虽然在线存在有助于吸引大量受众并扩展您的业务,但它也带来了某些威胁和风险。像 WordPress 这样的顶级开源 CMS 平台可能更容易受到攻击,需要优先考虑最佳安全性。
幸运的是,如果您采取正确的步骤,您可以保护您的 WordPress 网站并防止漏洞和泄漏。在本文中,我们将让您了解您的 WordPress 网站带来的威胁和风险因素,以及您可以采取哪些措施来确保您的 WordPress 网站保持安全。
WordPress 安全吗?
尽管 WordPress 是一个安全的内容管理系统,但它很容易成为安全漏洞的牺牲品。由于 WordPress 是一种流行的 CMS,它已成为网络攻击者的热门目标。名为 Wordfence 的防火墙服务报告称,它阻止了WordPress 网站上的185 亿次密码攻击请求。
根据通用漏洞评分系统,每10 个WordPress 网站中就有 8 个属于“中”或“高”。该数据表明 WordPress 可能并不像您基于其受欢迎程度所想象的那样安全。但是,我们仍然建议使用 WordPress。将近 50% 的网站使用 WordPress 作为他们的主要 CMS。
您应该知道 WordPress 在这里并不完全是错误的。事实上,他们拥有一支世界一流的研究人员团队,他们会定期发布新的安全更新,使 WordPress 成为一个更安全的平台。但问题出现在 WordPress 是如何提供给用户的。
由于 WordPress 是一个开源平台,源代码可以在任何地方修改和分发——它的软件是无限定制的。虽然这种灵活性是 WordPress 受欢迎的一个重要原因,但它也使其容易出现许多安全问题。
如果用户根据自己的喜好对其进行优化和自定义,则用户有责任确保其网站的安全。但由于许多用户对此不屑一顾,因此有机会潜入并利用漏洞。
例如,对于中大型网站,一些用户试图自己管理整个网站,而不是信任托管的 WordPress 托管 服务。由于用户可能无法自己监督一切,因此他们会损害安全性和网站基础设施。了解您无法完全消除风险因素,但您可以确保通过采取特定措施尽可能地减少它们。
为什么 WordPress 安全性很重要?
如果 WordPress 网站不安全,它会给您的业务带来多种风险和威胁。对于初学者来说,如果您的网站没有得到最佳保护,它很容易被黑客入侵。黑客可以窃取您的私人信息、密码和客户数据并泄露或更改这些信息。
其次,黑客可以在您的网站上安装恶意软件,这些恶意软件可以分发给您的用户,从而危及您网站的真实性和声誉。更重要的是,如果您的网站遭到黑客攻击,您可能会发现自己向黑客支付赎金以恢复您网站的访问权限。
你有没有去过一个网站,看到一个搜索引擎弹出窗口说“不安全”?该弹出窗口会显着增加跳出率,因为用户会在发现网站不安全时离开该网站。
基于商业的网站不应承担这些风险——它会对您的收入和融洽关系产生负面影响。就像锁定商店、保持收银机有人值守、在各处安装摄像头是实体店的职责一样,您需要采取同等措施来确保您的在线营业场所安全无虞。
WordPress 安全漏洞的类型
- 后门
顾名思义,此漏洞为黑客和窃取者提供隐藏通道或“后门”以绕过加密和安全措施进入您的网站。他们使用非正统的方法访问网站,例如 wp-admin 和 SFTP。
一旦这些后门被成功使用,黑客就可以通过污染和攻击对托管服务器造成严重破坏。它可以同时影响托管在同一服务器上的每个网站。这些后门可能看起来像合法的系统文件,并顺利地进入 WordPress 数据库,在那里它们在过时的平台版本中安装错误。
幸运的是,您可以通过将您的网站与SiteCheck等可以轻松检测常见后门的安全工具集成来防止此漏洞。您还可以使用由HostPapa托管的 WordPress主机,它带有检测和删除后门的安全措施,包括阻止 IP、双因素身份验证、限制管理员访问以及防止未经授权执行 PHP 文件。
- 制药黑客
制药黑客在过时版本的 WordPress 及其插件中插入流氓代码。当搜索受感染的网站时,它会导致搜索引擎返回医药产品的广告。这个漏洞更像是垃圾邮件的威胁,而不是恶意软件的并发症,但它为搜索引擎提供了足够的理由来阻止有关垃圾邮件分发报告和指控的网站。换句话说,Pharma Hacks 可以永久阻止您的网站。如果您使用推荐的具有更新服务器和适当管理的WordPress 托管,则可以防止 Pharma Hacks。
- 暴力登录尝试
暴力登录尝试使用自动化脚本来利用弱密码来访问 WordPress 网站。这就是为什么你应该让你的密码尽可能强。
双因素身份验证、限制登录尝试、阻止 IP、监控未经授权的登录、监控不熟悉的设备以及使用强密码可以有效防止暴力登录尝试。
- 恶意重定向
恶意重定向使用 FTP、SFTP 和 wp-admin 等异常方法在 WordPress 中创建后门,并将重定向代码注入网站。这些重定向通常放在您的“.htaccess 文件”和其他核心 WordPress 文件中,这些文件会将您的访问者重定向到恶意站点。我们在本文中讨论的安全措施将有助于保护您的网站免受恶意重定向。
- 跨站点脚本 (XSS)
当恶意脚本被注入可信赖的应用程序或网站时,就会发生跨站脚本 (XSS)。黑客或攻击者会在用户不知情的情况下向用户发送恶意代码,从而获取黑客可以使用的 cookie 或会话数据。WordFence报告称,跨站点脚本是最常见的 WordPress 插件漏洞。
- 拒绝服务
拒绝服务 (DoS) 可能是最危险的 WordPress 漏洞。它通过代码中的错误和错误淹没了网站操作系统的内存。黑客通过 WordPress 的过时和有缺陷的 WordPrs 版本在数百万个网站上利用 DoS 获得数百万美元。DoS 通常被出于经济动机的网络攻击者使用,这将大型公司置于风险之中。
应对此漏洞的第一步始终是更新版本的 WordPress。也就是说,即使是最新版本也无法完全抵御专业级的 DoS 攻击。但是,它可以保护您免于陷入金融机构和网络犯罪分子之间的交火之中。
您是否想知道可以采取哪些措施来确保您的网站尽可能安全,免受这些漏洞的影响?遵循本指南并实施我们的每个 WordPress 安全提示和措施,从获得安全的 WordPress 托管开始,为您的网站获得最高级别的安全性。
选择安全的 WordPress 托管
WordPress 安全不仅仅是获得几个证书来加密您的站点。实际过程从选择安全的WordPress 托管开始。这是因为您的主机负责 Web 服务器级别的安全性,如果安全漏洞影响您在服务器上的站点,则您的服务器主机将有过错。
可以通过服务器加固创建一个完全安全的 WordPress 环境,它采取多层硬件和软件安全措施来确保物理和虚拟基础架构的安全,并可以抵御威胁。
服务器强化并不容易——需要花费大量时间、精力和金钱,尤其是当您只有一个网站需要保护时。这就是人们不选择此类安全措施的原因。 消除此问题的最佳方法是获得托管 WordPress 托管,它具有增强的安全性。您的主机将为您提供自己的网络空间,并负责确保您的网站安全和更新。
使用最新的 PHP 版本
PHP 是您的 WordPress 网站最关键的部分,因此您需要使用最新版本。从发布之日起,每个版本的 PHP 都支持两年。在此期间,安全问题和错误会定期修复。PHP 8.1 为最新版本,不再支持 PHP 7.3 或以下任何版本。任何使用不受支持版本的人都会面临不同的安全漏洞。
不幸的是,据WPTavern称,PHP 5.6 仍然是使用最多的 PHP 版本,而 95.3% 使用 PHP 的网站仍在使用系列 5 版本。换句话说,大多数在 WordPress 上注册的网站都没有使用更新版本的 PHP,而是使用不再受支持或受保护的版本。考虑到这一点,WordPress 不应为网站中的安全漏洞负责——网站所有者才是。
有时企业和开发人员需要时间来测试和检查他们的网站是否与代码兼容,但是在不再正式安全的代码上运行他们的网站是愚蠢的。除此之外,旧的 PHP 版本没有像新版本那样优化并且会对性能产生负面影响。
如果您不知道您使用的是哪个 PHP 版本,请查看您的主机是否提供了请求标题选项。出于安全原因,许多托管服务提供商不会显示此信息。但是,您仍然可以检查和切换 PHP 版本,具体取决于您的托管服务提供商向您提供的权限。
设置智能用户名和密码
加强安全性的最简单方法之一是设置强用户名和密码。令人惊讶的是,很多人不这样做。根据SplashData 的 2019 年前 50 个密码,最流行的密码是“123456”,其次是一个非常幼稚的“密码”。名单上的其他人是“iloveyou”和“12345678”。这就是为什么有些主机会在您登录时强制使用强而复杂的密码的原因之一。
安全基础知识从您的用户名和密码开始。虽然您应该始终创建最强的密码,但请确保将它们记在某个地方,以便在您忘记密码时可以访问您的网站。
如果您有多个网站,请为每个网站设置不同的密码。您甚至可以使用在线密码管理器来管理不同站点和平台的密码,而不必使用便利贴。HostPapa 提供了创造性地设置和管理用户名和密码的重要提示。
始终更新 WordPress、插件和主题的版本
如果 WordPress 及其插件和主题未更新到最新版本,它们可能会给您带来问题。这些需要更新是有原因的——更新通常伴随着安全增强和错误修复。
选择不更新可能会导致安全漏洞、黑客攻击和利用不同的漏洞。令人惊讶的是,数以百万计的网站正在运行过时版本的 WordPress 和插件。
网站所有者不更新 WordPress 和插件和主题的常见借口是他们的网站会崩溃、插件无法工作、他们的核心修改将消失,或者他们不需要新功能。
事实上,网站“崩溃”的原因之一是它们没有更新到更安全的版本。核心修改是有风险的,WordPress 开发人员和专家绝不会推荐它们。如果他们阻止您更新到新版本,那是不值得的。
WordPress 更新大多带有必备的安全修复程序和补丁以及运行最新插件的附加功能。如果更新给功能带来任何变化,它只会进一步改进它。
不故意更新您的 WordPress 或其主题和插件是愚蠢的。一份报告显示,插件漏洞 约占黑客入口点的 56%。更新您的插件可以确保您不会受此影响——主题和 WordPress 软件也是如此。
如果您管理过 WordPress 托管,则不必担心进行更新 – 它将由您的托管商处理。但是,如果您没有订阅该服务,请继续阅读以了解如何更新您的 WordPress、主题和插件。
更新您的 WordPress 版本
WordPress 使其用户更新您的 WordPress 版本变得非常简单。您可以直接从 WordPress 仪表板执行此操作。要更新您的 WordPress 软件,请转到WordPress 仪表板中的更新,然后单击立即更新。您也可以通过在设备上下载最新版本并通过 SFTP 上传来手动更新 WordPress,但要小心。覆盖错误的文件夹可能会破坏您的站点。如果您不知道如何操作,请坚持使用自动更新。
更新您的 WordPress 插件
首先,确保您安装了受信任的插件。标有“特色”和“流行”的插件通常是您可以信任的插件。确保从 WordPress 下载相同的插件,而不是其副本或同名插件。或者,您可以直接从开发它的网站下载您想要的插件。这样,就不可能下载损坏的版本。
其次,提防免费插件。虽然它们中的大多数都很好用,但有些是有害的,会逐渐影响您网站的安全。我们始终建议您获得高级插件。
更新插件的过程与更新 WordPress 非常相似。要更新 WordPress 插件,请转到您的 WordPress 仪表板并单击更新。将显示具有可用更新的插件。选择您要更新的插件(通过标记它们)并单击Update Plugins。
同样,您也可以手动更新您的插件。您可以从开发人员或 WordPress 存储库获取最新的插件版本并通过 FTP 上传。确保您正在覆盖“/wp-content/plugins”目录中的现有插件。
您应该始终获得一个保持最新的插件。根据WPLoop的一份报告,近 50% 的插件在两年内没有更新。这并不意味着插件不能工作,但是一段时间没有更新的插件会存在一些安全漏洞。 为避免这种情况,请在下载插件时查看“最后更新”日期。检查其评级和标签以确保。留意 WordPress 在长时间未更新的插件顶部的警告。
更新您的 WordPress 主题
更新 WordPress 主题与更新 WordPress 或其插件一样简单。在我们学习如何更新主题之前,让我们熟悉如何以正确的方式安装主题。
主题会改变您网站的外观。它还可以伴随独特的功能或条款,具体取决于主题。人们对主题非常轻视,但事实是主题可以帮助您的网站发展。下载错误的主题(未正确验证或更新的主题)会使您的网站处于危险境地。因此,您应该知道如何选择合适的 WordPress 主题。
当前版本的 WordPress 带有四个预安装的主题,它们是:
- 二十九
- 二十 二十
- 二十二十一
- 二二十二
首次登录 WordPress 时,您会看到默认主题,但您可以安装新主题。有两种方法可以在 WordPress 中安装新主题。一种是通过仪表板进行,另一种是上传您自己的主题。
要从 WordPress 安装新主题,请从 WordPress 仪表板转到外观,然后选择主题>添加新主题。使用搜索和筛选选项来查找您正在寻找的主题。
单击预览以查看主题在您的网站上的外观。如果您喜欢,请单击立即安装,主题将添加到您的站点。安装主题后,选择Activate Theme。
在 WordPress 上获得主题的第二种方法是安装它——如果您从其他地方下载了 WordPress 网站的主题并想将它应用到您的 WordPress 网站上,您可以这样做。
为此,请转到外观>主题>添加新>上传主题。
接下来,单击浏览以从您的设备中找到您的主题,然后单击上传。上传主题后,您可以单击激活主题将新主题设置为活动主题。
您从 WordPress 下载的主题也可以更新。与插件一样,我们建议下载定期更新的主题。
您可以使用与插件和软件类似的方式更新您的主题。要在 WordPress 中更新您的主题,请转到仪表板上的更新并选择您的主题。单击更新主题,您的主题将被更新。
管理您的 WordPress 登录
保护您的 WordPress 比您想象的要简单得多。如果您让黑客更难找到您网站中的后门和其他漏洞,您被黑客攻击的可能性就会大大降低。 但是,有些人不注意登录页面。保持您的管理和登录页面安全是 WordPress 安全基础,有一些非常简单的方法可以做到这一点。
- 更改您的 WordPress 登录 URL
- 限制登录尝试
- 添加基本的 HTTP 身份验证
- 锁定 URL 路径
如何更改您的 WordPress 登录 URL
默认情况下,您的 WordPress 网站的登录页面 URL 是“domain.com/wp-admin”。问题是每个熟悉 WordPress 工作原理的人都知道这一点,包括黑客和机器人。如果他们想找到您的登录 URL 来试用您的网站,没有什么能阻止他们。
通过更改您的 WordPress 登录 URL,您可以降低网络犯罪分子找到您的网站的可能性,并保护您自己免受暴力攻击等漏洞的侵害。虽然此解决方案不能完全保证安全,但它可以使您在网站安全方面朝着正确的方向发展。
要更改您的 WordPress 登录 URL,请使用免费的WPS 隐藏登录插件。这个官方 WordPress 插件有一个简单的输入字段——您所要做的就是想出一些独特的东西。
如何限制登录尝试
虽然更改登录 URL 可以减少暴力登录的可能性,但对登录设置限制可以进一步增强安全性。幸运的是,也有一个插件。WordPress 上的免费Cerber Limit Login Attempts插件可以设置有限的登录尝试、锁定持续时间以及 IP 白名单和黑名单。
但是,如果您正在寻找更简单的东西,登录锁定插件可以记录每次失败的登录尝试的 IP 地址和时间戳。如果同一 IP 地址在短时间内超过了登录尝试的限制,则该范围内的所有请求都将禁用登录功能。这也可以使用上面提到的 WPS 隐藏登录插件。
如何添加基本 HTTP 身份验证(htpasswd 保护)
另一种保护 WordPress 登录的方法是添加 HTTP 身份验证,这需要一组单独的用户名和密码才能访问登录页面。这是阻止机器人程序和诈骗者的一种非常有效的方法。有两个平台(HTTP 服务器)可以帮助您使用受密码保护的目录。
阿帕奇
如果您使用的是 cPanel 主机,则可以从控制面板启用受密码保护的目录。但是要手动设置它,您需要创建一个“.htpasswd 文件”。您可以使用“htpasswd 生成器”工具并将文件上传到“wp-admin”文件夹中的目录。它看起来像“home/user/.htpasswd/public_html/wp-admin/htpasswd/”
接下来,使用以下代码创建一个“.htaccess”文件:
AuthName “仅限管理员”
AuthUserFile /home/user/.htpasswds/public_html/wp-admin/htpasswd
授权类型基本
需要用户你的用户名
将此文件上传到您的“/wp-admin/”目录中。请记住更新目录路径和用户名。
一个限制是这会破坏您网站前端的 AJAX (admin-ajax),因此您还需要将以下代码添加到上面的“.htaccess”文件中。
<文件 admin-ajax.php>
订单允许、拒绝
允许所有
满足任何
</文件>
Nginx
运行 Nginx 允许您使用基本的 HTTP 身份验证来限制访问。根据您的主机,您最有可能在网站的仪表板中使用密码保护工具。您可以启用此工具并开始使用。在您的 WordPress 网站上启用 Nginx 后,您的网站将需要身份验证才能访问登录页面。您可以随时更改凭据或禁用该工具。
锁定 URL 路径
最后但并非最不重要的一点是,如果您使用的是 Sucuri 或 Cloudflare 等 WAF(Web 应用程序防火墙),则您有资格锁定 URL 路径。这样,只有您的 IP 地址才能访问您的 WordPress 管理员登录 URL。
一般来说,网站所有者,尤其是电子商务或会员网站的所有者,不会使用这种方法,因为他们通常不得不依靠后端操作来完成工作。不过,这仍然是加强网站安全性的好方法。
双因素身份验证
您可能经常听说过“双因素身份验证”一词。让我们看看为什么它是加强网站安全性的最关键和最容易实施的方法之一。
无论您的密码多么安全、强大和复杂,总有可能有人发现它并尝试访问您放置密码的任何内容。双因素身份验证是一个登录的两步过程,您不仅需要密码登录,还需要第二种方式。通常,第二种方式是带有一次性密码 (OTP) 的短信。
毫无疑问,这种方法可以免受暴力攻击——成功破解您密码的攻击者几乎不可能同时拥有您的电话号码和 OTP。
当我们谈论网站的双因素身份验证时,它有两个方面。首先是您在托管服务提供商处注册的帐户和仪表板。如果有人可以访问它,他们可以更改您的密码、更改您的 DNS 记录,甚至删除您的网站。因此,选择可靠的托管服务提供商至关重要。
第二个与您的 WordPress 安装的双因素身份验证有关。您可以使用一些插件,包括Duo 双因素身份验证和Google Authenticator。利用双因素身份验证。它不仅是实现更安全协议的最简单方法之一,而且证明它可以抵御漏洞。
HTTPS——SSL证书
人们通常会忽略安装 SSL 证书和通过 HTTPS 运行网站的重要性。HTTPS(安全超文本传输协议)是一种允许您的浏览器安全连接网站的系统。SSL 是一种在您的网站上放置“锁”的证书,向访问者表明它是安全的。一个流行的误解是,如果您的网站不接受信用卡,就不需要 SSL,但这与事实相去甚远。
安全
HTTPS 主要用于为涉及电子商务的站点提供额外的安全性,但这并不是 HTTPS 至关重要的唯一原因。问问自己,您的登录信息有多重要?那些运行多作者网站的人需要了解,如果您通过 HTTP 运行,那么每次有人登录时,信息都会以纯文本形式发送到服务器。老练的网络罪犯可以轻松破解此文本。
但是,HTTPS 确保浏览器和网站之间的连接安全且完全加密,防止黑客访问您的网站。因此,无论您是在运行博客、基于服务的站点还是电子商务业务,HTTPS-SSL 都将确保一流的安全性,因此不会以纯文本形式传递任何内容。
搜索引擎优化
官方宣布HTTPS 是 Google 的排名因素。由 HTTPS 提供支持的网站——谷歌首选 SSL 来位于 SERP 之上。谷歌建议访问者登陆安全和加密的网站,而不是不安全的网站。虽然它只是您网站排名的一个小因素,但值得利用它,这样您就可以在 SERP(搜索引擎结果页面)中击败竞争对手。
信任和信誉
GlobalSign进行的一项调查报告称,大约 29% 的访问者确保他们的浏览器中有一个绿色地址栏,其中 77% 的人担心他们的数据在网上冲浪时被滥用或拦截。
当您实施 SSL 安全措施时,您会在地址栏的左角看到一个绿色的挂锁,告诉用户该站点是安全的并且他们的数据受到保护。这增加了网站的可信度,客户或访问者会立即安心,因为他们知道他们在网站上提供的任何信息都是安全的。 如果您没有保护 HTTPS 网站,您应该阅读将网站访问者从 HTTP 重定向到 HTTPS 的指南。
保护您的 wp-config.php
WordPress 安装的主干是 wp-config.php 文件,必须不惜一切代价保护它。此文件是您的登录信息和加密 cookie 中信息的安全凭证的数据库。为保护此文件,您可以采取以下一些措施。
移动 wp-config.php
默认情况下,您的 wp-config.php 文件位于 WordPress 安装的根目录中(/public_html 文件夹)。但是,可以将其移动到非 www 可访问目录以使其更安全。
要移动此文件,请将所有内容复制到另一个文件中,然后将以下代码片段放入您的 wp-config.php 文件中以包含您的其他文件。
<?php
include('/home/user/wp-config.php');
注意:根据您的虚拟主机和设置,目录路径可能会有所不同。
更新 WordPress 安全密钥
WordPress 安全密钥是一组或一组随机变量,用于加密存储在用户 cookie 中的信息。自 WordPress 2.7 以来有四种不同的密钥,它们是 AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY 和 NONCE_KEY。
这些密钥是在您安装 WordPress 时随机生成的。但是,如果您已多次迁移您的网站或从其他人那里购买,最好创建一组新的密钥以获得最大的安全性。您可以在 wp-config.php 文件中找到密钥。
更改权限
通常,WordPress 根目录中的文件被设置为 644,这意味着它们对文件的所有者是可读和可写的,并且对其他所有人都是可读的。WordPress 文档指出 wp-config.php 文件的权限应为 440 到 400,因此同一服务器上的其他网站所有者不会读取它。这可以通过您的 FTP 客户端轻松更改。某些托管平台具有不同的权限,因为网络服务器用户没有写入文件的权限。要确定权限,请联系您的托管服务提供商。
禁用 XML-RPC
根据Sucuri 的说法,在过去几年中,XML-RPC 已成为暴力攻击者的一个大目标。XML-RPC 的隐藏特性之一是允许您使用 system.multicall 方法在单个请求中执行多个方法。这是一项有用的功能,因为它允许应用程序在一个 HTTP 请求中传递多个命令。但是,此功能的一个缺点是它也可能被用于恶意目的。
很少有 WordPress 插件(如 Jetpack)依赖 XML-RPC,但大多数 WordPress 用户甚至不需要它。因此,禁用它对您的网站是有益的。您甚至可以安装 Disable XML-RPC插件来自动禁用它。
隐藏 WordPress 版本
隐藏您的 WordPress 版本的想法听起来似乎没有任何区别,但它不会让人们知道您的站点配置,这在保护您的站点方面可以发挥重要作用。如果您的 WordPress 版本未被隐藏,人们可以看到您是否运行过时的 WordPress 版本,从而允许入侵者进入您的站点。
默认情况下,WordPress 版本在网站源代码的标题中可见。虽然我们建议您首先始终保持 WordPress 更新,这样您就不必担心 WordPress 版本的可见性,您可以通过在 WordPress 主题的 functions.php 文件中使用以下代码来隐藏它。
函数 wp_version_remove_version() {
返回 ”;
}
add_filter('the_generator', 'wp_version_remove_version');
如果操作不当,编辑源代码可能会破坏站点。如果您不愿意这样做,请先咨询开发人员。您还可以下载一个插件来隐藏您的 WordPress 版本。
添加更新的 HTTP 安全标头
您的 HTTP 安全标头通常在服务器级别配置,让浏览器知道在处理您的网站时如何表现。要加强 WordPress 网站的安全性,您可以使用 HTTP 安全标头。尽管有许多 HTTP 安全标头,但以下是通常最重要的标头。
- 内容安全政策
- X-XSS-保护
- 严格运输安全
- X-Frame-选项
- 公钥密码
- X-内容类型
通过启动 Chrome 开发工具并查看网站初始响应中的标头,您可以检查网站上当前处于活动状态的标头。
添加 WordPress 安全插件
虽然插件不是您可以采取的最好的安全措施,但最好的 WordPress 安全插件可以在保护您的网站方面发挥重要作用。一些安全插件被证明是保护您的 WordPress 站点免受威胁和危害的绝佳解决方案。
这里有一些:
- Sucuri 安全
- iThemes 安全
- WordFence 安全
- WP fail2ban
- 安全出版社
数据库安全
关于您网站的所有内容都存储在 WordPress 数据库中。采取措施保护数据库非常重要。有几种方法可以做到这一点。
一、使用巧妙的数据库名称。如果您的站点名为 cheap car covers,则您的数据库很可能会命名为 wp_cheapcarcovers。但是,您可以更改您的数据库名称,以防止黑客通过尝试使用与网站域相似的名称来破解您的数据库。使您的数据库名称尽可能模糊。
二、使用不同的数据库表前缀。WordPress 数据库的默认前缀是“wp_”。您可以将其更改为类似“lbw9_”的内容。使其更安全。
始终使用安全连接
我们怎么强调使用安全连接的重要性都不为过。首先,确保您的 WordPress 主机采取了预防措施,包括提供 SFTP。SFTP(secure file transfer protocol,安全文件传输协议),也称为SSH,是一种用于以更快的路由传输文件的网络协议。它比标准 FTP 更可靠。
其次,您需要确保家中或办公室的路由器设置正确。如果有人在家里或工作场所入侵网络,他们可以访问各种信息,包括有关您的 WordPress 网站的信息。
以下是一些防止这种情况的提示:
- 不要启用远程管理 (VPN)。大多数用户甚至不使用它,因此通过将其关闭,您可以防止您的网络暴露于外界。
- 路由器使用范围内的默认 IP,例如 192.168.1.1。使用唯一的范围,例如 10.9.8.7。
- 在您的 wifi 上启用最高加密级别。
- IP 白名单您的 wifi,因此只有拥有密码和特定 IP 的人才能访问它。
- 保持路由器上的固件更新。
每当您在公共场所(例如学校或网吧)登录 WordPress 网站时,请务必小心,因为这些场所通常不安全。在连接之前检查安全性,例如验证 SSID。
文件和服务器权限
文件和服务器权限对您的 WordPress 安全至关重要,如果这些权限松散,网络犯罪分子可以轻松访问您的网站。也就是说,过于严格的权限会使您的网站无法正常运行,因此了解设置哪些权限很重要。
文件权限
- 如果用户有权读取文件,则授予读取权限。
- 如果用户有权写入文件,则授予写入权限。
- 如果用户有权运行该文件或将其作为脚本执行,则授予执行权限。
- 所有文件都应该是 644 或 640,wp-config.php 除外,它应该是 440 或 400。
目录权限
- 如果用户有权访问文件夹或目录的内容,则授予读取权限。
- 如果用户有权在目录中添加或删除文件,则授予写入权限。
- 如果用户有权访问目录并执行命令,包括从目录中删除数据的权限,则授予执行权限。
- 所有目录都应为 755 或 700。任何目录都不应达到 777。
在仪表板中禁用文件编辑
许多 WordPress 网站有多个管理员和用户,这使得安全性变得更加复杂。一些网站所有者甚至向作者和所有者授予管理访问权限,这是一种不好的做法,也是一种安全威胁。
所有用户都应该有正确的权限,这样他们就不会在网站上造成干扰。一种方法是禁用WordPress 中的外观编辑器。许多用户在 Appearance Editor 上快速编辑某些内容,然后突然出现白屏。建议您在本地编辑文件并通过 FTP 或 SFTP 上传。
如果您的 WordPress 被黑,黑客可能做的第一件事就是尝试通过外观编辑器编辑主题或 PHP 文件,这是他们在您的网站上安装恶意代码的最快方式。
但是,如果此选项在仪表板中甚至不可见,则可用于防止攻击。将以下代码放在 wp-config.php 文件中,以删除所有用户的 edit_themes、edit_plugins 和 edit_files 选项。
定义('DISALLOW_FILE_EDIT',真);
防止盗链
盗链是指您从互联网上获取图像并将其 URL 直接复制到您的网站上,以将其显示在从原始位置提供的网站上。虽然这看起来没什么大不了的,但它属于盗窃行为,可能会花费您很多额外的钱。有多种方法可以防止您网站上的盗链 。
防止 Apache 中的热链接
要防止 Apache 中的热链接,请将以下代码添加到您的 .htaccess 文件中。
重写引擎开启
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
重写规则 \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]
防止 NGINX 中的盗链
将以下代码添加到您的配置文件中以防止 NGINX 中的热链接。
位置 ~ .(gif|png|jpe?g)$ {
valid_referers 没有被阻止 ~.google。~.bing。~.yahoo yourdomain.com *.yourdomain.com;
如果($invalid_referer){
返回 403;
}
}
始终制作 WordPress 备份
尽管上面列出的安全措施可以帮助保护您的网站,但它永远不会是无懈可击的。因此,万一您的网站出现问题,您需要一个备份。一些托管 WordPress 托管服务提供商提供每日备份,但如果您的主机没有为您的站点提供备份,您可以使用服务和插件来自动执行该过程。
WordPress 站点备份服务,包括 VaultPress 和 CodeGuard,通常是最可靠的服务,并且每月收取较低的费用以在云中备份您的网站。 另一方面,有一些插件可以让您通过 FTP 备份您的站点或将其与外部云存储集成,例如 Amazon S4、Google Cloud Storage、Dropbox、Google Drive 等。一些可靠的插件是 Duplicator、WP Time Capsule、BackupBuddy 和 WP BackItUp。
DDoS 防护
DDoS 攻击并不新鲜,但防止这些攻击的措施已经取得了进步。与其他攻击不同,DDoS 攻击不会入侵您的网站,但会导致网站瘫痪数小时或数天。
要保护自己免受 DDoS 攻击,请使用第三方安全服务,例如 Cloudflare 或 Sucuri。如果您经营一家企业,那么您应该投资保费计划,不要冒任何可能危及您业务的风险。
这些安全服务带有高级 DDoS 保护,可用于消除各种 DDoS 攻击,包括针对 UDP 和 ICMP 协议、SYN/ACK、DNS 放大和第 7 层的攻击。这些服务的其他好处是通过将您置于专用代理后面来隐藏您的原始 IP 地址。
关键要点
正如我们在本文中展示的那样,有很多方法可以提高您的 WordPress 网站的安全性。把它们加起来; 使用聪明而强大的密码,保持软件、插件和主题更新,跟踪您的权限,并获得可靠的托管 WordPress 托管,这可以通过保护您的网站并为您采取所有必要措施,使您的工作轻松十倍。对于我们中的许多人来说,网站不仅仅是一个网站——它还是一种收入来源。如果它遭到破坏,它会造成很大的损害,因此花费时间、精力和金钱来实施所提到的安全实践至关重要。