保護您的 WordPress 網站不是一勞永逸的事情。 無論您多麼信任您的安全插件,或者您在網站加固方面做得多麼徹底,今天的安全網站都不會成為明天的安全網站。 為了防止黑客入侵,您必須定期進行 WordPress 安全審核並填補您發現的安全漏洞。
網站黑客攻擊策略一直在進步,隨之而來的是保護網站安全的預防措施。 把它想像成一個循環。 網站越安全,入侵它的黑客就越有創意,這意味著您的網站必須變得更加安全,等等。
旨在至少每三個月進行一次 WordPress 安全審計。 每個月都更好,每周(甚至每天,取決於您的網站的敏感程度)是最好的。 當然,如果您覺得您的網站有問題,請立即進行安全審核。 以下任何一項都應引發危險信號:
- 您的網站突然變得緩慢而緩慢。
- 網站流量無明顯原因大幅下降。
- 有新帳戶、登錄嘗試或「忘記密碼」請求。
- 您未添加的新鏈接位於您的網站上。
以下步驟是確保您的網站在安全方面保持最佳狀態的必要步驟。 手頭有一份檢查清單,您將簡化審核而不是壓倒性的審核。
WordPress 安全審計概述
在某個時候,幾乎每個 WordPress 網站都會遇到某種類型的安全問題。 一個常見的是插件或主題受到漏洞的困擾,允許黑客直接進入您的網站。 一旦您的網站被黑,可能會發生許多事情:
- 客戶個人資料被盜
- 顯示的非法廣告和內容
- 交通轉向別處
- WordPress 數據被加密、刪除或出售
這不僅僅是幾個小時的頭痛或網站癱瘓。 黑客可以保留您的數據以索取贖金。 您網站上的信息可以在暗網上出售。 Google 可以將您的網站列入黑名單,以便在網頁上顯示垃圾郵件。 如果客戶的信用卡信息被盜,客戶可以起訴您。 一旦黑客獲得了您的訪問許可權,其他網站可能會被感染。
WordPress 安全審核會識別這些漏洞,因此您可以在黑客入侵之前立即修補它們。您將確保您當前採取的安全措施仍然有效,並且您還將弄清楚您在哪裡需要更多的保護。
評估您正在使用的安全插件
您的 WordPress 安全插件是保護您網站的最重要工具之一。 確保您的安全插件仍以以下方式運行:
- 活動日誌:這會跟蹤您站點的用戶,包括誰登錄和何時登錄、登錄嘗試失敗以及站點更改。
- 防火牆:這將阻止試圖進入您網站的機器人、黑客和 IP 地址。
- 登錄嘗試:質量安全插件將強制執行強密碼,需要兩因素身份驗證並限制登錄嘗試。
- 登錄保護:這可以阻止暴力攻擊,即黑客嘗試不同的用戶名和密碼組合來登錄。
- 惡意軟體掃描和清理:這應該每天運行,深度掃描您站點的資料庫、文件和文件夾中是否存在惡意軟體,並清除發現的任何內容。
- 實時警報:如果您的網站出現任何可疑情況,該插件應立即通知您。
還沒有安全插件? 考慮將其作為 WordPress 安全審核的初步步驟。 我們匯總了 6 個最好的 WordPress 安全插件 從中選擇。
測試您的網站備份解決方案
如果您的網站出現無法修復或過於複雜而無法修復的問題,擁有 WordPress 備份意味著您可以將您的網站恢復到問題發生前的先前狀態。 但是,如果您的備份失敗,那麼您將無法恢復任何內容,這意味著您可能會被受感染或出現故障的站點所困。 理想情況下,您將使用備份解決方案(無論是您的主機提供的還是您使用的插件),它允許您測試備份,例如 博客保險箱. 您可能還想閱讀我們的文章 6 個最好的 WordPress 備份插件.
檢查您的 WordPress 管理員和 FTP 設置
使用 WordPress,您可以讓多人登錄以處理各種項目,但這並不意味著每個登錄的人都應該擁有對您網站的完全訪問許可權。 當涉及到你的 FTP客戶端,允許多人訪問意味著他們可以更改您網站的……嗯,所有內容。
當您在 WordPress 中添加新用戶時,您為他們分配了一個角色(您也可以編輯他們的個人資料以更改他們的角色):
不同的角色有不同的能力。 例如,管理員可以訪問站點的所有管理工具(如更改主題或安裝插件),但貢獻者只能編寫和管理自己的帖子。 這裡有一個全面的細分 不同的角色及其能力.
對於您的 WordPress 安全審核,請執行以下操作:
- 查看哪些 WordPress 用戶具有管理員級別的訪問許可權。
- 確定所有這些用戶是否都需要該級別的訪問許可權(以及其他訪問許可權受限的用戶是否應該是管理員)。
- 通過更新這些個人的用戶角色來降低許可權並限制訪問。
- 如果您無法識別儀錶板中的用戶,請將其刪除 – 他們可能是由黑客創建的帳戶。
- 是否有任何用戶名只是「admin」? 這是一個非常常見的用戶名,黑客經常嘗試使用該用戶名來訪問您的網站。 為該人創建一個新用戶帳戶並刪除舊帳戶。
- 刪除不需要那麼高訪問級別的用戶的 FTP 帳戶。
最後,如果您的網站允許會員,您要確保他們在註冊時必須實際創建一個帳戶,並且他們的默認角色不允許管理員訪問。 前往「設置」>「通用」。 取消選中任何人都可以註冊旁邊的框。 然後,在新用戶默認角色下選擇適當的選項。
確保 WordPress 是最新的
您可能會自動運行此程序,但仍然需要仔細檢查 WordPress 是否已更新到其最新版本。 更新不僅僅是修補安全漏洞——它們還提高了性能並添加了功能。 轉到儀錶板 > 更新以查看是否已準備就緒。
清理你的插件和主題
插件可以擴展您網站的功能,但它們也容易受到攻擊,特別是如果它們長時間沒有更新。 可靠的開發人員將密切關注其插件的漏洞並發布補丁更新。 在您的 WordPress 安全更新期間,前往您的插件列表並執行以下操作:
- 停用並卸載您不再使用或不認識的任何插件。
- 更新任何已準備好更新的剩餘插件。
- 如果您使用的插件尚未收到開發人員的更新,請考慮使用另一個具有相同功能的插件 – 過時的插件太容易受到安全問題的影響。
即使您每個月左右進行一次 WordPress 安全審核,也最好定期檢查您的插件以 更新它們 如所須。 此外,刪除您當前未使用或不希望需要的任何主題。 就像插件一樣,主題會帶來安全漏洞的風險,因此最好讓您的網站儘可能地保持整潔。
保持安全!
您不會停止在業務的其他部分工作——提出新產品或服務、營銷它們、銷售等。您的網站安全應該沒有任何不同。 如果您不及時發現,一個小問題可能很快導致威脅業務的黑客攻擊,但如果不知道問題所在,您將不知道要實施哪些修復。
保持您的網站安全是一個持續的過程,擁有一份首選的 WordPress 安全審核清單可以讓您省去試圖記住每個月要做什麼的麻煩。 此外,您可以使用安全插件自動化越多越好。 如果您需要做的大部分事情是仔細檢查插件是否仍然正常運行,那麼您的 WordPress 安全審核清單可能會小得多。 我們對兩個領先的安全插件的評論進行了深入的概述, 蘇庫里 和 文字圍欄.