作为网站所有者,必须优先考虑 WordPress 网站的安全性。网络攻击和黑客攻击可能会破坏敏感信息、破坏您网站的功能并损害您的在线声誉。为了保护您的网站和业务,实施强大的安全措施至关重要。
WordPress 安全对所有网站所有者来说都是一个关键问题。每天,Google 都会将大约 10,000 多个恶意软件网站和大约 50,000 个网络钓鱼网站列入黑名单。如果您认真对待自己的网站,则必须遵循 WordPress 安全最佳实践。我们将在这篇文章中提供所有顶级 WordPress 安全技术,以帮助您保护您的网站免受黑客和恶意软件的侵害。
保护您的网站免受网络攻击的 22 种方法
在本文中,我们将研究保护 WordPress 网站的 22 种不同方法。通过遵循这些准则,您可以显着提高 WordPress 网站的安全性。我们将涵盖以下主题:
- 使用最新版本的 WordPress 主题和插件,以及 PHP。
- 更新 WordPress 安全密钥。
- 创建可靠的用户名和密码。
- 为 WordPress 用户添加安全问题。
- 安装安全插件。
- 禁用 JSON Rest API
- 限制管理面板的索引
- 防止多次失败的登录尝试
- 禁用未使用的插件和主题
- 创建定期备份
- 启用自动更新。
- 禁用 XML-RPC
- 更新文件权限
- 禁用评论和热链接
- 禁用 PHP 错误报告
- 禁用外部 URL 请求
- 为您的网站实施 SSL,
- 禁用 PHP 文件执行
- 禁用目录列表
- 寻找安全的 WordPress 托管服务提供商。
- 禁止访问 wp-config.php。
- 禁用文件编辑
1. 使用最新版本的 WordPress 主题、插件和 PHP
使用最新版本的 PHP、WordPress 主题和插件是提高 WordPress 网站安全性的最佳方法之一。可以通过更新到最新版本来修复早期版本中发现的安全漏洞或问题。
登录您的 WordPress 仪表板并访问“更新”区域以更新您的主题和插件。您将看到您的主题和插件的可用更新列表。要开始更新过程,请单击“更新主题”或“更新插件”按钮。
更新您网站使用的 PHP 版本稍微复杂一些,因为它需要访问您网站的托管帐户。请咨询您的托管服务提供商或参阅他们的文档以获取有关如何为您的网站更新 PHP 版本的说明。
2. 应该更新 WordPress 安全密钥
这些密钥是一组随机变量,用于提高网站数据的安全性。它们通过对您网站 cookie 中的信息进行加密来帮助防止黑客获取对重要信息的访问权限。
要更新您的 WordPress 安全密钥,请进入您的 WordPress 仪表板并转到“常规设置”页面。向下滚动到“安全密钥”部分,然后单击“生成密钥”按钮。WordPress 将生成一组新的安全密钥并自动更新您网站上的 wp-config.php 文件。
3. 强大的用户名和密码
保护您的 WordPress 网站的另一个重要方面是创建强大的用户名和密码。强大的用户名是独一无二的,黑客很难猜到。强密码较长且复杂,包含大小写字母、数字和特殊字符。
经常更改密码以避免非法访问也很重要。在您的 WordPress 仪表板中,移至“用户”区域以更改您的密码。单击“您的个人资料”选项后,向下滚动到“帐户管理”部分。然后您可以输入新密码并保存更改。
4. 向 WordPress 用户添加安全问题
为了增加安全性,您可以为您的WordPress 用户设置安全问题。这要求用户在重置密码或登录您的网站之前回答预先确定的问题。
要为您的用户设置安全问题,请在您的 WordPress 仪表板中移至“用户”部分。单击“您的个人资料”选项卡并向下滚动到“安全问题”部分。从那里,您可以选择安全问题并输入答案。完成此过程后,请务必保存更改。
5. WordPress 安全插件
有许多可用的安全插件可以帮助保护您的 WordPress 网站免受网络攻击。一些流行的选项包括 Sucuri、WPFail2ban 和 SecuPress。
要安装安全插件,请在您的 WordPress 仪表板中移至“插件”部分。单击“添加新”按钮并搜索要安装的插件。找到插件后,单击“立即安装”按钮,然后单击“激活”按钮。
安装安全插件后,根据您的特定需求对其进行配置很重要。请查阅插件的文档或寻求插件支持团队的帮助,以获取有关如何设置和自定义插件的指导。
6. 禁用 JSON Rest API
JSON Rest API 是一项允许 WordPress 网站与其他网站和应用程序通信的功能。虽然此功能很有用,但如果配置不当,也会带来安全风险。为了更好地增强网站的安全性,您可能需要考虑禁用 JSON Rest API。
要禁用 JSON Rest API,请在您的 WordPress 仪表板中移至“设置”部分。从那里,单击“常规设置”选项卡并向下滚动到“站点地址 (URL)”部分。取消选中“WordPress 地址(URL)”字段旁边的框,然后单击“保存更改”按钮。
7. 限制管理面板的索引并防止多次登录尝试失败
为了提高 WordPress 网站的安全性,限制管理面板的索引很重要。这可以防止搜索引擎将您网站的登录页面编入索引,从而降低黑客发现它的可能性。要限制管理面板的索引,请将以下代码行添加到您网站的 robots.txt 文件中:
不允许:/wp-admin/
防止多次登录尝试失败也很重要,因为这可能是黑客企图的迹象。为防止多次登录尝试失败,您可以安装 WPFail2ban 等插件,它会阻止在特定时间范围内具有一定次数登录尝试失败的 IP 地址。
8.禁用未使用的插件和主题
为了提高 WordPress 网站的安全性,禁用任何未使用的插件和主题很重要。这些未使用的项目可能存在可被黑客利用的安全漏洞。
要禁用未使用的插件或主题,请在您的 WordPress 仪表板中移至“插件”或“主题”部分。从那里,您可以停用或删除未使用的项目。
9. WordPress 备份
为您的 WordPress 网站创建定期备份是维护其安全性的一个重要方面。如果发生网络攻击或其他灾难,备份可以帮助您快速将网站恢复到以前的安全状态。
有多种方法可以创建 WordPress 网站的备份。一种选择是使用像 UpdraftPlus 这样的插件,它允许您安排自动备份并远程存储它们(例如,在像 Google Drive 或 Dropbox 这样的云存储服务上)。
要使用 UpdraftPlus 创建备份,请在您的 WordPress 仪表板中移至“插件”部分。单击“添加新”按钮并搜索 UpdraftPlus。找到插件后,单击“立即安装”按钮,然后单击“激活”按钮。
激活插件后,导航到“设置”部分并单击“UpdraftPlus 备份”选项卡。从那里,您可以设置备份计划并选择您喜欢的存储位置。定期为您的网站创建备份非常重要,以确保您在紧急情况下拥有安全的备份。
10.启用自动更新
为您的 WordPress 网站启用自动更新是提高其安全性的另一种简单而有效的方法。通过打开自动更新,您的网站将在新更新可用时自动安装。这有助于确保您的网站始终使用最新、最安全的 WordPress、主题和插件版本。
要启用自动更新,请登录您的 WordPress 仪表板并导航至“设置”部分。从那里,单击“常规设置”选项卡并向下滚动到“软件更新”部分。选中“自动更新 WordPress、主题和插件”选项旁边的框,然后单击“保存更改”按钮。
11. 禁用 XML-RPC
XML-RPC 是一项允许 WordPress 网站使用 XML-RPC 协议与其他应用程序通信的功能。虽然此功能很有用,但如果配置不当,也会带来安全风险。为了更好地增强网站的安全性,您可能需要考虑禁用 XML-RPC。
要禁用 XML-RPC,请登录您的 WordPress 仪表板并导航至“设置”部分。从那里,单击“常规设置”选项卡并向下滚动到“XML-RPC”部分。取消选中“启用 XML-RPC”选项旁边的框,然后单击“保存更改”按钮。
12.更新文件权限
这些是确定哪些用户可以访问和修改您网站上的特定文件的一组规则。确保正确设置文件权限以提高网站的安全性非常重要。
要更新您的文件权限,您需要访问您网站的托管帐户。从那里,您可以导航到文件管理器并选择要修改的文件。在“权限”选项卡中,您可以调整每个文件的权限。请咨询您的托管服务提供商或参阅他们的文档以获取有关如何更新文件权限的指导。
13.禁用评论和盗链
禁用评论和热链接有助于提高 WordPress 网站的安全性。禁用评论可防止用户在您的网站上留下评论,从而降低发布垃圾邮件或恶意评论的风险。盗链是在未经他人许可的情况下在您的网站上使用他人图片的做法。通过禁用热链接,您可以防止其他网站使用您的图片并可能减慢您网站的加载时间。
要禁用评论和热链接,请登录您的 WordPress 仪表板并导航至“设置”部分。从那里,单击“讨论”选项卡并向下滚动到“其他评论设置”部分。取消选中“允许人们对新文章发表评论”选项旁边的框,然后单击“保存更改”按钮。
要禁用热链接,您需要在网站的 .htaccess 文件中添加几行代码。请咨询您的托管服务提供商或参考他们的文档以获取有关如何执行此操作的指导。
14. 禁用 PHP 错误报告
PHP 错误报告是一种功能,可在出现问题时在您的网站上显示错误和警告。虽然这对于调试目的很有用,但它也可能会带来安全风险,因为它可能会泄露有关您网站的敏感信息。为了更好地增强网站的安全性,您可能需要考虑禁用 PHP 错误报告。
要禁用 PHP 错误报告,您需要编辑网站的 wp-config.php 文件。在文件中插入以下代码:
错误报告(0);
这将禁用您网站上的 PHP 错误报告。
15. 禁用外部 URL 请求
外部 URL 请求是您的网站向外部网站或服务器发出的请求。虽然这些请求很有用,但如果配置不当,它们也会带来安全风险。为了更好地增强网站的安全性,您可能需要考虑禁用外部 URL 请求。
要禁用外部 URL 请求,您需要编辑网站的 wp-config.php 文件。在文件中插入以下代码:
定义(’WP_HTTP_BLOCK_EXTERNAL’,真);
这将阻止您网站上的外部 URL 请求。
16. 为 WordPress 网站实施 SSL
为您的 WordPress 网站实施 SSL(安全套接字层)是维护其安全性的另一个重要方面。SSL 是一种安全协议,可对您的网站与用户浏览器之间传输的数据进行加密,有助于防止黑客拦截敏感信息。
要为您的网站实施 SSL,您需要购买 SSL 证书,最好是从信誉良好的提供商处购买。请咨询您的托管服务提供商或参考他们的文档以获取有关如何为您的网站安装和配置 SSL 证书的指导。
17. 禁用 PHP 文件执行
PHP 文件执行是在您的网站上执行 PHP 代码的过程。虽然这是网站正常运行所必需的,但如果配置不当,也会带来安全风险。为了更好地提高网站的安全性,您可能需要考虑在某些目录中禁用 PHP 文件执行。
要禁用 PHP 文件执行,您需要将 .htaccess 文件添加到要禁用 PHP 执行的目录中。将以下代码插入文件: 到 .htaccess 文件:
php_flag 引擎关闭
这将禁用指定目录中的 PHP 文件执行。
18.禁用目录列表
目录列表是一项允许您网站的访问者查看目录内容的功能。虽然这可能很方便,但如果配置不正确,它也会带来安全问题。您可以选择禁用目录列表以提高网站的安全性。
要阻止目录列表,请将 .htaccess 文件添加到您希望禁用目录列表的文件夹中。将以下代码插入到 .htaccess 文件中:
19. 期权-指数
这将禁用指定目录中的目录列表。
20. 安全的 WordPress 托管
寻找安全的 WordPress 托管服务提供商是维护网站安全的另一个重要方面。安全的托管服务提供商将采取措施防止网络攻击并保护您网站的信息。
选择托管服务提供商时,一定要研究他们的安全措施,并询问他们在防止网络攻击方面的记录。一些托管服务提供商提供额外的安全功能,例如 SSL 证书、防火墙保护和恶意软件扫描。
21. 禁止访问 wp-config.php
wp-config.php 是一个包含有关您的 WordPress 网站的敏感信息的文件,例如您的数据库凭据和安全密钥。防止未经授权访问此文件以提高您网站的安全性非常重要。
要防止访问 wp-config.php,请将一个 .htaccess 文件放在您网站的根目录中。将以下代码插入 .htaccess 文件: files wp-config.php> Allow, Deny, and Deny from all /files>
这将禁止任何人访问 wp-config.php 文件。
22.禁用文件编辑
WordPress 有一个代码编辑器,允许您直接从 WordPress 管理区域编辑主题和插件文件。此功能在坏人手中可能会成为安全问题,这就是我们建议关闭它的原因。
结论
通过遵循本文中概述的准则,您可以显着提高 WordPress 网站的安全性。从使用最新版本的 WordPress 主题、插件和 PHP,到禁用外部 URL 请求和实施 SSL,您可以采取许多步骤来保护您的网站免受网络攻击。
定期更新您的安全措施并创建备份也有助于确保您的网站保持安全。通过优先考虑 WordPress 网站的安全性,您可以保护您的业务和在线声誉。