[ad_1]
您是否知道每天有超過100,000個網站被黑客入侵?沒錯,網路犯罪對任何公司都是嚴重的威脅,任何擁有WordPress網站的人也不安全。我遇到了黑客衝突(並且不得不 恢復我的WordPress網站),您可能知道它很醜。
黑客正在積極尋找易受攻擊的網站,以破壞和竊取它們可以釋放出來的數據,以牟取金錢或純粹的惡意意圖。為了保護自己和您的寶貴站點,您應該認真考慮加強WordPress安全性。
考慮到黑客入侵您的網站會給您帶來收入,時間和精力的損失,我們創建了以下安全檢查表,您可以使用該清單來保護WordPress網站。即使是初學者,帖子中的所有安全項目也相對易於實現:
- 更新WordPress
- 更新主題和插件
- 使用唯一且安全的密碼
- 安裝WordPress安全插件
- 選擇出色的WordPress託管
- 使用SSL(HTTPS)
- 創建完整站點備份
- 使用Web應用程序防火牆(WAF)
- 在WordPress管理員中禁用文件編輯
- 保護您的登錄頁面
- 添加身份驗證
- 註銷不活動的用戶
- 掃描惡意軟體和問題
- 使用VPN
如您所見,我們會將帖子分為多個部分,涵蓋從選擇安全主機到加強管理區域及其他方面的所有內容。您將需要重複一些安全任務,例如定期更新主題。其他任務是一次性的事情,但對於確保站點安全仍然具有重大影響。檢查您需要修復的內容,並立即進行修復,因為黑客也不會浪費時間。
1.更新WordPress
WordPress核心會定期進行審核並檢查是否存在安全漏洞。如果檢測到安全漏洞和錯誤,核心開發人員通常會發布維護更新。次要更新會自動安裝在您的WordPress網站上。
但是,您將需要為所有主要版本手動更新WordPress。這是一個相對簡單的過程,因為您會在WordPress管理員中收到煩人的消息。只有22%的網站在最新版本的WordPress上運行,考慮到更新的簡便性,這令人遺憾。
由於您實際上是在通過不更新網站來使您的網站遭受各種形式的攻擊,因此請不要進入剩餘的78%。通常,黑客是第一批了解舊版本中任何漏洞的人,因為他們依靠漏洞來發起成功的攻擊。
在你之前 更新WordPress 我們建議您閱讀發行說明以了解更改內容並備份網站(為了安全起見)。這樣,您現在可以在單擊該更新按鈕時期待什麼,並且萬一出現任何問題都可以使用故障保護功能。
2.更新主題和插件
在更新WordPress核心時,請不要忘記也更新主題和插件。黑客特別喜歡帶有已知安全漏洞的舊主題和插件。
他們利用這些安全漏洞,甚至可能在舊主題或插件中隱藏後門。如果您不進行更新,那麼他們可以隨時隨地入侵您的網站。
為了避免丟失您的自定義樣式,我們建議您使用 WordPress子主題 而不是父主題。這樣,您就不會在更新主題時丟失自定義設置。
您還應該刪除所有無效的主題,插件和未使用的WordPress安裝。您不僅可以節省帶寬,而且 使您的網站更快,但您也會阻止黑客。
另外請注意,切勿下載「已清空」的高級主題和插件。僅使用可信任的來源,例如WordPress.org,Envato或其他信譽良好的主題店。
3.使用唯一且強壯的密碼
當惡意分子竊取您的登錄信息時,您會驚訝地發現大多數網站都被黑了,您會感到驚訝。此外,蠻力攻擊非常普遍,涉及用數千種用戶名和密碼組合轟炸您的登錄頁面,直到出現提示為止。
如果您使用弱用戶名和密碼(例如臭名昭著的「 admin」或「 12345」),那麼黑客就很容易侵入您的網站。養成創建獨特且功能強大的密碼(定期更改)的習慣。您甚至可以使用免費的在線生成器,例如來自 最後通行證。
管理許多強密碼可能是一個問題。為了提供幫助,我經常依賴密碼管理器,例如1Password或LastPass等。不要在多個網站上重複使用相同的密碼,並始終確保您的登錄信息安全。確保您的WordPress用戶也使用強密碼。
進行操作時–切記對電子郵件,cPanel,MySQL資料庫和FTP帳戶也使用強密碼。
4.安裝WordPress安全插件
每當我創建一個新的WordPress網站時,通常都會自動安裝幾個事實上的插件。我得到一個 反垃圾郵件插件,聯繫表格7,Symple簡碼和 iThemes安全性,我的WordPress安全插件。
該插件使我能夠不遺餘力地加強WordPress防禦。它具有許多功能,可以輕鬆將壞人拒之門外。配置插件超級簡單。您應該立即啟動並運行。
最好的WordPress安全插件為您提供了不同的功能,因此,無論安裝有多麼獨特,請務必在安裝前進行檢查以確保您已獲得保護整個網站所需的所有功能。標準功能包括惡意軟體掃描,IP阻止,暴力破解防護,兩因素身份驗證等等,包括許多功能-選中許多框,以獲取您正在閱讀的此安全檢查表!
5.選擇出色的WordPress託管
通常,初學者會遇到他們遇到的第一個便宜的主機軟體包。我不會對您不利,因為您對此一無所知,但是便宜的(甚至免費的)共享主機可能會給您帶來安全風險。我之所以知道這一點,是因為我遭到了兩家提供共享託管服務的託管公司的黑客攻擊。
共享主機涉及與數千個其他網站共享伺服器。這增加了跨站點污染的風險。也就是說,即使他人的網站是原始攻擊點,黑客也可以訪問您的網站。
另一方面,託管WordPress託管僅針對WordPress網站。您無需與他人共享伺服器,並且可以使用更多安全選項來確保安全。他們也提供專門的支持,如果情況最糟,還會提供更多的恢複選項。
如果您必須使用共享託管,請說您是從一個尚不賺錢的博客開始,請確保這些網站是孤立的或「被監禁」的。如果您經營的是企業網站或電子商務網站,則可以使用 最好的WordPress託管 您可以一口氣滿足預算要求,例如VPS,專用或託管WordPress託管。
6.使用SSL(HTTPS)
如今,很多WordPress託管公司都有充分的理由提供go一詞中的免費SSL證書。 SSL證書使您的網站比沒有SSL的網站更安全。 Google還建議使用SSL證書來保護您網站上的數據(並確保用戶知道您是否使用SSL)。
HTTPS比以前的HTTP安全得多。使用HTTPS的網站會加密在用戶瀏覽器和伺服器之間移動的所有數據。如果黑客攔截了通信,他們將只會發現加密數據,該數據與踢屁股比賽中的單腿男子一樣有用?
在大多數Web主機上安裝SSL證書就像A,B,C一樣容易。大多數提供一鍵式安裝程序,使整個過程變得容易。只需登錄到cPanel並單擊一個按鈕即可安裝和管理您的SSL證書。如果您想嘗試更多操作方法,請考慮退房 讓我們加密。
7.創建完整站點備份
當黑客讓我退位時,我不得不從頭開始重建我的網站,如果我確實記得, 備份WordPress。
但是,不,我的虛擬主機上的備份在攻擊過程中被破壞了,不,我沒有二級備份解決方案。把所有雞蛋都放在一個籃子里的經典案例告訴了我一個艱難的教訓。
如今,我創建了完整的網站備份,其中包括我的網站文件和資料庫。我主要用 管理WP,但我也使用 複製器插件 將備份存儲在我的計算機和Google雲端硬碟中。
我敦促您定期創建完整備份。許多WordPress備份解決方案使您可以自動化整個過程,從而節省時間並讓您省心。
8.使用Web應用程序防火牆(WAF)
要為您的WordPress網站增加額外的安全性,並在晚上睡得更好,請啟用Web應用程序防火牆(WAF)。 WAF通過在惡意流量到達您的網站之前就對其進行阻止,從而保護您的網站。這是一種主動措施,可以阻止壞蛋在造成任何損害之前就已死亡。
防火牆過濾您的傳入流量,從而消除了黑客,同時讓合法用戶通過。許多WordPress安全公司提供Web應用程序防火牆以及其他功能。行業中的熱門選項包括 蘇庫里 和 雲耀斑。
9.在WordPress管理員中禁用文件編輯
WordPress CMS帶有出色的代碼編輯器,可讓您在WordPress管理儀錶盤內編輯插件和主題文件。代碼編輯器是一個很好的工具,供您使用,但是如果使用不當,黑客可能會使用它來破壞或添加惡意軟體到您的網站上。
您始終可以通過FTP或cPanel中的文件管理器來編輯主題和插件文件(如果需要的話),這意味著您可以完全禁用WordPress中的代碼編輯器。您不希望能夠訪問您的WordPress管理區域的黑客訪問代碼編輯器,因為它們可能會因幾行代碼而造成很多損害。
該怎麼辦?您可以使用免費功能禁用內置代碼編輯器 蘇庫里安全 插入。或者,您可以將以下代碼添加到wp-config.php文件中:
//禁止文件編輯
define(’DISALLOW_FILE_EDIT’,true);
我們正在前進。
10.保護您的登錄頁面
通常,WordPress上的登錄表單有兩個欄位;用戶名和密碼。隨著暴力攻擊者和機器人越來越聰明,如何阻止黑客訪問WordPress管理區域?這很簡單;您添加了驗證碼或安全問題,這使任何人都更難獲得未經授權的訪問。
而且,您無需編輯代碼即可將CAPTCHA或安全性問題添加到您的登錄頁面。有一個流行的WordPress插件,稱為 WP安全問題 易於配置和使用。如果您想使用CAPTCHA,可以使用 簡單登錄驗證碼, 圍欄,或WordPress.org免費提供的許多其他選項之一。
同時,您可以將wp-login URL更改為唯一的名稱。這樣,殭屍程序和黑客將很難嘗試猜測登錄頁面的URL。 wp-login在黑客中已經很流行,因此將URL更改為其他名稱是很有意義的。您可以使用諸如 WPS隱藏登錄。
11.添加身份驗證
另外,考慮實施 兩因素和多因素身份驗證。如果黑客能夠訪問您的登錄詳細信息,則他們將無法登錄到您的WordPress網站。有很多可用的選項,但是 Google身份驗證器 是一個受歡迎的選擇。
除此之外,請限制登錄頁面上的登錄。如果訪問者嘗試使用一個不存在的帳戶登錄或嘗試多次登錄,則很可能是黑客或殭屍程序試圖強行闖入。您可以使用諸如 限制登錄嘗試 要麼 登錄鎖定 使這些侵入性元素遠離。
12.註銷不活動的用戶
當您擁有多用戶WordPress網站時,您將無法完全控制用戶訪問您網站的方式或位置。作者可能決定使用免費的公共Wi-Fi對文章進行最後潤飾。網頁設計師可能會離開辦公桌,從一個小時的午餐休息時間返回。
在這種情況下,您的用戶可能會在不知不覺中使您的網站面臨安全風險。惡意人員可能會接管他們的會話,編輯其詳細信息,並造成嚴重破壞。如果未經授權的一方知道他們在做什麼,他們可以輕鬆接管用戶的帳戶並造成損失。
該怎麼辦?您可以在預定時間後自動註銷不活動的用戶。最好的部分是?有專門用於此目的的插件。一種流行的選擇是 無效註銷 插件,其中包含用於自定義註銷前的空閑時間,自定義彈出消息或註銷後重定向以及根據用戶角色超時的選項。
13.掃描惡意軟體和問題(定期)
通常被遺忘的是,定期掃描WordPress網站可以幫助您及早發現安全問題。黑客只需一秒鐘即可侵入您的網站並進行各種令人討厭的事情。這就是為什麼您應該始終保持領先的原因。
許多WordPress安全性 掃描惡意軟體的插件 感染,已知的安全漏洞,過時的腳本,暴力攻擊,不存在的備份等。插件會向您發送有關已知問題的詳細報告,因此您可以修復它們或僱用專業人員。
網站掃描器很多,例如 Sucuri SiteCheck,可用於快速查看您的網站。您所要做的就是輸入URL,這些工具會自動檢查您的網站。之後,他們會為您提供有關您需要解決的問題的報告。獲得報告後,立即修復所有安全漏洞。
14.使用VPN
如果您運行的網站上載有絕不能讓黑客掌握的敏感信息,請考慮使用虛擬專用網(VPN),在使用免費的公共Wi-Fi時更應如此。 VPN可保護您免受公共網路(包括家庭和工作場所)中常見的中間人攻擊。
虛擬專用網路可確保即使攻擊者獲得了對系統的訪問權並竊取了您的詳細信息,他們也無法對從您那裡獲取的數據進行任何處理。如果您要與許多人共享互聯網,請在訪問WordPress管理區域之前始終使用VPN。
其他WordPress安全選項
需要做更多的事嗎?我們很樂意隨時保護您的網站安全,因此,以下是一些可添加到您的清單中的安全性額外項目:
- 在/ wp-content / wp-uploads /中禁用PHP文件執行
- 更改您的WordPress資料庫前綴
- 密碼保護伺服器端的管理員和登錄頁面
- 禁用目錄索引
- 如果不需要,請禁用WP REST API和XML-RPC
- 請勿編輯/更改WordPress核心-編寫或使用可提供所需功能的插件
- 確保您的網站運行最新版本的PHP
- 在計算機上使用防病毒程序
- 啟用Google Search Console
- 減少XSS和SQL注入漏洞(您可能需要更多的技術專家來幫助這兩個)
確實,您可以採取多種步驟來保護您的網站。但是,如果您能檢查出我們列出的14項內容,那將是確保網站安全的重要一步。
保護您的WordPress網站是一項挑戰,但並非沒有可能。藉助適當的工具和技能,您可以快速加強WordPress的安全性,並遠離不良行為者。
作為回顧,請始終保持您的網站為最新。最重要的是,切勿從不受信任的站點下載主題或插件。為了安全起見,如果發生最壞的情況,請始終準備好可靠的備份解決方案。
我們希望您找到了保護WordPress網站(從而保護在線業務)所需的所有技巧。如果您有疑問或需要幫助弄清楚如何保護WordPress網站,請在評論中告知我們。注意安全!