保持 WordPress 网站安全的基本技巧
已发表: 2016-02-19面对现实吧! 没有人喜欢让他/她的网站或社交资料被黑客入侵。 但这里有两种不同的情况。 让我向你解释一切。
获取社交资料被黑意味着个人数据的丢失,最重要的是将其落入坏人之手。 现在,如果您可以恢复帐户,那么只有您或您关闭的帐户会受到影响。
但在另一种情况下,当您的网站被黑客入侵时,您首先会失去您作为在线博主或营销人员创建的真实个人资料,这也会影响您的收入。
我想第一个场景对你来说非常直截了当,但第二个场景很重要。 不用担心,我们将了解 WordPress,我将分享一些技巧以使其完全安全,但我们需要先了解基础知识并进入同一页面。
网站黑客的影响
让我们先从电子邮件列表开始。 每个博主都在建立电子邮件列表,这在读者之间建立了信任,也带来了更多的流量和转化。 现在,一旦您的网站被黑客入侵,那个未知的罪魁祸首就会记下您的列表,并可能发送恶意内容,或者可能是试图向他们出售错误商品的内容(您永远不会这样做)。 很快,ISP 提供商就会知道附加到您的域的电子邮件正在发送垃圾邮件,他们会阻止您。 以后每次发新邮件,都会直接进入垃圾邮件文件夹,没人敢打开。
现在,进入第二种情况,它会影响您博客的收入。 好吧,一旦您在电子邮件订阅者中丢失了真实的个人资料,他们将不再相信您的话,并且将停止购买您一直在推荐的东西并停止计算迄今为止的现金。 此外,如果网站出现故障,那么流量就会下降,这会使收益触底。
最后,你可能会努力从这两个重大损失中恢复过来,而第三个损失将同时发生。 网站被黑客入侵的那一刻,您就开始将关键时间投入到错误的方面。 是的,要找出问题所在,然后尽你所能修复它并尽量减少损失。 现在我想,我不需要提醒你时间对我们所有人来说是多么宝贵。
为了确保安全并使您的网站、努力、收入和时间保持在封闭的正确路径上,您需要了解一个事实。 每个 WordPress 网站都附有这一事实,即 WordPress 是一个开源平台。
即使它不是免费提供的,专业的黑客也可以破解它,但是将其作为开源提供,使他/她的工作变得简单明了。 尽管如此,WordPress 脚本背后的开发人员还是付出了很多努力来保持强大,以免它看起来对坏人来说不是小菜一碟。
您可以采取的强化 WordPress 安装的几个步骤非常简单且看起来很明显,它们充分证明可以保护您的网站免受普通黑客或攻击。 但是,我还将分享一些一流的方法,您可以应用这些方法并最大限度地减少被黑客入侵的机会。
注意– Internet 上的任何一个网站都没有完全受到黑客攻击的保护。 你需要明白这个事实! 但是,如果您加强保护,那么您至少是在要求黑客在某个地方使用他/她的最佳方法和努力。
保护您的 WordPress 网站安全的基本方法
根据韧性,我正在划分方法。 所以,让我们从显而易见的开始。 您也可以称它们为必不可少的。
#1 保持 WordPress 更新
正如我上面所说,WordPress 脚本背后的团队已经意识到安全部门的不利因素,他们非常热衷于让他们的产品保持安全。 为确保这一点,他们一直致力于改进产品并定期发布技术和安全更新。
现在,您有责任在每次发布新版本时更新您的网站。 您可以跳过一个小的技术更新,但如果它是一个安全更新,那么强烈建议您采取措施。 仅供参考,在您做出决定之前,请确保您使用的所有插件都与新发布的版本兼容。
#2 使用强管理员密码
了解过 WordPress 基础知识和仪表板的人都知道,可以通过 /wp-admin 登录页面轻松访问后端部分。 现在,您无法改变这一事实,但您可以做的是使用难以猜测的强密码,甚至更难让软件通过某些算法进行预测(是的,有很多可用于进行此类预测)。 您还需要删除默认管理员用户并创建一个具有唯一名称和强密码的新用户。
当我说“强”时,我的意思是您需要使用小写字母、大写字母、数字和特殊字符的组合来制作密码。 如今,WordPress 本身建议使用一个强密码,该密码是系统生成的,但对于人类来说很难记住。 因此,要么创建自己的强密码并记住,要么使用提供的系统并确保其安全并尝试记住。
#3 删除 WordPress 版本
接下来,每个 WordPress 安装都会展示正在使用的确切版本。 您可以查看尚未隐藏的任何网站上使用的脚本版本。 现在,一旦黑客知道了 WordPress 的版本,那么他/她就很容易开始发布工作了。 另一方面,如果版本没有被确认,那么他/她必须做很多挖掘才能首先找到版本,然后开始攻击它附带的漏洞。
因此,要删除不影响功能的 WordPress 版本,您需要使用名为 Remove Version 的插件或按照 Jeff Starr 在他的博客上分享的说明进行操作。
#4 使用更好、更可靠的主机
如果您选择了一个没有人听说过的主机并且没有提供符合行业标准的优质服务,那么您从一开始就做出了错误的选择。 现在,您需要先对您的网站进行完整备份,包括前端和数据库,然后将其转移到更好、更可靠的主机上。
如果您的预算太低,那么您可以在 Bluehost、iPage、ASmallOrange 等之间进行选择,但如果您的预算允许更进一步,那么您可以选择 DreamHost、InMotion、SiteGround 或您选择的任何其他已知名称。 在后端保持良好的主机可确保您的网站所在服务器的一流安全性,并且还可以提供专门的保护,以防止事情发生。 简而言之,永远不要选择您找不到好评的主机。
#5 始终保持更新的备份
正如我在最后一点中提到的,有必要保留网站更新版本的备份。 这样,即使黑客可以访问您的网站,您也可以从服务器中删除所有内容并使用最新版本的备份刷新网站。
这不是保护网站的一种方式,但它肯定有助于在灾难发生后保持网站的活力。 此外,WordPress 网站存在很多技术问题,在这些情况下,您的网站可能会出现故障。 因此,备份最后一个最佳版本可以帮助您保持更好的状态。
保护 WordPress 的超强方法
接下来,以下是您可以遵循的一流方法,以使 WordPress 网站远离黑客攻击。
#1 关注插件
插件是向网站注入恶意代码的最简单方法,最糟糕的是,如果发生这种情况,那么它将由您的双手完成。 为了避免对您的网站造成任何伤害,您需要检查每个已安装(或即将安装)的插件的评论和支持页面。
没有插件就不能做很多事情,因此,它们就像脚本的大专家,但由于这种副作用,它们也被算作缺点。 Yu 可以阅读 David Lockie 发布的详细报告中的 WordPress 的优缺点。 它是两年前出版的,但他提到的观点仍然存在。
#2 限制登录尝试
有一些插件可以帮助您实现这一目标,这是保护您的网站的一种专业方式。 一种机制,更好地称为蛮力攻击,可以通过网站的每个可能的密码组合运行并最终达到结果。 这很容易工作,当这种方法破解您的密码时,用户甚至不需要看屏幕,因为它是完全自动的。
那么,如何保护您的网站免受蛮力攻击呢? 好吧,这种方法的缺点是它会尝试所有可能的登录凭据。 您可以通过限制登录尝试来利用这一不利因素。 默认情况下,WordPress 允许无限次尝试登录站点。 但是,使用一些插件,您可以限制这些数字并将它们降低到 5 或 10。一旦用户超过限制,限制该用户访问该网站一整天或几个小时。 这样,蛮力攻击将需要更长的努力来进行破解。 你可以查看这个对我来说不错的 Login LockDown 插件。
#3 隐藏登录页面
这是伪装黑客并帮助您的网站保持安全的另一种方法。 如果黑客不是试图入侵服务器,只是想通过 WordPress 的后门(即登录页面)进行入侵,那么您可以通过将登录页面移动到其他地方来让他的工作变得困难。
这可以通过一个简单的插件 Lockdown WP Admin 来实现,它甚至提供在登录页面上放置 HTTP 身份验证。 此外,该插件永远不会影响核心 WordPress 的任何其他登录或安全相关代码,并且仍然可以精确地工作。
#4 使用在经过验证的代码上运行的主题
就像我告诉您选择可靠的服务器并检查插件一样,您需要检查并使用经过验证的主题。 主题是将恶意代码注入核心系统的第二种方式,因此强烈建议您仅使用正版产品并从信誉良好的来源获取它们。 对于免费主题,请始终使用WordPress.org目录,或者您可以从 MyThemeShop、StudioPress、ThemeForest、ElegantThemes 和城里的任何其他主要参与者那里获得付费或免费主题。
#5 设置文件/目录权限
好吧,如果您深入查看服务器端的文件管理器,您会发现一个文件或目录权限系统。 根据所做的设置,这些简单的代码会锁定或保持访问打开。 您需要了解这些并对您的文件和目录进行自定义锁定。 您可以在此处找到有关此内容的详细报道。
最后提示 - “永远不要访问未知网络上的站点。”
这是一个简单的提示,它最终不仅可以保护您的网站,还可以保护笔记本电脑或智能手机上的个人数据。 切勿连接到未使用任何加密的未知连接。 在使用公共 Wi-Fi 的情况下,始终将使用限制在必要的应用程序上,并且永远不要考虑访问您的网站。
交给你
最后,您完全掌握要遵循哪些确切方法来使网站尽可能安全。 我知道,完成所有这些步骤不是一项一天的工作,需要大量的技术知识,但您可以轻松找到专门的指南来帮助自己或在 YouTube 上找到视频。 在未来的未来,我们将尽力为您认为难以遵循的方法提供单独的指南。 在下面的评论部分让我们知道您的想法和反馈。