如何保护您的 WordPress 网站免受黑客攻击

已发表: 2021-12-30

如何保护我的 WordPress 网站免受黑客攻击? 如果这是您发现自己经常问的问题,那么您并不孤单。 由于 WordPress 平台的普及,WordPress 网站总是面临更高的攻击和黑客风险。 值得庆幸的是,有一些经过验证且值得信赖的方法来保护 WordPress 网站免受黑客攻击。 不,您无需成为 WordPress 专家即可在您的网站上应用它们。

在本文中,我们将与您分享 14 个步骤,您可以采取这些步骤来保护您的 WordPress 网站免受黑客攻击。 让我们开始吧。

如何保护 WordPress 网站免受黑客攻击?

无论您网站的大小或域如何,没有一个网站可以免受黑客的攻击,他们总是在寻找在 Internet 上更广泛地传播其恶意网络的方法。 无论是部署自动化脚本来“抓取”您的 WordPress 网站并检测任何漏洞,还是使用它们来访问您的 WordPress 帐户,您网站的任何部分都不会受到黑客攻击。

WordPress 免受黑客攻击本质上意味着保护您网站的每个部分免受恶意软件、暴力攻击和其他威胁。 我们即将分享的 14 项安全措施提供了坚实的基础,因此您可以做到这一点:

1. 使用安全的 Web 主机

安全的托管服务器和环境是保护 WordPress 网站的关键要素。 确保您的托管公司优先通过定期备份、防火墙保护和恶意软件扫描等服务保护其托管网站免受黑客攻击。

如果您当前托管在共享主机上,请考虑迁移到云主机或托管主机,以提供更强的安全环境保证。

2.使用强密码

强密码可能是保护 WordPress 免受黑客攻击和阻止暴力攻击的最简单措施。 严格避免使用“123456”或“密码”等容易被猜到的密码。 相反,请确保每个密码至少有 10-12 个字符长,并且包含字母、数字和特殊字符的组合。

使用强密码

如果您有很多用户,您可以使用 1Password 或 LastPass 等密码管理工具为每个用户自动生成和存储更强的密码。

3.启用双因素身份验证(2FA)

虽然强大的登录凭据对于阻止暴力攻击总是有效的,但使用双因素身份验证(或 2FA)可以提供额外的登录页面保护层。 这一措施确保即使“恶意”用户可以猜到正确的登录凭据,他们也需要输入正确的验证码,该验证码仅发送到“正版”用户的设备。

两因素身份验证

要实现 2FA,您需要做的就是安装和激活 2FA 插件,例如 Google Authenticator。

4.限制登录尝试

为了成功获得帐户条目,蛮力攻击会反复尝试猜测正确的用户凭据。 默认情况下,WordPress 网站允许无限次数的登录尝试。 但是,这不应阻止您将登录尝试次数限制为 3 或 4 次。

限制登录尝试

您只需安装 CAPTCHA 工具,该工具会在多次登录尝试失败后显示 CAPTCHA 屏幕。 此工具还可以有效地确定“人类”用户或“机器人”是否正在尝试访问登录帐户。

5.更改您的默认用户名“admin

为了便于使用,WordPress 最初会为每个新的 WordPress 帐户分配一个默认管理员。 此管理员在设置 WordPress 网站和创建其他用户的初始阶段很有用。 但是,使用“admin”用户名也存在安全问题。

为了使蛮力攻击更难,将此用户名更改为难以猜测的更独特的用户名。 最好的方法是创建一个新管理员(使用更强大的用户名),然后删除默认的“admin”用户。

6. 保持你的核心、插件、主题更新

大多数 WordPress 漏洞是由过时的 Core WordPress 版本或安装的插件和主题造成的。 黑客不断寻找可以利用的旧软件版本。 对黑客的最佳保护是将您的 WordPress 网站更新到最新版本。

您可以从 WordPress 托管帐户应用定期更新 - 或启用自动更新。 保持网站更新还有一个额外的好处。 大多数 WordPress 主题和插件更新都包含速度和性能增强,可以使您的 WordPress 网站更快、更流畅。

7.定期备份您的网站

虽然严格来说不是一种可以保护 WordPress 免受黑客攻击的安全措施,但完善的备份和恢复策略可以让您最大限度地减少停机时间和收入损失。 如果您运行电子商务网站,备份可确保您不会面临停机或丢失客户记录或交易的风险。

虽然您可以对核心网站文件和数据库进行手动网站备份,但使用 BlogVault 或 BackupBuddy 等 WordPress 备份插件可以节省您的时间,因为它们会自动执行并安排整个备份过程。 如果你

8. 添加 SSL 证书

当您将 SSL 证书添加到您的站点时,您实际上将您的网站从不太受欢迎的 HTTP 协议迁移到了安全 HTTP(或 HTTPS)协议。 HTTPS 会加密在您的网站和用户之间传输的所有数据,以确保他们和您的安全。

HTTPS 和 SSL

如何迁移到 HTTPS? 添加 SSL 证书,可以从您的网络托管公司或使用 SSL 插件(如 Let's Encrypt)获得。

9.禁用文件编辑

使用 WordPress 文件编辑器,黑客可以获得网站控制权并在网站上执行“有害”的 PHP 代码。 当管理员帐户受到威胁时,这可能是一种安全威胁。 最好的解决方案是通过将以下代码添加到 WordPress 系统的wp-config.php文件来禁用文件编辑:

 define( 'DISALLOW_FILE_EDIT', true );

10. 限制站点访问和用户角色

所有用户不受限制的网站访问可能是 WordPress 的主要风险——尤其是对管理员仪表板而言。 好的部分是您现在可以根据用户角色限制对选定网页的访问。 为此,您需要安装“Restrict Content Pro”插件并配置您希望限制用户访问的页面。

11.禁用目录浏览

黑客使用 WordPress 目录浏览功能来查找可能存在漏洞的文件。 此外,此功能可用于复制您的 WordPress 文件或了解有关文件夹结构的更多信息。 最好的解决方案是禁用目录浏览,以免被黑客滥用。 这可以通过在安装文件夹中的.htaccess文件末尾添加以下代码行来完成:

选项 - 索引

12. 禁用 PHP 执行。

就他们而言,黑客可以插入恶意软件代码并使用 PHP 文件执行它们。 您可以通过禁用其 PHP 文件的执行来提高您的 WordPress 站点的安全性。 要禁用 PHP 执行,请打开 WordPress 安装的“uploads”文件夹中的.htaccess文件并添加以下代码:

 <Files *.php> deny from all </Files>

13. 使用 WordPress 安全插件

虽然到目前为止概述的步骤在保护您免受已知威胁方面做得很好,但要跟上黑客及其创新方式的步伐可能很困难。 保护您的网站免受未知或罕见攻击,甚至是多种类型的恶意软件的最有效方法之一是投资一个专用的 WordPress 插件以确保安全。

MalCare 和 Wordfence 等 WordPress 安全插件可以检测到鲜为人知的恶意软件,您可以安排和自动化整个恶意软件扫描过程。 MalCare 甚至具有一键式恶意软件清除过程,因此您不必依赖外部技术支持来清理您的网站。

恶意软件

14.启用WordPress防火墙

如果有另一种简单的方法可以保护 WordPress 网站免受黑客攻击,那就是让他们难以访问您的网站。 防火墙是抵御黑客提出的“可疑”IP 请求的最后一道防线。 它更像是一名保安,允许或阻止人们进入您的家或办公室。

火井

防火墙跟踪“好”和“坏”IP 地址,并自动允许或阻止来自它们的请求。

MalCare 和 Sucuri 等大多数安全插件都有内置防火墙来阻止所有恶意流量。

为什么要保护您的 WordPress 网站免受黑客攻击?

知道如何保护 WordPress 网站免受黑客攻击不再是您以后可以推迟的事情。 仅仅因为黑客影响的不仅仅是您的网络存在或您的 SEO 排名。 成功的恶意软件或蛮力攻击,即使是几个小时,也会严重损害您的收入并破坏您的品牌权威。

根据攻击的类型,WordPress hack 可能导致以下部分或全部:

  • 使用有害的“弹出式”广告彻底破坏您的网站主页
  • 滥用您的 SEO 工作可能会使您的网站因垃圾关键字而获得排名
  • 访问者被重定向到其他销售假冒产品或违禁药品的未经请求的网站
  • 使用真实的企业电子邮件地址向您的客户发送垃圾邮件或“网络钓鱼”电子邮件
  • 数据泄露导致有价值的客户记录、财务交易细节和其他敏感数据丢失

我们希望本文能帮助您提供提示和策略,以便您确切了解如何保护 WordPress 网站免受恶意软件和黑客攻击。

您如何看待我们讨论的 14 项安全措施? 您有什么要添加到此列表中的吗? 让我们在评论中知道。

萨斯兰