WordPress是内容管理系统(CMS)行业中众所周知的巨头,它是一个为互联网上所有网站的30%以上提供支持的平台。但是它的名气是有代价的。黑客经常将WordPress网站作为攻击目标,并破坏网站的内容。
WordPress核心是比较安全的,但是它的生态很强大,有数以万计的主题和插件,这就导致了它的安全问题变得严重起来。
但是,您也不必过分担心,通过一些必要的措施,是可以很大程度上提高你网站的安全,今天我们就来说说15个基本的步骤,让你的WordPress站点免受攻击者的侵害。
事不宜迟,让我们从头开始。
1.选择优质的主机托管商
使WordPress站点免受恶意软件攻击的最佳方法是选择一个在服务器级别提供多层安全性的托管服务提供商。
廉价的托管主机总是非常吸引人的,尤其是在您刚刚开始使用时。但是,从长远来看,如果您对网站的建设很认真,就应该选择安全性较高的主机托管商。
好的主机不仅可以提供卓越的安全性,它还带有许多其他好处,例如内置CDN、自动备份、免费迁移以及免费的WordPress安装,可帮助您节省时间并从一开始就优化您的网站。这些类型的托管服务称为托管型主机。
网络上有很多托管型主机,做外贸网站的,建议使用 SiteGround 或 WPEngine。
国内几乎没有什么针对WordPress优化的托管型主机,但是你可以优先考虑 阿里云、腾讯云 这样的大厂的产品。
2.避免使用盗版主题和插件
高级主题和插件具有其他同类产品无法比拟的功能。开发人员发布了高级版本,以确保他们有足够的财力来将来继续开发更好的产品。
为了确保WordPress的安全性,这些插件和主题会不断更新并投放市场。为这些主题付费的个人会将其更新为最新版本。
开发人员确保质量,保障用户的网站安全。
然而,有些人免费寻求高级功能,去下载使用各种盗版破解的WordPress主题和插件。看起来是占了巨大的便宜,其实这是非常愚蠢的做法。
这种盗版主题和插件可能不是最新版,会存在安全漏洞,并且很多网上流传的盗版东西,都有植入恶意代码,你的网站随时都有可能被黑客拿下,甚至一夜之间就被删除!
这可不是危言耸听,可以看下我们之前发布的文章:
- 再次警告:不要使用WordPress盗版主题和插件,避免受到WP-VCD恶意感染
3.安装使用安全插件
您可以通过定期检查网站,主题和插件的代码库来检查网站是否存在漏洞。大多数程序员还是会通过安装安全插件来采取简单而自动化的方法。
安全插件可帮助保护您的网站免受恶意软件攻击和各种形式的黑客攻击。它还可以使您的站点保持24/7全天候运行,并在发生问题时向您发送安全警报。
WordFence在安全插件方面处于行业领先地位,它提供了多种安全功能,例如恶意软件检测,阻止不可靠的登录名,防火墙,扫描仪,两因素身份验证等等。
除了WordFence之外,您还可以使用Sucuri Security来保护WordPress安装。该插件具有强大的功能,例如通过内置的缓存工具和CDN提高站点速度,防御DDoS攻击,利用和其他黑客攻击。
我们提到的这两个插件都带有其高级版本,这些高级版本可为您的WordPress网站带来额外的性能和安全性提升。也就是说,免费版本也非常有用的。
拓展阅读:10个好用的免费WordPress安全插件
4.使用强密码和用户名
强大的密码是保护网站安全的重要工具。通常被忽略,但仍有许多用户喜欢使用“ 123456,password和abc123”之类的密码。
如果您是这些用户之一,请立即更改密码。尽管很容易记住这些密码,但是即使安装了安全插件,黑客也很容易获得访问您的站点的权限,而不会遇到任何特殊问题。
要使用所有最佳做法设置强密码,您应该选择一个在线密码生成器。我们知道生成器将释放复杂且难以记住的密码。要解决该问题,您可以使用密码管理服务(例如Lastpass或Passbolt)。
不要只限于登录密码。为您的托管帐户、FTP和数据库创建强密码。
同样,不要仅仅依靠通用的登录用户名,例如“ Login”或“ admin”。尝试对用户名采取更加个性化的方法,以使黑客无法轻易发现它。此时,您不需要生成器。只需发挥您的想象力,然后找出一个容易记住的用户名即可。
例如,您可以使用喜欢的作者的用户名(例如Ernest Hemingway),并创建一个用户名,例如“ E-Hemmingway”或“ Ernest Hummingbird”。这只是一个有意思的例子。
5.禁用文件编辑选项
您可以通过访问仪表盘并通过 外观>主题编辑器 、插件>插件编辑器 来编辑WordPress主题和插件的代码。
一旦开发人员完成了一些自定义更改(如果有),就应该禁用文件编辑器功能。如果黑客访问您的网站,禁用文件编辑选项也将阻止他们在您的网站上植入恶意代码。
禁用文件编辑功能非常简单。转到您的wp-config.php并粘贴以下代码,如下所示;
define('DISALLOW_FILE_EDIT', true);
拓展阅读:禁止安装、升级或编辑WordPress主题和插件
6.安装SSL证书
SSL表示该站点是安全的,并且该站点的交易和付款处理也很安全。
如果您希望在搜索引擎结果页(SERP)中排名靠前,并确保用户的WordPress网站安全,那么您必须安装SSL证书。
SSL证书将 https:// 而不是普通的旧 http://添加到您的站点。它向搜索引擎表明网站是安全的,并且网站内的交易和其他活动也是安全的。结果,当您在网站上发布内容并在诸如Google之类的搜索引擎上对其进行排名时,它会优先于其他非安全网站。
互联网上有很多SSL证书提供程序,而且很多都是免费的 ,比如国内大厂 阿里云、腾讯云 都有提供免费SSL证书。
推荐阅读:什么是SSL?为什么要为WordPress网站使用SSL?
如果你使用的是宝塔面板,可以看下:宝塔面板为WordPress网站添加SSL证书设置https访问
7.将“wp-admin”后台网址更改为其他内容
默认的WordPress后台网址为:yoursite.com/wp-admin
如果您拥有强大的用户名和密码,那么您已经对黑客安全了。要进一步限制他们的访问,可以通过将网址wp-admin
更改为其他内容来完全删除访问。只需要使用 Change wp-admin login 插件即可轻松实现。
更进一步,你还可以添加一个双因素身份验证方法,比如使用 双因素身份验证 插件即可。同时,您还将阻止安全性插件报告的登录失败次数最多的IP地址。
8.限制登录尝试
默认的WordPress登录名允许用户尽可能多地登录。它允许真实用户尝试登录几次,直到他/她可以访问为止。
但是对于黑客来说,它提供了足够的空间来尝试访问您的网站。如果有足够的空间,它们还可以触发DDoS攻击,这可能会在一定程度上损害您网站的声誉。
您可以通过Limit Login Attempts Reloaded插件来限制站点上的登录尝试,该插件允许您通过转到插件设置来设置登录尝试次数的限制。
9.隐藏wp-config.php和.htaccess文件
虽然这对于一般用户来说有点高级,但是从长远来看,将这些文件隐藏起来可以证明对提高站点的安全性很有帮助。
警告:在尝试此操作之前,我们建议您为WordPress安装创建备份。由于编码并不适合所有人,因此万一出现问题,它可能会严重影响您站点的流程。因此,在尝试此操作之前请保持警惕。
备份站点后,您所需要做的就是访问.htaccess文件并添加以下代码:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
同样,您需要对.htaccess文件执行以下操作:
<Files .htaccess>
order allow,deny
deny from all
</Files>
即使该过程易于理解和实施,也必须进行备份,以防万一您破坏了网站。同样,编码是留给编码人员的。如果您有开发人员,则应该与他/她一起执行这些操作。
以上是对于Apache环境的用户可行,更多的安全设置可以看下我们的其他教程:
- 网站管理员和Web开发人员.htaccess入门指南
- 15个有用的WordPress .htaccess 代码片段
- 增强WordPress安全性的10个Nginx规则
10.保持WordPress更新
除了定期更新插件和主题外,您还应该同时保持WordPress核心的更新。
与插件和主题相似,WordPress核心开发人员还会在每个新版本中发布新的安全更新。使用较新的更新,可以防止黑客利用公认的漏洞来入侵您的网站。
WordPress会自动安装次要更新。但是,对于主要版本,您可以访问管理控制台以手动安装它们。
推荐阅读:WordPress入门:手动更新WordPress核心、主题和插件
11.禁用XML-RPC
XML-RPC文件自3.5版开始提供默认的WordPress安装,如果您希望将站点与Web和移动应用程序连接起来,则至关重要。
尽管这些文件很有用,但黑客已设法利用此文件来放大您网站上的暴力攻击。
在您通过WordFence或其他安全插件安装了蛮力保护的情况下,该插件将阻止通过多个IP地址进行的多次登录尝试。如果黑客尝试入侵您的网站100次,则其IP地址将被阻止100次。
但是,XML-RPC改变了这种情况以支持它们。他们这样做是通过访问system.multicall函数来猜测20至50个请求的密码,而不会使其IP被插件禁止。
因此,为了确保免受蛮力攻击的安全,建议您禁用XML-RPC文件。请看文章:什么是XML-RPC,为什么以及如何禁用它?
12.注销闲置时间过长的用户
每当登录用户(可能是您或您的员工)长时间离开屏幕时,都会对您的网站造成安全风险。可能发生几种方式:
- 您的WordPress会话可能被恶意软件劫持。
- 有人可以更改您网站的密码,从而禁用您的访问权限。
- 他们拥有您的帐户后,便可以对您的帐户进行恶意更改。
建议您删除网站上闲置时间过长的用户,以防止此类入侵您的网站。
您可以使用名为Inactive Logout的插件来实现。安装插件后,只需导航至“设置”>“非活动注销”即可设置插件的时间。然后,单击“ 保存更改”,就完成了。
13.在您的WordPress登录上启用安全问题
如果仅创建强密码,用户名和更改wp-admin登录网址是不够的,则可以通过引入安全问题来进一步提高WordPress网站的安全性。
WordPress插件为您的安全增添了价值。使用WP Security Question插件,您可以将安全问题添加到您的站点。
14.定期执行安全检查
WordFence和相关的安全性插件会定期跟踪您的网站访问量,并向您发送任何奇怪情况的报告(如果确实存在)。
如果您发现网站访问量或SERP总体排名突然发生变化,建议您手动扫描您的网站以查找错误和可能的迹象,表明该网站已被黑客入侵。
有很多非WordPress解决方案可以帮助您检测网站上的问题。就是说,其中最有效的是Sucuri Site Health Check和Virustotal。
进行这些扫描相对容易。您所要做的就是输入网站的网址,然后等待扫描完成。这两种扫描仪的搜索都非常彻底,并且会生成详细的报告,以显示您缺乏安全保护的地方以及与您的站点相关的重大问题是什么。
建议您定期执行这些扫描,以在出现问题时保护自己。
15.在特定的WordPress目录中禁用PHP执行
您可以用来确保后端安全性的另一种方法是禁用某些目录的PHP文件的执行。在某些目录中,例如/wp-content/uploads/,不需要执行php。
与您需要禁用XML-RPC和文件编辑的方式类似,您也可以执行此操作以防止黑客通过它们访问您的网站。
您可以通过打开记事本文档并将以下代码粘贴到该文档上来完成此操作:
<Files *.php>
deny from all
</Files>
将其另存为.htaccess并将其上传到上述目录/wp-content/uploads/。与上面提到的wp-config.php文件类似,最好在执行此操作之前先进行备份,因为更改可能会导致您的网站损坏。
总结
WordPress安全是必不可少的,您需要积极主动地为您的网站创建几乎牢不可破的墙。完成此操作后,最好保持警惕并花点时间检查网站的安全性。
否则,可能会以SERP黑名单的形式损害您的数字声誉,或者更糟的是,黑客本身提出了赎金要求。
祝您好运,使WordPress网站免受黑客攻击。保持安全,并保持警惕。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 lk2768783601@gmail.com 举报,一经查实,本站将立刻删除。