作為網站所有者,必須優先考慮 WordPress 網站的安全性。網路攻擊和黑客攻擊可能會破壞敏感信息、破壞您網站的功能並損害您的在線聲譽。為了保護您的網站和業務,實施強大的安全措施至關重要。
WordPress 安全對所有網站所有者來說都是一個關鍵問題。每天,Google 都會將大約 10,000 多個惡意軟體網站和大約 50,000 個網路釣魚網站列入黑名單。如果您認真對待自己的網站,則必須遵循 WordPress 安全最佳實踐。我們將在這篇文章中提供所有頂級 WordPress 安全技術,以幫助您保護您的網站免受黑客和惡意軟體的侵害。
保護您的網站免受網路攻擊的 22 種方法
在本文中,我們將研究保護 WordPress 網站的 22 種不同方法。通過遵循這些準則,您可以顯著提高 WordPress 網站的安全性。我們將涵蓋以下主題:
- 使用最新版本的 WordPress 主題和插件,以及 PHP。
- 更新 WordPress 安全密鑰。
- 創建可靠的用戶名和密碼。
- 為 WordPress 用戶添加安全問題。
- 安裝安全插件。
- 禁用 JSON Rest API
- 限制管理面板的索引
- 防止多次失敗的登錄嘗試
- 禁用未使用的插件和主題
- 創建定期備份
- 啟用自動更新。
- 禁用 XML-RPC
- 更新文件許可權
- 禁用評論和熱鏈接
- 禁用 PHP 錯誤報告
- 禁用外部 URL 請求
- 為您的網站實施 SSL,
- 禁用 PHP 文件執行
- 禁用目錄列表
- 尋找安全的 WordPress 託管服務提供商。
- 禁止訪問 wp-config.php。
- 禁用文件編輯
1. 使用最新版本的 WordPress 主題、插件和 PHP
使用最新版本的 PHP、WordPress 主題和插件是提高 WordPress 網站安全性的最佳方法之一。可以通過更新到最新版本來修復早期版本中發現的安全漏洞或問題。
登錄您的 WordPress 儀錶板並訪問「更新」區域以更新您的主題和插件。您將看到您的主題和插件的可用更新列表。要開始更新過程,請單擊「更新主題」或「更新插件」按鈕。
更新您網站使用的 PHP 版本稍微複雜一些,因為它需要訪問您網站的託管帳戶。請諮詢您的託管服務提供商或參閱他們的文檔以獲取有關如何為您的網站更新 PHP 版本的說明。
2. 應該更新 WordPress 安全密鑰
這些密鑰是一組隨機變數,用於提高網站數據的安全性。它們通過對您網站 cookie 中的信息進行加密來幫助防止黑客獲取對重要信息的訪問許可權。
要更新您的 WordPress 安全密鑰,請進入您的 WordPress 儀錶板並轉到「常規設置」頁面。向下滾動到「安全密鑰」部分,然後單擊「生成密鑰」按鈕。WordPress 將生成一組新的安全密鑰並自動更新您網站上的 wp-config.php 文件。
3. 強大的用戶名和密碼
保護您的 WordPress 網站的另一個重要方面是創建強大的用戶名和密碼。強大的用戶名是獨一無二的,黑客很難猜到。強密碼較長且複雜,包含大小寫字母、數字和特殊字元。
經常更改密碼以避免非法訪問也很重要。在您的 WordPress 儀錶板中,移至「用戶」區域以更改您的密碼。單擊「您的個人資料」選項後,向下滾動到「帳戶管理」部分。然後您可以輸入新密碼並保存更改。
4. 向 WordPress 用戶添加安全問題
為了增加安全性,您可以為您的WordPress 用戶設置安全問題。這要求用戶在重置密碼或登錄您的網站之前回答預先確定的問題。
要為您的用戶設置安全問題,請在您的 WordPress 儀錶板中移至「用戶」部分。單擊「您的個人資料」選項卡並向下滾動到「安全問題」部分。從那裡,您可以選擇安全問題並輸入答案。完成此過程後,請務必保存更改。
5. WordPress 安全插件
有許多可用的安全插件可以幫助保護您的 WordPress 網站免受網路攻擊。一些流行的選項包括 Sucuri、WPFail2ban 和 SecuPress。
要安裝安全插件,請在您的 WordPress 儀錶板中移至「插件」部分。單擊「添加新」按鈕並搜索要安裝的插件。找到插件後,單擊「立即安裝」按鈕,然後單擊「激活」按鈕。
安裝安全插件後,根據您的特定需求對其進行配置很重要。請查閱插件的文檔或尋求插件支持團隊的幫助,以獲取有關如何設置和自定義插件的指導。
6. 禁用 JSON Rest API
JSON Rest API 是一項允許 WordPress 網站與其他網站和應用程序通信的功能。雖然此功能很有用,但如果配置不當,也會帶來安全風險。為了更好地增強網站的安全性,您可能需要考慮禁用 JSON Rest API。
要禁用 JSON Rest API,請在您的 WordPress 儀錶板中移至「設置」部分。從那裡,單擊「常規設置」選項卡並向下滾動到「站點地址 (URL)」部分。取消選中「WordPress 地址(URL)」欄位旁邊的框,然後單擊「保存更改」按鈕。
7. 限制管理面板的索引並防止多次登錄嘗試失敗
為了提高 WordPress 網站的安全性,限制管理面板的索引很重要。這可以防止搜索引擎將您網站的登錄頁面編入索引,從而降低黑客發現它的可能性。要限制管理面板的索引,請將以下代碼行添加到您網站的 robots.txt 文件中:
不允許:/wp-admin/
防止多次登錄嘗試失敗也很重要,因為這可能是黑客企圖的跡象。為防止多次登錄嘗試失敗,您可以安裝 WPFail2ban 等插件,它會阻止在特定時間範圍內具有一定次數登錄嘗試失敗的 IP 地址。
8.禁用未使用的插件和主題
為了提高 WordPress 網站的安全性,禁用任何未使用的插件和主題很重要。這些未使用的項目可能存在可被黑客利用的安全漏洞。
要禁用未使用的插件或主題,請在您的 WordPress 儀錶板中移至「插件」或「主題」部分。從那裡,您可以停用或刪除未使用的項目。
9. WordPress 備份
為您的 WordPress 網站創建定期備份是維護其安全性的一個重要方面。如果發生網路攻擊或其他災難,備份可以幫助您快速將網站恢復到以前的安全狀態。
有多種方法可以創建 WordPress 網站的備份。一種選擇是使用像 UpdraftPlus 這樣的插件,它允許您安排自動備份並遠程存儲它們(例如,在像 Google Drive 或 Dropbox 這樣的雲存儲服務上)。
要使用 UpdraftPlus 創建備份,請在您的 WordPress 儀錶板中移至「插件」部分。單擊「添加新」按鈕並搜索 UpdraftPlus。找到插件後,單擊「立即安裝」按鈕,然後單擊「激活」按鈕。
激活插件後,導航到「設置」部分並單擊「UpdraftPlus 備份」選項卡。從那裡,您可以設置備份計劃並選擇您喜歡的存儲位置。定期為您的網站創建備份非常重要,以確保您在緊急情況下擁有安全的備份。
10.啟用自動更新
為您的 WordPress 網站啟用自動更新是提高其安全性的另一種簡單而有效的方法。通過打開自動更新,您的網站將在新更新可用時自動安裝。這有助於確保您的網站始終使用最新、最安全的 WordPress、主題和插件版本。
要啟用自動更新,請登錄您的 WordPress 儀錶板並導航至「設置」部分。從那裡,單擊「常規設置」選項卡並向下滾動到「軟體更新」部分。選中「自動更新 WordPress、主題和插件」選項旁邊的框,然後單擊「保存更改」按鈕。
11. 禁用 XML-RPC
XML-RPC 是一項允許 WordPress 網站使用 XML-RPC 協議與其他應用程序通信的功能。雖然此功能很有用,但如果配置不當,也會帶來安全風險。為了更好地增強網站的安全性,您可能需要考慮禁用 XML-RPC。
要禁用 XML-RPC,請登錄您的 WordPress 儀錶板並導航至「設置」部分。從那裡,單擊「常規設置」選項卡並向下滾動到「XML-RPC」部分。取消選中「啟用 XML-RPC」選項旁邊的框,然後單擊「保存更改」按鈕。
12.更新文件許可權
這些是確定哪些用戶可以訪問和修改您網站上的特定文件的一組規則。確保正確設置文件許可權以提高網站的安全性非常重要。
要更新您的文件許可權,您需要訪問您網站的託管帳戶。從那裡,您可以導航到文件管理器並選擇要修改的文件。在「許可權」選項卡中,您可以調整每個文件的許可權。請諮詢您的託管服務提供商或參閱他們的文檔以獲取有關如何更新文件許可權的指導。
13.禁用評論和盜鏈
禁用評論和熱鏈接有助於提高 WordPress 網站的安全性。禁用評論可防止用戶在您的網站上留下評論,從而降低發布垃圾郵件或惡意評論的風險。盜鏈是在未經他人許可的情況下在您的網站上使用他人圖片的做法。通過禁用熱鏈接,您可以防止其他網站使用您的圖片並可能減慢您網站的載入時間。
要禁用評論和熱鏈接,請登錄您的 WordPress 儀錶板並導航至「設置」部分。從那裡,單擊「討論」選項卡並向下滾動到「其他評論設置」部分。取消選中「允許人們對新文章發表評論」選項旁邊的框,然後單擊「保存更改」按鈕。
要禁用熱鏈接,您需要在網站的 .htaccess 文件中添加幾行代碼。請諮詢您的託管服務提供商或參考他們的文檔以獲取有關如何執行此操作的指導。
14. 禁用 PHP 錯誤報告
PHP 錯誤報告是一種功能,可在出現問題時在您的網站上顯示錯誤和警告。雖然這對於調試目的很有用,但它也可能會帶來安全風險,因為它可能會泄露有關您網站的敏感信息。為了更好地增強網站的安全性,您可能需要考慮禁用 PHP 錯誤報告。
要禁用 PHP 錯誤報告,您需要編輯網站的 wp-config.php 文件。在文件中插入以下代碼:
錯誤報告(0);
這將禁用您網站上的 PHP 錯誤報告。
15. 禁用外部 URL 請求
外部 URL 請求是您的網站向外部網站或伺服器發出的請求。雖然這些請求很有用,但如果配置不當,它們也會帶來安全風險。為了更好地增強網站的安全性,您可能需要考慮禁用外部 URL 請求。
要禁用外部 URL 請求,您需要編輯網站的 wp-config.php 文件。在文件中插入以下代碼:
定義(’WP_HTTP_BLOCK_EXTERNAL’,真);
這將阻止您網站上的外部 URL 請求。
16. 為 WordPress 網站實施 SSL
為您的 WordPress 網站實施 SSL(安全套接字層)是維護其安全性的另一個重要方面。SSL 是一種安全協議,可對您的網站與用戶瀏覽器之間傳輸的數據進行加密,有助於防止黑客攔截敏感信息。
要為您的網站實施 SSL,您需要購買 SSL 證書,最好是從信譽良好的提供商處購買。請諮詢您的託管服務提供商或參考他們的文檔以獲取有關如何為您的網站安裝和配置 SSL 證書的指導。
17. 禁用 PHP 文件執行
PHP 文件執行是在您的網站上執行 PHP 代碼的過程。雖然這是網站正常運行所必需的,但如果配置不當,也會帶來安全風險。為了更好地提高網站的安全性,您可能需要考慮在某些目錄中禁用 PHP 文件執行。
要禁用 PHP 文件執行,您需要將 .htaccess 文件添加到要禁用 PHP 執行的目錄中。將以下代碼插入文件: 到 .htaccess 文件:
php_flag 引擎關閉
這將禁用指定目錄中的 PHP 文件執行。
18.禁用目錄列表
目錄列表是一項允許您網站的訪問者查看目錄內容的功能。雖然這可能很方便,但如果配置不正確,它也會帶來安全問題。您可以選擇禁用目錄列表以提高網站的安全性。
要阻止目錄列表,請將 .htaccess 文件添加到您希望禁用目錄列表的文件夾中。將以下代碼插入到 .htaccess 文件中:
19. 期權-指數
這將禁用指定目錄中的目錄列表。
20. 安全的 WordPress 託管
尋找安全的 WordPress 託管服務提供商是維護網站安全的另一個重要方面。安全的託管服務提供商將採取措施防止網路攻擊並保護您網站的信息。
選擇託管服務提供商時,一定要研究他們的安全措施,並詢問他們在防止網路攻擊方面的記錄。一些託管服務提供商提供額外的安全功能,例如 SSL 證書、防火牆保護和惡意軟體掃描。
21. 禁止訪問 wp-config.php
wp-config.php 是一個包含有關您的 WordPress 網站的敏感信息的文件,例如您的資料庫憑據和安全密鑰。防止未經授權訪問此文件以提高您網站的安全性非常重要。
要防止訪問 wp-config.php,請將一個 .htaccess 文件放在您網站的根目錄中。將以下代碼插入 .htaccess 文件: files wp-config.php> Allow, Deny, and Deny from all /files>
這將禁止任何人訪問 wp-config.php 文件。
22.禁用文件編輯
WordPress 有一個代碼編輯器,允許您直接從 WordPress 管理區域編輯主題和插件文件。此功能在壞人手中可能會成為安全問題,這就是我們建議關閉它的原因。
結論
通過遵循本文中概述的準則,您可以顯著提高 WordPress 網站的安全性。從使用最新版本的 WordPress 主題、插件和 PHP,到禁用外部 URL 請求和實施 SSL,您可以採取許多步驟來保護您的網站免受網路攻擊。
定期更新您的安全措施並創建備份也有助於確保您的網站保持安全。通過優先考慮 WordPress 網站的安全性,您可以保護您的業務和在線聲譽。