSL证书使您的网站比没有SSL的网站更安全。 Google还建议使用SSL证书来保护您网站上的数据(并确保用户知道您是否使用SSL)。
HTTPS比以前的HTTP安全得多。使用HTTPS的网站会加密在用户浏览器和服务器之间移动的所有数据。如果黑客拦截了通信,他们将只会发现加密数据,该数据与踢屁股比赛中的单腿男子一样有用?
在大多数Web主机上安装SSL证书就像A,B,C一样容易。大多数提供一键式安装程序,使整个过程变得容易。只需登录到cPanel并单击一个按钮即可安装和管理您的SSL证书。如果您想尝试更多操作方法,请考虑退房 让我们加密。
7.创建完整站点备份
当黑客让我退位时,我不得不从头开始重建我的网站,如果我确实记得, 备份WordPress。
但是,不,我的虚拟主机上的备份在攻击过程中被破坏了,不,我没有二级备份解决方案。把所有鸡蛋都放在一个篮子里的经典案例告诉了我一个艰难的教训。
如今,我创建了完整的网站备份,其中包括我的网站文件和数据库。我主要用 管理WP,但我也使用 复制器插件 将备份存储在我的计算机和Google云端硬盘中。
我敦促您定期创建完整备份。许多WordPress备份解决方案使您可以自动化整个过程,从而节省时间并让您省心。
8.使用Web应用程序防火墙(WAF)
要为您的WordPress网站增加额外的安全性,并在晚上睡得更好,请启用Web应用程序防火墙(WAF)。 WAF通过在恶意流量到达您的网站之前就对其进行阻止,从而保护您的网站。这是一种主动措施,可以阻止坏蛋在造成任何损害之前就已死亡。
防火墙过滤您的传入流量,从而消除了黑客,同时让合法用户通过。许多WordPress安全公司提供Web应用程序防火墙以及其他功能。行业中的热门选项包括 苏库里 和 云耀斑。
9.在WordPress管理员中禁用文件编辑
WordPress CMS带有出色的代码编辑器,可让您在WordPress管理仪表盘内编辑插件和主题文件。代码编辑器是一个很好的工具,供您使用,但是如果使用不当,黑客可能会使用它来破坏或添加恶意软件到您的网站上。
您始终可以通过FTP或cPanel中的文件管理器来编辑主题和插件文件(如果需要的话),这意味着您可以完全禁用WordPress中的代码编辑器。您不希望能够访问您的WordPress管理区域的黑客访问代码编辑器,因为它们可能会因几行代码而造成很多损害。
该怎么办?您可以使用免费功能禁用内置代码编辑器 苏库里安全 插入。或者,您可以将以下代码添加到wp-config.php文件中:
//禁止文件编辑
define(’DISALLOW_FILE_EDIT’,true);
我们正在前进。
10.保护您的登录页面
通常,WordPress上的登录表单有两个字段;用户名和密码。随着暴力攻击者和机器人越来越聪明,如何阻止黑客访问WordPress管理区域?这很简单;您添加了验证码或安全问题,这使任何人都更难获得未经授权的访问。
而且,您无需编辑代码即可将CAPTCHA或安全性问题添加到您的登录页面。有一个流行的WordPress插件,称为 WP安全问题 易于配置和使用。如果您想使用CAPTCHA,可以使用 简单登录验证码, 围栏,或WordPress.org免费提供的许多其他选项之一。
同时,您可以将wp-login URL更改为唯一的名称。这样,僵尸程序和黑客将很难尝试猜测登录页面的URL。 wp-login在黑客中已经很流行,因此将URL更改为其他名称是很有意义的。您可以使用诸如 WPS隐藏登录。
11.添加身份验证
另外,考虑实施 两因素和多因素身份验证。如果黑客能够访问您的登录详细信息,则他们将无法登录到您的WordPress网站。有很多可用的选项,但是 Google身份验证器 是一个受欢迎的选择。
除此之外,请限制登录页面上的登录。如果访问者尝试使用一个不存在的帐户登录或尝试多次登录,则很可能是黑客或僵尸程序试图强行闯入。您可以使用诸如 限制登录尝试 要么 登录锁定 使这些侵入性元素远离。
12.注销不活动的用户
当您拥有多用户WordPress网站时,您将无法完全控制用户访问您网站的方式或位置。作者可能决定使用免费的公共Wi-Fi对文章进行最后润饰。网页设计师可能会离开办公桌,从一个小时的午餐休息时间返回。
在这种情况下,您的用户可能会在不知不觉中使您的网站面临安全风险。恶意人员可能会接管他们的会话,编辑其详细信息,并造成严重破坏。如果未经授权的一方知道他们在做什么,他们可以轻松接管用户的帐户并造成损失。
该怎么办?您可以在预定时间后自动注销不活动的用户。最好的部分是?有专门用于此目的的插件。一种流行的选择是 无效注销 插件,其中包含用于自定义注销前的空闲时间,自定义弹出消息或注销后重定向以及根据用户角色超时的选项。
13.扫描恶意软件和问题(定期)
通常被遗忘的是,定期扫描WordPress网站可以帮助您及早发现安全问题。黑客只需一秒钟即可侵入您的网站并进行各种令人讨厌的事情。这就是为什么您应该始终保持领先的原因。
许多WordPress安全性 扫描恶意软件的插件 感染,已知的安全漏洞,过时的脚本,暴力攻击,不存在的备份等。插件会向您发送有关已知问题的详细报告,因此您可以修复它们或雇用专业人员。
网站扫描器很多,例如 Sucuri SiteCheck,可用于快速查看您的网站。您所要做的就是输入URL,这些工具会自动检查您的网站。之后,他们会为您提供有关您需要解决的问题的报告。获得报告后,立即修复所有安全漏洞。
14.使用VPN
如果您运行的网站上载有绝不能让黑客掌握的敏感信息,请考虑使用虚拟专用网(VPN),在使用免费的公共Wi-Fi时更应如此。 VPN可保护您免受公共网络(包括家庭和工作场所)中常见的中间人攻击。
虚拟专用网络可确保即使攻击者获得了对系统的访问权并窃取了您的详细信息,他们也无法对从您那里获取的数据进行任何处理。如果您要与许多人共享互联网,请在访问WordPress管理区域之前始终使用VPN。
其他WordPress安全选项
需要做更多的事吗?我们很乐意随时保护您的网站安全,因此,以下是一些可添加到您的清单中的安全性额外项目:
- 在/ wp-content / wp-uploads /中禁用PHP文件执行
- 更改您的WordPress数据库前缀
- 密码保护服务器端的管理员和登录页面
- 禁用目录索引
- 如果不需要,请禁用WP REST API和XML-RPC
- 请勿编辑/更改WordPress核心-编写或使用可提供所需功能的插件
- 确保您的网站运行最新版本的PHP
- 在计算机上使用防病毒程序
- 启用Google Search Console
- 减少XSS和SQL注入漏洞(您可能需要更多的技术专家来帮助这两个)
确实,您可以采取多种步骤来保护您的网站。但是,如果您能检查出我们列出的14项内容,那将是确保网站安全的重要一步。
保护您的WordPress网站是一项挑战,但并非没有可能。借助适当的工具和技能,您可以快速加强WordPress的安全性,并远离不良行为者。
作为回顾,请始终保持您的网站为最新。最重要的是,切勿从不受信任的站点下载主题或插件。为了安全起见,如果发生最坏的情况,请始终准备好可靠的备份解决方案。
我们希望您找到了保护WordPress网站(从而保护在线业务)所需的所有技巧。如果您有疑问或需要帮助弄清楚如何保护WordPress网站,请在评论中告知我们。注意安全!