保护您的 WordPress 网站不是一劳永逸的事情。 无论您多么信任您的安全插件,或者您在网站加固方面做得多么彻底,今天的安全网站都不会成为明天的安全网站。 为了防止黑客入侵,您必须定期进行 WordPress 安全审核并填补您发现的安全漏洞。
网站黑客攻击策略一直在进步,随之而来的是保护网站安全的预防措施。 把它想象成一个循环。 网站越安全,入侵它的黑客就越有创意,这意味着您的网站必须变得更加安全,等等。
旨在至少每三个月进行一次 WordPress 安全审计。 每个月都更好,每周(甚至每天,取决于您的网站的敏感程度)是最好的。 当然,如果您觉得您的网站有问题,请立即进行安全审核。 以下任何一项都应引发危险信号:
- 您的网站突然变得缓慢而缓慢。
- 网站流量无明显原因大幅下降。
- 有新帐户、登录尝试或“忘记密码”请求。
- 您未添加的新链接位于您的网站上。
以下步骤是确保您的网站在安全方面保持最佳状态的必要步骤。 手头有一份检查清单,您将简化审核而不是压倒性的审核。
WordPress 安全审计概述
在某个时候,几乎每个 WordPress 网站都会遇到某种类型的安全问题。 一个常见的是插件或主题受到漏洞的困扰,允许黑客直接进入您的网站。 一旦您的网站被黑,可能会发生许多事情:
- 客户个人资料被盗
- 显示的非法广告和内容
- 交通转向别处
- WordPress 数据被加密、删除或出售
这不仅仅是几个小时的头痛或网站瘫痪。 黑客可以保留您的数据以索取赎金。 您网站上的信息可以在暗网上出售。 Google 可以将您的网站列入黑名单,以便在网页上显示垃圾邮件。 如果客户的信用卡信息被盗,客户可以起诉您。 一旦黑客获得了您的访问权限,其他网站可能会被感染。
WordPress 安全审核会识别这些漏洞,因此您可以在黑客入侵之前立即修补它们。您将确保您当前采取的安全措施仍然有效,并且您还将弄清楚您在哪里需要更多的保护。
评估您正在使用的安全插件
您的 WordPress 安全插件是保护您网站的最重要工具之一。 确保您的安全插件仍以以下方式运行:
- 活动日志:这会跟踪您站点的用户,包括谁登录和何时登录、登录尝试失败以及站点更改。
- 防火墙:这将阻止试图进入您网站的机器人、黑客和 IP 地址。
- 登录尝试:质量安全插件将强制执行强密码,需要两因素身份验证并限制登录尝试。
- 登录保护:这可以阻止暴力攻击,即黑客尝试不同的用户名和密码组合来登录。
- 恶意软件扫描和清理:这应该每天运行,深度扫描您站点的数据库、文件和文件夹中是否存在恶意软件,并清除发现的任何内容。
- 实时警报:如果您的网站出现任何可疑情况,该插件应立即通知您。
还没有安全插件? 考虑将其作为 WordPress 安全审核的初步步骤。 我们汇总了 6 个最好的 WordPress 安全插件 从中选择。
测试您的网站备份解决方案
如果您的网站出现无法修复或过于复杂而无法修复的问题,拥有 WordPress 备份意味着您可以将您的网站恢复到问题发生前的先前状态。 但是,如果您的备份失败,那么您将无法恢复任何内容,这意味着您可能会被受感染或出现故障的站点所困。 理想情况下,您将使用备份解决方案(无论是您的主机提供的还是您使用的插件),它允许您测试备份,例如 博客保险箱. 您可能还想阅读我们的文章 6 个最好的 WordPress 备份插件.
检查您的 WordPress 管理员和 FTP 设置
使用 WordPress,您可以让多人登录以处理各种项目,但这并不意味着每个登录的人都应该拥有对您网站的完全访问权限。 当涉及到你的 FTP客户端,允许多人访问意味着他们可以更改您网站的……嗯,所有内容。
当您在 WordPress 中添加新用户时,您为他们分配了一个角色(您也可以编辑他们的个人资料以更改他们的角色):
不同的角色有不同的能力。 例如,管理员可以访问站点的所有管理工具(如更改主题或安装插件),但贡献者只能编写和管理自己的帖子。 这里有一个全面的细分 不同的角色及其能力.
对于您的 WordPress 安全审核,请执行以下操作:
- 查看哪些 WordPress 用户具有管理员级别的访问权限。
- 确定所有这些用户是否都需要该级别的访问权限(以及其他访问权限受限的用户是否应该是管理员)。
- 通过更新这些个人的用户角色来降低权限并限制访问。
- 如果您无法识别仪表板中的用户,请将其删除 – 他们可能是由黑客创建的帐户。
- 是否有任何用户名只是“admin”? 这是一个非常常见的用户名,黑客经常尝试使用该用户名来访问您的网站。 为该人创建一个新用户帐户并删除旧帐户。
- 删除不需要那么高访问级别的用户的 FTP 帐户。
最后,如果您的网站允许会员,您要确保他们在注册时必须实际创建一个帐户,并且他们的默认角色不允许管理员访问。 前往“设置”>“通用”。 取消选中任何人都可以注册旁边的框。 然后,在新用户默认角色下选择适当的选项。
确保 WordPress 是最新的
您可能会自动运行此程序,但仍然需要仔细检查 WordPress 是否已更新到其最新版本。 更新不仅仅是修补安全漏洞——它们还提高了性能并添加了功能。 转到仪表板 > 更新以查看是否已准备就绪。
清理你的插件和主题
插件可以扩展您网站的功能,但它们也容易受到攻击,特别是如果它们长时间没有更新。 可靠的开发人员将密切关注其插件的漏洞并发布补丁更新。 在您的 WordPress 安全更新期间,前往您的插件列表并执行以下操作:
- 停用并卸载您不再使用或不认识的任何插件。
- 更新任何已准备好更新的剩余插件。
- 如果您使用的插件尚未收到开发人员的更新,请考虑使用另一个具有相同功能的插件 – 过时的插件太容易受到安全问题的影响。
即使您每个月左右进行一次 WordPress 安全审核,也最好定期检查您的插件以 更新它们 如所须。 此外,删除您当前未使用或不希望需要的任何主题。 就像插件一样,主题会带来安全漏洞的风险,因此最好让您的网站尽可能地保持整洁。
保持安全!
您不会停止在业务的其他部分工作——提出新产品或服务、营销它们、销售等。您的网站安全应该没有任何不同。 如果您不及时发现,一个小问题可能很快导致威胁业务的黑客攻击,但如果不知道问题所在,您将不知道要实施哪些修复。
保持您的网站安全是一个持续的过程,拥有一份首选的 WordPress 安全审核清单可以让您省去试图记住每个月要做什么的麻烦。 此外,您可以使用安全插件自动化越多越好。 如果您需要做的大部分事情是仔细检查插件是否仍然正常运行,那么您的 WordPress 安全审核清单可能会小得多。 我们对两个领先的安全插件的评论进行了深入的概述, 苏库里 和 文字围栏.