每個月甚至一周,您可能會聽到在WordPress上檢測到並正在修復的安全漏洞。此外,在補丁發布期間,有很多關於WordPress網站被黑客攻擊並丟失數據的報告。
由於WordPress用戶沒有採取必要措施來保護他們的網站,因此無數個WordPress網站遭到黑客攻擊的原因顯而易見。在本教程中,我將撰寫有關如何保護WordPress網站的詳盡指南。所以,讓我們直接進入並學習如何保護WordPress網站。
A部分:基本的WordPress安全措施
1-更新WordPress版本
每個人都應該遵循WordPress安全的基礎知識。最明顯的安全措施之一是將您的WordPress網站更新為最新版本。
每當有新的更新時,您都會在WordPress管理面板上看到一條消息,要求您更新到最新的可用版本。 WordPress更新過程非常簡單。
保持WordPress網站的更新可確保您免受WordPress核心中報告的漏洞的影響。
2-更新WordPress插件
如果您使用的是WordPress,那麼您肯定會在您的網站上使用大量的WordPress插件。保持插件更新是絕對必要的,因為插件會將代碼注入到您的WordPress文件中,任何受到侵害的插件都可能導致您的網站被黑客入侵。
要更新WordPress插件,請登錄您的WordPress管理>儀錶板>更新。在此頁面上,您將看到您網站的所有可用更新。
還需要檢查插件與當前版本的WordPress站點的兼容性。
3-更新WordPress主題
WordPress主題是您網站前端的原因。無論您選擇使用免費的WordPress主題還是高級主題,都應該檢查其更新並儘快應用它們。
4-設置安全密碼和用戶名
如果您有一個易於猜測的密碼或用戶名,那麼這可能是您WordPress網站上的頂級安全漏洞之一。
值得慶幸的是,WordPress自己生成安全和複雜的密碼,我建議你使用它們。
至於用戶名,只需保留管理員或您的真實姓名。就像密碼一樣,您可以設置複雜的用戶名。
5-減少管理員用戶數
讓很多用戶擁有管理員許可權只意味著你為黑客提供了很多選項來猜測密碼並侵入你的WordPress網站。
建議將單個用戶保留為管理員許可權,並將其他用戶保留為作者,編輯者,貢獻者,訂閱者。
6-創建備份
保持WordPress網站數據安全的最佳方法是備份/ wp-content文件夾和資料庫。
我寫了一個有用的指南,介紹如何使用BackWPup插件備份WordPress網站。
B部分:保護WordPress前端
7-限制登錄嘗試並阻止暴力攻擊
攻擊WordPress網站登錄密碼時,暴力攻擊非常常見。黑客已開發出機器人,可以在/ wp-admin或/wp-login.php URL上不斷輸入用戶名和密碼,直到他們成功登錄到您的管理員帳戶。
為了阻止此類攻擊,使用限制登錄嘗試插件是明智的。
最受歡迎的限制登錄嘗試插件之一是WP Limit Login Attempts。
8-密碼保護WP-Admin和登錄
任何人都可以訪問WordPress網站的/wp-login.php和/ wp-admin網址。為了保護他們免受暴力攻擊和DDoS攻擊,建議通過.htaccess文件對其進行密碼保護來保護這些URL。
關於如何鎖定wp-admin和wp-login的有用指南可以在WordPress codex上找到。
9-禁用目錄瀏覽
默認情況下,在WordPress網站上啟用目錄索引,具有不友好意圖的人可以瀏覽和發現您網站的文件和結構。
目錄瀏覽可以使黑客輕鬆發現Web文件中的漏洞。
要禁用目錄瀏覽,只需在WordPress網站的.htaccess文件中添加以下行。
選項 – 索引
10-在WordPress登錄頁面上添加安全問題
添加您自己的問題和該問題的意外答案是阻止未經授權的用戶訪問您的網站的最佳方法之一。
為了將安全問題添加到WordPress網站的登錄頁面,您可以安裝名為WP Security Question的插件。只需安裝插件並使用您的問題和答案進行配置即可。
11-使用雙因素身份驗證
多年來,雙因素身份驗證一直是保護Google,Facebook和銀行帳戶的常用方法。
在WordPress網站上添加2FA也很容易,也是讓不受歡迎的人遠離WordPress管理員的最可靠方法之一。
我們在過去的一篇博文中列出了一些最有用的雙因素身份驗證插件。
12-使用電子郵件登錄
如果您沒有足夠的創造力來提出難以猜測的用戶名,那麼我建議您使用您的電子郵件地址作為WordPress管理員的登錄信息。
您可以使用電子郵件登錄插件開始使用電子郵件作為用戶名。使用「@」猜測用戶名對於Brute Force攻擊來說將非常困難。
在某些情況下,我不建議使用此安全措施,如果您在網站上公開或顯示您的電子郵件地址,那麼可以更容易地猜測用戶名。
如果您選擇使用此方法,那麼我建議將管理員電子郵件分開,然後保留公用電子郵件地址。
13-刪除「由WordPress提供支持」和WordPress版本號
讓黑客明白你正在使用WordPress將使他們向尋找漏洞邁進一步。
我建議您從網站的前端刪除提及「由WordPress提供支持」,並使用Meta Generator和版本信息卸妝從RSS提要中刪除WordPress的版本號,以及您網站的源代碼。
14.重命名您的登錄URL
默認情況下,每個WordPress網站都有wp-login和wp-admin urls作為登錄管理面板的路徑。
如果你因為登錄網址暴露而無法入睡,那麼更改它們的最佳方法是使用iThemes Security插件並將登錄網址更改為不容易猜到的內容。
C部分:保護WordPress後端和資料庫
15-在WordPress管理員中隱藏編輯器
如果您以admin用戶身份登錄WordPress後端,則可以在Appearance下訪問Editor。假設有人未經授權訪問您的管理面板,這意味著他將有權訪問所有主題文件。
要為管理員用戶禁用編輯器,只需在wp-config.php文件中添加以下行。
//禁止文件編輯
define('DISALLOW_FILE_EDIT',true);
16-停止執行PHP文件
如果黑客發現漏洞並上傳惡意php文件並在您的實時網站上執行,則可能意味著您丟失了整個網站。
阻止在特定WordPress文件夾中寫入文件是一種很好的做法。創建一個空白.htaccess文件,上傳到wp-includes /或/ wp-content / uploads /等文件夾,並添加以下代碼:
否認所有人
|
1 |
否認所有人 |
17-在WordPress中禁用XML-RPC
XML-RPC是WordPress網站相互通信的一種方法。 XML-RPC可以用來攻擊WordPress網站,攻擊蠻力攻擊並通過DDoS攻擊將其刪除。
要禁用XML-RPC,請在.htaccess文件中添加以下代碼
#阻止WordPress xmlrpc.php請求
命令拒絕,允許
否認所有人
允許來自123.123.123.123
|
1 |
#阻止WordPress xmlrpc.php請求 命令拒絕,允許 否認所有人 允許來自123.123.123.123 |
18-自動註銷空閑用戶
如果您有一個包含多位作者,編輯或管理員的WordPress網站,那麼您應該不斷練習從WordPress網站註銷空閑用戶。
您可能會問為什麼需要註銷空閑用戶?您永遠無法確定您網站的用戶是否已從會話中退出。將會話存儲在瀏覽器中會使用戶暴露於會話劫持,並且您的網站很容易被黑客入侵。
您可以使用BulletProof Security等安全插件輕鬆註銷空閑用戶。
19-更改WordPress資料庫前綴
默認情況下,WordPress會創建wp_作為其資料庫表的前綴。保持默認前綴將使黑客更容易訪問您的WordPress資料庫。
我並不是說更改資料庫前綴會使您的資料庫完全安全,但這是製作自動黑客工具和腳本的明確步驟,使猜測變得更加困難。
您可以在此處閱讀有關如何更改表前綴的有用指南。
20-定期掃描WordPress網站
有時您的網站可能會受到損害,在整個網站完成之前,您可能看不到任何不熟悉的內容。
要檢測可能已被泄露的任何內容,最好使用Sucuri等插件定期掃描您的網站。
它將掃描並識別您的WordPress網站上的任何漏洞,並將就如何解決它提出建議。
你可以在這裡閱讀他們關於恢復黑客攻擊的WordPress網站的文章。
21-為資料庫設置強密碼
就像我建議為WordPress儀錶板設置一個強密碼一樣,WordPress資料庫也是如此。使用特殊字元,數字和大寫和小寫字母使密碼變得困難。
同樣設置用戶名就像設置密碼一樣困難。更新資料庫密碼後,請確保對wp-config.php文件進行必要的更改。
22-保護wp-admin目錄
使您的WordPress管理儀錶板更加安全免受強力攻擊的一種流行方法是通過密碼保護整個wp-admin目錄。
通過這樣做,任何訪問wp-admin登錄到您的WordPress站點的人都將被提示輸入密碼以訪問該URL。如果輸入了正確的密碼,則只有這時用戶才能訪問wp-admin,並從那裡訪問WP儀錶板。
不建議初學者用戶使用此方法,我們建議您在測試站點上進行備份或練習,然後再將其部署到實際站點上。
許多託管服務提供商都提供了有關如何通過InMotion Hosting保護wp-admin區域的有用指南:http://www.inmotionhosting.com/support/website/wordpress/prevent-unauthorized-wp-admin-wp-login-php -attempts
23-限制WordPress登錄頁面的IP地址
如果您不熟悉密碼保護wp-admin目錄,那麼另一個強有力的安全措施是限制IP地址訪問您的WP登錄頁面。
首先需要記下要允許訪問WP登錄頁面的IP地址。之後,您需要為.htacess文件添加IP地址,或者如果您更喜歡使用插件,那麼IP Ban是限制IP的最簡單和最好的插件。
24-使用SSL加密數據
每當您看到通過https提供網站時,這意味著他們在網站上擁有SSL證書。
谷歌在2015年將HTTP作為排名因素,後來推出了Let's Encrypt,它向所有網站提供免費的SSL證書。
我建議讓整個網站提供HTTPs內容。這將有兩個主要好處,您和您的訪問者將擁有與您的網站的安全,加密的連接,並且您將有更好的機會在SERP上排名更高。
要了解如何安裝SSL證書,您可以在這裡閱讀WPExplorer的朋友的有用指南。
D部分:保護WordPress Web主機
25.添加實時監控
準確及時地了解您的網站下線的時間將使您更快地採取行動並修復您的網站。
您的WordPress網站出現故障可能有很多原因,僅舉幾例。
1-您的Web主機的數據中心出現故障。
2-您的網站上有一個伺服器無法處理的峰值
3-您的網站遭到入侵或被黑客入侵。
無論哪種方式,立即知道將意味著您可以更快地恢復。
要恢復被黑網站,我們建議您監控未經您許可更改的文件,記下它們並恢復您的WordPress網站。更改密碼並禁用對受損文件的訪問。
一些託管服務提供商內置了Cloudways等實時監控工具,除此之外您還可以使用Pingdom等服務。
26.保護wp-config.php文件
Wp-config.php是您應該保護並保留備份的最重要的WordPress文件之一。它具有所有必要的細節,如資料庫連接和其他規則。
保護wp-config.php的最佳方法是通過向.htaccess文件添加以下規則來拒絕訪問
#prote wpconfig.php
訂單允許,否認
否認所有人
|
1 |
#prote wpconfig.php 訂單允許,否認 否認所有人 |
我們在WPMU DEV的朋友寫了一篇很棒的帖子,詳細定義了你可以做些什麼來保護wp-config.php。
27.禁止在WordPress儀錶板中編輯文件
如果您喜歡版本控制並希望跟蹤您的團隊在WordPress網站上所做的每一項更改,那麼您應該通過WordPress儀錶板本身禁用任何類型的編輯。
您需要通過儀錶板禁用主題編輯器,文件和主題更新。您可以通過在wp-config.php文件中添加以下規則來輕鬆完成此操作。
##在儀錶板中禁用編輯
define('DISALLOW_FILE_EDIT',true);
|
1 |
##在儀錶板中禁用編輯 define('DISALLOW_FILE_EDIT',true); |
28.使用SFTP和SSH訪問您的伺服器
許多主機提供商都有FTP訪問許可權FTP不是安全連接,我建議您要求您的託管服務提供商提供SFTP訪問而不是FTP。
SFTP連接已加密,如果您的網路受到中間人攻擊的影響,則可確保更好的安全性。
在基於Linux的Web伺服器上,SSH訪問是最安全的連接方式。如果您的託管服務提供商具有SSH訪問許可權,那麼您掌握得很好。
29.在WordPress文件和文件夾上設置目錄許可權
任何WordPress站點的默認許可權應如下所示
檔案:644
文件夾:755
您可以要求您的託管服務提供商檢查並設置文件和文件夾所需的許可權,也可以使用FTP客戶端設置許可權。
在任何情況下,請避免在任何文件或文件夾上擁有777文件許可權。
30.使用.htaccess禁用目錄列表
訪問者和黑客都可以瀏覽目錄,以查找WordPress網站上的文件結構和文件。目錄瀏覽可以讓任何人找到您擁有的文件,從而使黑客更容易找到漏洞。
要禁用目錄列表,請將以下規則添加到.htaccess文件。
選項 – 索引
結論:
我建議在WordPress codex上閱讀Hardening WordPress以獲取有關WordPress安全性的更多詳細信息。您還可以閱讀Kinsta的WordPress安全提示,以更深入地了解WordPress安全性。
除此之外,我想補充一點,在一個網站上實施上述所有要點是沒有必要的。您可以結合使用一些安全措施來提高WordPress的安全性。
如果您有任何疑問,請在下面的評論部分告訴我。