完整的WordPress安全指南(初學者友好)

[ad_1]
wordpress-security-guide「srcset =」https://wpjian.com/wp-content/uploads/2019/05/wordpress-security-guide-1.jpg 775w,https://www.isitwp.com/ wp-content / uploads / 2019/03 / wordpress-security-guide-1-300x135.jpg 300w,https://www.isitwp.com/wp-content/uploads/2019/03/wordpress-security-guide-1 -768x347.jpg 768w「sizes =」(最大寬度:775px)100vw,775px「>  															

<p>您在尋找最終的WordPress安全指南嗎?保持您的WordPress網站安全非常重要。您希望採取所有必要的預防措施來保護您的網站免受惡意黑客,垃圾郵件發送者和入侵者的侵害。保護您的網站看起來似乎是一項複雜的任務,尤其對初學者而言,但實際上並非如此。 </p>
<p>在本文中,我們將分享我們的最終WordPress安全指南,以便您可以輕鬆保護您的網站。由於這篇文章很冗長,這裡有一個目錄,可以幫助您瀏覽我們將要執行的步驟: </p>
<h3>目錄:WordPress安全指南</h3>
<ul>
<li><a href=你的WordPress網站有風險嗎?

  • 保護您網站的最簡單方法?使用最好的WordPress安全插件
  • 選擇安全的WordPress主機
  • 使用強密碼和唯一密碼
  • 為WordPress管理員選擇一個強用戶名
  • 關注WordPress插件和主題最佳實踐
  • 保持您的WordPress網站更新
  • 安裝WordPress備份插件
  • 限制登錄嘗試
  • 將安全問題添加到WordPress登錄
  • 自動註銷空閑用戶
  • 禁用您網站上的文件編輯
  • 標誌著你的WordPress網站被黑了
  • 如果您的網站遭到黑客攻擊該怎麼辦
  • 現在,讓我們開始吧。

    你的WordPress網站有風險嗎?

    是 - 你 -  WordPress的站點下的風險

    如果你經營一個小型企業網站或者你想 開始個人WordPress博客,您可能認為您的網站沒有風險。但它是。從巨型電子商務網站到小型個人網站,每個網站都有遭受黑客攻擊的風險。

    您可能還認為,由於WordPress是最受歡迎的構建網站平台,因此您的網站非常安全。但這也不完全正確。雖然WordPress核心軟體非常安全,但您還需要採取其他步驟來進一步保護您的網站。此外,WordPress的絕對受歡迎程度部分是吸引這些網路犯罪分子進入您的網站的原因。

    看看其中的一些 WordPress統計信息 這表明保護您的WordPress網站是多麼重要:

    • 2017年被黑客攻擊的所有基於CMS的網站中有83%運行WordPress,這是有道理的,因為WordPress擁有60%的CMS市場份額。 (WPBeginner)
    • 黑客攻擊大大小小的WordPress網站,每分鐘發生超過90,978次攻擊。 (WPPlugins
    • 四種最常見的WordPress惡意軟體感染是Backdoors,Drive-by下載,Pharma hacks和惡意重定向。 (粉碎雜誌
    • Google每周都會將大約20,000個惡意軟體網站和大約50,000個網路釣魚網站列入黑名單。 (WPBeginner)
    • 在過去30天內,Wordfence在WordPress網站上阻止了3,236,017,356次攻擊。 (Wordfence

    從這些統計數據中可以看出,任何擁有WordPress網站的人都有遭受攻擊的風險,因此加強WordPress網站的安全性非常重要。

    被黑網站可能會花費您大量資金並損害您的業務聲譽。如果您在線銷售產品或從客戶那裡收集在線支付和敏感信息,保護您的網站應該是首要任務。黑客可以竊取客戶的私人信息,密碼,信用卡信息等。

    您不必擔心敏感信息被盜。黑客也經常接管您的網站及其內容以安裝惡意軟體,甚至可以向您的用戶分發惡意軟體。他們甚至可能會要求您支付贖金以重新獲得訪問您自己的網站。

    有些黑客甚至不需要理由來攻擊你的網站,有些黑客只是為了它的「樂趣」而這樣做。

    保護您的WordPress網站不是您想要忽略的。即使您不懂技術,也可以採取一些簡單的步驟來破解您的WordPress網站。所以,讓我們深入探討WordPress安全指南中的第一步。

    保護您網站的最簡單方法?使用最好的WordPress安全插件

    保護WordPress網站的最簡單,最有效的方法是安裝WordPress安全插件。 WordPress安全插件可以保護您的網站免受傷害,讓您放心,知道您的網站是防黑客的,無需您進行任何技術操作。

    最好的WordPress安全插件 應具備以下功能:

    • 掃描 – 一個好的安全插件會定期掃描您的網站,以查找惡意軟體和其他潛在威脅。
    • 防火牆 – 防火牆監控您網站的所有流量,並防止試圖訪問您網站伺服器的易受攻擊的機器人。
    • 刪除和修復 – 您的安全插件應該保證在您受到攻擊的情況下刪除您網站上的惡意軟體和修復程序。

    由於有很多WordPress安全插件可供使用,因此很難確定哪些可以為您的網站提供最大程度的保護。因此,為了幫助您為WordPress網站選擇最好的安全插件,這裡有一些我們選擇最好的WordPress安全插件。

    1.蘇庫里

    sucuri  -  WordPress的安全,插件
    Sucuri是我們最好的WordPress安全插件的首選。我們在自己的網站上使用它,我們喜歡它。 Sucuri是一個完整的,基於雲的網站安全解決方案,可以保護您的網站免受惡意軟體,暴力攻擊和任何其他潛在威脅的侵害。

    當您使用Sucuri時,您的所有網站流量都會通過其CloudProxy伺服器,並且會掃描每個請求以過濾掉惡意請求。這不僅可以保護您的網站,還可以減少伺服器負載 提高您網站的性能 和速度。

    Sucuri還報告了WordPress核心團隊和第三方插件的潛在安全威脅,擁有一個防病毒軟體包,每隔4小時監控您的網站是否存在威脅,跟蹤您網站上發生的一切,等等。

    立即開始使用Sucuri。

    2. SiteLock

    sitelock  -  WordPress的安全,插件
    SiteLock是另一個驚人的WordPress安全插件。它具有保護您網站所需的所有功能,包括惡意軟體掃描,託管Web應用防火牆,DDoS預防等。

    他們的基於雲的技術可在幾分鐘內部署並保護您的網站,因此可以超級快速地查找,修復和預防漏洞。每天SiteLock會掃描你的 WordPress主題,插件和文件,查找可能導致您的網站被列入黑名單的潛在漏洞。

    此外,當SiteLock發現並自動修復任何漏洞時,它們會為您提供易於理解的報告,以便您可以了解有關安全性的更多信息。

    立即開始使用SiteLock。

    3.語法

    wordfence  -  WordPress的安全,插件
    Wordfence是另一個強大的WordPress安全插件,提供保護您網站所需的一切。

    Wordfence提供免費插件,其中包括Web應用程序防火牆,惡意軟體掃描程序以及防止暴力攻擊等重要功能。如果您剛剛開始並且需要具有成本效益的保護解決方案,這是完美的。

    使用Wordfence Premium,您可以訪問更強大的功能,如實時IP黑名單,實時防火牆規則和惡意軟體簽名更新,雙因素身份驗證,國家/地區阻止等。

    Wordfence唯一的缺點是它運行在你自己的伺服器上,而不是像其他安全插件那樣基於雲。

    立即開始使用Wordfence。

    現在您已經為WordPress安全插件提供了一些很好的選擇,可以保護您的網站並讓您放鬆心情,讓我們看看您可以輕鬆提高WordPress網站安全性的其他方法。

    選擇安全的WordPress主機

    選擇安全的WordPress主機是確保網站安全的另一個重要步驟。一個好的共享託管解決方案將始終採取必要措施來保護其伺服器免受威脅。共享託管服務提供商 BlueHost的Siteground 他們總是在監視他們的網路是否存在可疑活動,因此您不必擔心這一點。

    像這樣的託管服務提供商還將保持其伺服器軟體和硬體的最新狀態,擁有防止DDoS攻擊的工具,並制定計劃以在事件發生時保護您的數據。

    WordPress託管應該附帶的另一個關鍵安全功能是SSL證書。 SSL證書有助於保護您的網站與訪問者之間的連接,有助於保護個人信息,電子商務交易和其他敏感數據的安全。

    我們建議使用 BlueHost的 用於託管您的WordPress網站。

    BlueHost的 -  WordPress的託管

    Bluehost不僅是您WordPress網站最安全的託管解決方案之一,而且它們也為IsItWP讀者提供了很多幫助。

    當您使用Bluehost註冊時,您將獲得一個免費域名, 免費的SSL證書 保護您的網站,超過60%的網路託管。因此,您可以啟動您的網站,確保它的安全性僅為每月2.75美元。

    立即開始使用Bluehost。

    另一方面,如果您想要一個更安全的託管服務提供商,您還可以選擇託管的WordPress託管服務。像Bluehost這樣的共享託管解決方案的唯一缺點是您必須與所有其他客戶共享伺服器資源。這意味著黑客可能會使用鄰近網站攻擊您自己的網站。

    使用託管的WordPress託管服務 WPEngine,這就像為您的WordPress網站獲得安全禮賓服務。託管WordPress託管服務提供商為您完成所有工作。它們提供自動WordPress更新,自動備份和更高級的安全措施,使其成為您網站的更安全平台。

    使用強密碼和唯一密碼

    另一種更好地保護您網站的簡單方法是使用強大而獨特的密碼。由於密碼較弱,8%的WordPress安全漏洞發生。選擇一個強大而安全的密碼是一項簡單的更改,可以保護您的網站免受入侵者的侵害。

    所以,如果你有一個像「ilovesdogs」或甚至可怕的「12345678」的密碼,現在就改變它。請查看以下有關如何選擇安全密碼的提示:

    • 讓它更長 – 一個代碼破解程序只需要15分鐘來計算一個8個字元的密碼。密碼至少10個字元。
    • 使其獨特 – 不要選擇常用短語或直接從字典中選擇的單詞,使您的密碼唯一。
    • 混合它 – 添加特殊字元,數字以及大寫和小寫字母的混合。
    • 不要使用個人詳細信息 – 避免在密碼中使用個人詳細信息,如出生日期,社會安全號碼或地址。

    不想嘗試自己設置安全密碼?嘗試IsItWp的 免費強密碼生成器工具

    isitwp密碼發生器工具

    使用我們的密碼生成器工具,您可以立即獲得一個高度安全的密碼,您的WordPress管理員無法讓黑客知道。您可以決定密碼的使用時間,是否要包含大寫字母,數字或特殊字元,以及是否需要更容易記住的密碼。

    只需單擊藍色圓圈即可生成強密碼。如果您不喜歡生成的密碼,請再次單擊以立即獲取另一個強密碼。

    使用此工具,您可以輕鬆地為您的WordPress管理員提供一個密碼,該密碼可以讓黑客花費超過一生的時間來搞清楚。

    不要忘記,一旦您的WordPress管理員獲得了安全密​​碼,請不要將該密碼用於任何其他帳戶。

    為WordPress管理員選擇一個強用戶名

    雖然我們的主題是創建一個強密碼,但您也應該為WordPress管理員選擇一個強大的用戶名。強大的用戶名與選擇強密碼同樣重要。當然,如果黑客試圖侵入您的網站,他們需要找出您的密碼和用戶名。

    WordPress用戶選擇的常用用戶名是「admin」或他們的名字。如果您有一個簡單的用戶名,那麼黑客就可以更容易地進入您的網站。因此,您需要創建一個更強大的用戶名。

    選擇與您網站內容無關的用戶名,不包含個人信息或詳細信息,並使其成為您獨有的內容,並且其他人難以猜測。

    您還可以隱藏您的用戶名,使其不會顯示在您的網站上,以便黑客無法看到它。在WordPress儀錶板中,轉到「用戶」,然後轉到「您的個人資料」。轉到公開顯示名稱欄位,然後選擇顯示昵稱而不是用戶名的選項。

    捉迷藏WordPress的戶名

    重要提示:不要讓您的用戶名太模糊。它必須是您可以輕鬆記住的內容,因為如果您忘記了密碼,則需要使用用戶名來檢索密碼。

    關注WordPress插件和主題最佳實踐

    使用WordPress的一個好處是可以訪問數以千計的免費插件和 免費的WordPress主題。但其中一些插件和主題實際上可能會威脅到您網站的安全性。事實上,幾乎50%的WordPress網站都受到過時或編碼不良的WordPress插件或主題導致的安全漏洞的影響。

    因此,您需要注意選擇在WordPress網站上下載和安裝的主題和插件。

    通常,選擇安全的WordPress插件和主題的最佳方法是從WordPress官方插件目錄中選擇最流行的插件。數字安全。如果很多人使用插件或主題並且它有很多很棒的評論,那麼它很可能是一個很棒的插件,無法讓你了解任何漏洞。

    流行,WordPress的,插件

    如果插件或主題很少更新,有很多不良的客戶評論,或者缺乏支持,那麼它可能不是您想要在您的網站上使用的插件或主題。

    要輕鬆找到上次更新插件的時間,只需轉到WordPress官方目錄中的插件頁面即可。在頁面的右上角,您可以看到插件上次更新的時間。

    插件,最後更新

    如果沒有先進行研究,請不要下載任何插件。確保您選擇的插件和主題是可信且安全的。

    保持您的WordPress網站更新

    此WordPress安全指南的下一步是保持WordPress網站的更新。保持WordPress網站的更新對於保護自己免受漏洞攻擊至關重要。事實上,39%被黑客入侵的WordPress網站使用的是該軟體的過時版本。這些插件和WordPress獲得定期更新的原因通常是添加安全性改進和錯誤修復,因此您需要保持最新狀態。

    由於WordPress是一個開源軟體,它會定期維護和更新。雖然WordPress會自動安裝次要更新,但對於主要更新,您需要手動啟動更新。

    您還需要保持已安裝的所有插件以及WordPress的更新。

    幸運的是,WordPress可以讓您輕鬆更新網站,插件和主題。在WordPress儀錶板中,您將看到「更新」部分。每當您的第三方插件之一需要更新時,您都會收到通知。只需單擊「更新」,您就會看到需要更新哪些插件。您可以選擇每個插件,然後單擊「更新插件」按鈕立即更新。

    WordPress的 - 更新 -  WordPress的安全引導

    在此區域中,您還可以確保已安裝所有最新的WordPress更新。

    安裝WordPress備份插件

    如果您的網站感染了病毒或惡意軟體,或者您的網站遭到黑客攻擊,那麼備份您的網站非常重要。理想情況下,您需要完整備份整個網站,包括資料庫和所有WordPress文件。這似乎是一個耗時且棘手的項目,但幸運的是,有很多 令人敬畏的WordPress備份插件 這將為你完成所有的工作。

    以下是我們為保護和備份您的WordPress網站提供最佳備份插件的一些選擇:

    1. UpdraftPlus

    updraftplus-備份插件

    UpdraftPlus有超過100萬個有效安裝,是最受歡迎的備份插件之一。 UpdraftPlus提供免費和付費版本的插件,您可以輕鬆設置所有網站文件的完整,手動或預定備份。這包括您的資料庫,插件和主題。

    您可以直接將雲備份到Dropbox,Google雲端硬碟,Amazon S3等。此外,您只需單擊一下即可恢復文件 – 無需成為計算機專家。

    2. BackupBuddy

    backupbuddy-備份插件

    自2010年以來,BackupBuddy一直在保護50萬個網站,因此它是備份插件中另一個受歡迎的選擇。只需點擊幾下,BackupBuddy就可以直接從WordPress儀錶板備份整個WordPress網站。

    備份網站頁面,帖子,主題,插件,媒體庫上傳等後,BackupBuddy將為您提供整個WordPress網站的可下載zip文件。所以,如果你被黑客攻擊,你的所有辛勤工作都將得到拯救。

    立即開始使用BackupBuddy。

    3. Jetpack的VaultPress

    vaultpress-備份插件

    Jetpack的VaultPress,來自Automattic(後面的團隊 WordPress.com),是最強大的備份和安全插件之一。

    通過此插件,您可以輕鬆地通過所有WordPress內容的每日和實時同步來保持整個站點的最新備份。恢復備份也很簡單,您只需單擊1按鈕,VaultPress將在幾分鐘內恢復任何備份。此外,此插件不僅可以備份您的WordPress網站,還可以對您的網站進行日常掃描,以查找可能存在危險的文件或可疑更改。

    Jetpack今天開始使用VaultPress。

    限制登錄嘗試

    通過限制登錄嘗試來防止黑客進入您的WordPress網站。默認情況下,WordPress允許用戶嘗試根據需要多次登錄。如果您想阻止黑客試圖找出您的密碼並進入您的網站,這並不理想。因此,限制登錄嘗試以防止暴力密碼發現。

    如果您正在使用帶有Web應用防火牆的安全插件,如上所述,您的安全插件將為您提供此功能。但如果沒有,你會想要下載像這樣的插件 登錄LockDown

    登錄 - 鎖定 -  WordPress的安全引導

    Login LockDown記錄每次失敗的登錄嘗試的IP地址和時間戳。如果在相同IP範圍內的短時間內檢測到超過一定數量的嘗試,則對來自該IP範圍的所有請求禁用登錄功能。

    在插件的設置中,您可以選擇最大登錄重試次數,重試時間段限制,鎖定長度等。

    將安全問題添加到WordPress登錄

    另一種加強WordPress登錄安全性的方法是添加安全問題。安全問題就像是WordPress登錄的額外密碼,使入侵者更難以訪問您的網站。

    您可以使用類似的插件向WordPress登錄添加安全問題 WP安全問題。使用此插件,您可以設置您選擇的WordPress登錄,忘記密碼屏幕和註冊的安全問題。

    保護網站上的其他表格也很重要。例如,如果您想為您的網站創建聯繫表單,訪客帖子提交表單,訂單表格等,您需要確保這些表單也是安全的。黑客可以使用您的表單來暴露漏洞並訪問您的網站,因此使用安全表單非常重要。

    使用安全表單構建器時,如 WPForms,您的表單已經是安全的,但您也可以為表單添加額外的安全層。

    使用WPForms,您可以自定義表單欄位輸入。這樣黑客就無法輸入隨機字母和數字來嘗試訪問您的網站,他們只能輸入您想要輸入的數據。

    您還可以在表單上啟用reCAPTCHA。這會強制所有網站訪問者在您的網站上提交表單,然後在提交之前單擊「我不是機器人」複選框。此功能將有助於打擊垃圾郵件,它還可以防止您的網站的評論和論壇被闖入並發布大量垃圾評論。

    驗證碼形式的安全性

    WPForms還提供了一個自定義CAPTCHA插件,允許您在表單上自定義問題和答案作為CAPTCHA。

    立即開始使用WPForms。

    自動註銷空閑用戶

    您是否知道當用戶將屏幕無人看管(例如讓您的網站打開並遠離計算機)時,您的網站實際上存在安全風險?當用戶離開他們的屏幕時,入侵者可以接管他們的會話,更改他們的密碼或更改其他敏感帳戶信息。為防止這種情況發生,請安裝一個插件 無效註銷

    非活動 - 註銷 - 終極 -  WordPress的安全引導

    安裝並激活插件後,您可以前往「設置」以配置插件設置。在這裡,您可以決定用戶在註銷之前允許閑置的時間長度,並且您可以選擇他們在註銷時會看到的消息。

    禁用您網站上的文件編輯

    如果入侵者碰巧訪問您的網站,他們可以輕鬆編輯WordPress管理界面內的插件和主題的PHP文件。由於存在安全風險,我們建議您關閉此功能。

    如果您已下載安全插件 Sucuri 我們之前建議您使用其強化功能輕鬆完成此操作。

    或者,您可以通過向網站添加一小段代碼來關閉此功能。在wp-config.php文件中添加以下代碼:

    //禁止文件編輯
    define('DISALLOW_FILE_EDIT',true);

    點擊此處獲取詳細說明 如何在WordPress中編輯wp-config.phph文件

    標誌著你的WordPress網站被黑了

    如果您是WordPress的新手並且正在構建網站,您可能想知道如何告訴您的WordPress網站已被黑客入侵。重要的是要認識到您的網站已儘快被黑客入侵。因為黑客在沒有注意到的情況下訪問您網站的時間越長,他們可以做的損害就越大。

    所以,請注意並查看您的WordPress網站被黑客攻擊的標誌列表:

    • 無法登錄WordPress管理員 – 如果您無法登錄WordPress管理員,並且您知道這不是因為您忘記了密碼,則表明入侵者已獲得訪問您網站的許可權並更改了您的登錄詳細信息。
    • 網站緩慢或反應遲鈍 – 如果您的網站載入時間比平時要長或沒有響應,那麼您的網站很可能被黑客入侵。當黑客向您的網站添加一段代碼或稱為拒絕服務的攻擊時,就會發生這種情況。
    • 污損主頁 – 如果您的網站主頁外觀發生變化或顯示來自黑客的消息,則表明您已被黑客入侵。
    • 交通突然下降 – 黑客可以將流量從您的網站重定向,所以如果您看到網站流量突然大幅下降,您可能已被黑客入侵。
    • 不需要的彈出窗口或廣告 – 如果您在網站上看到不想要的彈出窗口或廣告,那麼您就會被試圖將您的網站流量發送到垃圾網站或非法網站的入侵者攻擊。
    • 可疑用戶帳戶 – 在WordPress中查看可疑用戶帳戶是您遭到黑客攻擊的另一個跡象。如果您的網站具有開放註冊且沒有垃圾郵件保護,則可以創建許多垃圾郵件帳戶,這不是什麼大問題。但是,如果您沒有開放註冊,並且發現具有管理員許可權的可疑用戶帳戶,則表明您已被黑客入侵。
    • 伺服器日誌中的異常活動 – 伺服器日誌是簡單的文本文件,用於記錄您網站上發生的各種活動。您可以在統計信息下的WordPress儀錶板中查看這些日誌。如果您在日誌中發現異常活動,可能是因為您遭到黑客入侵。

    如果您沒有安全插件可以為您留意可疑活動,那麼在尋找被黑客入侵的跡象時,您需要保持警惕。越早捕獲入侵者,您就可以越早恢復安全。

    或者,您可以使用我們的 免費WordPress網站安全掃描儀 檢查您的網站是否存在任何已知的惡意軟體或網站錯誤。

    isitwp-網站安全掃描儀

    使用由Sucuri提供支持的免費工具,您只需輸入您網站的URL,該工具即可立即掃描您的網站是否存在任何潛在漏洞。掃描完成後,您將獲得有關您網站健康和安全的完整報告。

    如果您的網站遭到黑客攻擊該怎麼辦

    如果您在WordPress網站上看到上述任何跡象,您可能會開始恐慌。如果您的網站之前從未被黑客攻擊,那麼很難知道您應該採取的下一步措施是什麼。但不要擔心,你可以恢復你的網站。

    修復被黑網站的第一步是確定問題區域。使用上一節中的條件來確定黑客的來源。例如,您是否無法登錄WordPress管理員?或者您的網站是否將用戶重定向到其他網站?您需要知道問題是什麼才能解決問題。

    接下來,聯繫您的託管公司。大多數託管公司都有處理此類情況的經驗,因此他們應該能夠幫助指導您解決問題。他們甚至可以為您提供有關黑客如何獲取對您網站的訪問許可權的額外信息,以便您可以防止它在將來再次發生。您的託管公司也應該能夠完全幫助解決問題,但如果沒有,您還可以轉向其他地方。

    現在,如果您的託管公司可以修復您的黑客網站,這並不意味著您一個人。您可以轉向提供修復被黑網站的服務 Sucuri,我們之前提到的插件。 Sucuri不僅可以保護您的網站免受潛在攻擊,而且如果您的網站被黑客攻擊,他們也可以修復它。

    您可以根據您希望響應時間的快速選擇定價計劃,禁食保證響應時間為4小時。修復網站後,您將收到完整的報告。

    我們希望這個最終的WordPress安全指南幫助您學習如何保護您的網站免受所有類型的攻擊者和入侵者的侵害。 WordPress的安全性並不難,只需實施這些提示,您的網站就是安全的。如果您喜歡這篇文章,請查看我們的其他帖子 如何正確升級WordPress

    相關文章