[ad_1]
大多数网站迟早会遇到某种安全问题。用户可能已将其帐户信息留在他们不应拥有的位置,攻击者可能会将您的网站作为目标,或者插件可能会导致安全漏洞。无论具体问题是什么,网站安全审计是发现这些类型问题之前可能造成重大损害的最佳方式。
完整的安全审计可能需要一些时间才能完成,因为它通常涉及几个步骤。例如,您需要确保WordPress及其所有组件都是最新的,并且您的备份系统正常运行。但是,从长远来看,这次投资可以获得显着回报,保护您和您网站的访问者。
为什么在您的网站上进行定期安全审核非常重要
很多人不会过分关注网站安全,直到它直接影响到网站安全。换句话说,如果你的网站上存在安全漏洞,那么你知道在发生这种情况之前你已经在某个时候放弃了球。
完整的网站安全审核的重点是,它使您能够审查您的策略并加强它们,从而减少发生任何问题的可能性。通过定期执行这些审核,您不太可能会错过任何明显的安全问题,这有助于确保您的用户数据得到很好的保护。
最好每年至少做一次,但如果您的网站很大或包含特别敏感的信息(例如付款细节),您可能希望增加频率。
如何进行网站安全审核(分七步)
完整的安全审核应包含几个步骤,因为您将从上到下评估您的网站。让我们按顺序完成最重要的任务。
1.检查任何WordPress核心,插件,主题或PHP更新
过时的软件是导致网站安全问题的主要原因之一。一个软件变得越陈旧,攻击者就越有可能发现他们可以用来进入你的网站并造成严重破坏的漏洞和攻击。
这就是为什么WordPress如此坚持提示您使用其最新版本并更新您网站上安装的任何插件和主题。您等待更新站点组件的时间越长,您的风险就越大。
这也适用于您的服务器的PHP版本,这是WordPress构建在其上的语言。最新版本的PHP更安全,更快,因此值得尽可能更新到最新版本。
2.管理备份和备份工具
除了更新您网站的组件外,您可以做的最重要的事情是确保其安全性,以便经常备份其数据。这意味着创建所有文件和站点数据库的完整备份,并将副本保存在多个位置。
为了获得最佳设置,我们建议您使用经常备份网站的托管服务提供商。最重要的是,您还应该设置自己的独立备份解决方案。如果您正在寻找一个出色的备份插件,我们建议您使用UpdraftPlus:
使用UpdraftPlus,您可以随意创建手动备份并自动执行该过程。这样,你可以自由地专注于其他事情。
3.评估您的用户名,密码和数据库名称
大多数人在选择安全证书时非常糟糕。在最坏的情况下,您将在多个帐户中重复使用相同的用户名和密码。这意味着如果存在单个数据泄露,它将危及所有这些。
首先,如果您为WordPress帐户使用管理员等默认用户名,则需要立即更改。同样,请确保设置一个长而安全的密码:
理想情况下,您将使用密码管理器(如Keeper或Dashlane)来帮助您生成唯一的安全密码并跟踪它们。您还应该坚持要求您的协作者执行相同操作,并且如果可能,还要为常规用户强制执行安全密码。
同样,使用WordPress数据库的默认前缀可以使用户更容易识别并尝试访问它。所以继续把它从wp_更改为不容易猜到的东西。
4.从服务器中删除未使用的插件,主题和文件
我们大多数人安装的插件和主题比我们最终使用的更多。同样,当我们完成插件时,我们经常忘记卸载它。问题是,有时这些旧的插件和主题文件可能会打开您网站上的安全漏洞,即使它们已被停用。
这一步非常简单 – 看看你的Themes和Plugins选项卡,并考虑你真正需要的那些。如果有任何你已经停用了一段时间,那么继续去除它们:
卸载这些主题和插件后,您可能希望确保它们不会留下任何文件。
5.评估您的暴力攻击预防方法
您的WordPress登录页面是抵御攻击的第一道防线,因此您必须确保它能够抵御强力攻击。有几种方法可以做到这一点,包括:
- 实施双因素身份验证(2FA)
- 限制在设定的时间段内来自单个IP的登录尝试次数
- 白名单哪些IP可以访问仪表板
- 更改默认的WordPress登录URL
这可能涉及相当多的工作。但是,您只需要实施一次这些安全措施,然后在下次安全审核之前就可以忘记它们。
6.注销或删除非活动用户
如果您和我们一样,您可以避免退出许多网站,这样您下次访问时就不必经历输入凭据的麻烦。但是,这种不便是一个很小的代价,以确保如果您丢失了您的设备,没有其他人可以使用您的帐户。
防止这种情况发生的最简单方法是配置WordPress在一段时间后自动注销空闲用户。这样,没有人可以使用他们的帐户来尝试访问您的网站。您可以使用免费的Inactive Logout插件进行设置:
7.找到并消除漏洞
最后但同样重要的是,您可以使用许多有用的工具来扫描您的网站并查找(甚至修补)漏洞。当然,我们正在谈论WordPress安全插件。
使用WordPress安全插件可以帮助您保护您的网站,使您能够定期扫描漏洞和受感染的文件。
有很多选择可供选择,但如果你想快速推荐,Sucuri就不会出错。它提供了大量选项,同时保持用户友好性:
Wordfence是另一个不错的选择 – 你可以在这里看到Wordfence和Sucuri之间的差异。
除安全工具外,我们还建议您设置WordPress活动日志插件。例如,WP安全审核日志可以帮助您跟踪网站上发生的每件小事。这包括用户登录,页面更改,文件修改等:
将安全和审计日志插件与我们上面介绍的所有措施相结合,您的网站应该像军事基地一样安全。
结论
例如,如果您遇到安全漏洞或网站出现故障,只需确保您的备份系统正常工作即可为您节省大量麻烦。
完整的安全审计涉及许多步骤。但是,一些最重要的过程涉及更新所有站点的组件,确保您的登录页面受到良好保护,并强制执行强密码操作。
花费几个小时的成本,您可以更有效地保护您的网站及其用户。
您对如何对您的网站进行全面的安全审核有任何疑问吗?我们在下面的评论部分讨论它们!