• 主页
  • 文章
  • 指导
  • 如何保护 WordPress 网站,保护 WordPress 网站的分步指南

如何保护 WordPress 网站,保护 WordPress 网站的分步指南

已发表: 2020-09-08

人们倾向于错误地认为任何免费和开源的东西都不太安全。 但事实是,WordPress 背后的开源社区非常庞大,并确保让 WordPress 及时更新所有最新的安全实践和质量检查。 您只需要遵循最佳实践并采取必要的预防措施。 您必须清楚了解如何保护 WordPress 网站以保护您的网站。

让我们从如何保护 WordPress 网站的分步指南开始,然后您可以继续阅读以获取更多额外提示,以确保网站安全。

如何保护 WordPress 网站的指南

在你开始学习如何保护 WordPress 网站之前,首先要了解为什么需要它。 与每个与网站相关的活动一样,安全需要您的时间、精力和资源。 认真对待它并分配所需的资源是完全有益的,因为不这样做会对您的品牌声誉和业务增长造成若干损害。

根据一份报告,在 Alexa 排名前 100 万的 40,000 多个 WordPress 网站中,超过 70% 的 WordPress 安装容易受到攻击。

受到攻击的网站可能会导致错过商业交易、失去隐私、损失计算机时间,并可能造成严重的经济损失。 考虑一下最近的勒索软件攻击,导致许多公司不得不从他们的纠察队中支付费用才能从黑客那里取回他们的数据。

这就是为什么安全措施的主要目的必须是预防而不是反应。 您必须使用正确的工具和实践,以免恶意软件和网络攻击利用您。

第 1 步:更新您的 WordPress。

WordPress 得到了不断发展的开发社区的支持,该社区确保不断提供安全补丁和解决方案来覆盖已发现的漏洞。 当您定期更新 WordPress 时,您可以获得这些更新。

对于大多数次要更新,您可以设置 WordPress 设置以启用自动更新。 确保在新版本发布后立即将您的 WordPress 版本更新到最新版本。

最新版本不仅为您提供更新的安全性; 它们还为您提供最新功能和对现有功能的改进。 WordPress 更新对于网站的顺利运行至关重要,对您网站的安全性和稳定性至关重要。

专业提示:WordPress 5.5 已经发布,现在将您的网站更新到最新版本。

第 2 步:更新插件和主题

除了核心 WordPress,您还需要更新您经常使用的所有插件和主题。

您可能正在使用许多第三方插件和主题,其中一些可能维护不善。 尝试用更好的替代品替换这些插件,以确保定期更新和安全功能。 过时的插件可能带有您可能不知道的漏洞。 如果您的站点正在运行您当前未使用的任何插件,请将其停用。

每月对所有可用插件进行审核,并选择仅保留必要的插件。

第 3 步:使用强密码

在运行 WordPress 站点时,您需要处理多个用户帐户,例如暂停帐户、WordPress 管理员帐户、FTP 帐户、数据库帐户等。 这些帐户中的每一个都需要一个电子邮件 ID 和一个强密码来保护授权使用。

因此,选择专门为此目的定制的电子邮件地址并使用强密码。 可能很难记住所有密码,但这是确保安全的必要措施。 您可以尝试使用密码管理器来帮助管理您的所有密码。

第 4 步:建立适当的访问级别

当您以团队的形式运行 WordPress 网站或有各种来宾作者在您的网站上写作时,请确保为每个用户分配适当的用户角色和功能。

了解 WordPress 中可用的角色,并仅针对分配的角色创建用户帐户。

第 5 步:选择安全的托管平台

这可能是 WordPress 安全性中最重要的部分。 一个好的托管合作伙伴应该能够提供适当的安全措施,以避免任何数据泄露和网络攻击。 以下是一个好的托管平台的一些品质,您在选择一个时应该检查它。

  • 持续网络监控功能以检测任何可疑活动。
  • 阻止 DDOS 攻击的工具
  • 在停电或持续网络攻击的情况下提供备用服务器。
  • 最新的硬件和软件来修补任何已知的漏洞
  • 适当的灾难恢复和应急计划,以在发生任何事故或事故时保护数据。

共享托管计划比专用托管服务器风险更大,因为您将与其他客户共享服务器资源。 这会使您处于易受跨站点污染的状态,相邻站点可被用来入侵您的站点。

需要记住的是,除了基本的服务器保护之外,还有一些网络托管服务提供商提供付费安全插件,例如 Sitelock。

总体而言,为了更好的安全性,请尝试选择托管 WordPress 托管计划。

第 6 步:准备好备份解决方案

始终保持更新的备份以在发生攻击或重大事故时为您提供帮助。 备份可以更快地恢复您的 WordPress 站点并回滚到正确的状态。 有许多免费和付费版本的 WordPress 插件,可让您进行备份并将它们安全地存储在远程位置。

与在您的主机帐户上进行的备份相比,存储在远程位置要安全得多。 您可以使用任何云存储服务,例如 Amazon 和 Dropbox。

每天备份您的网站一次并将其设置为自动备份。 您可以根据更新的频率增加或减少备份频率。

步骤 7. 使用 WordPress 安全插件

安装一个好的安全插件,可以帮助您审核和监控您的站点活动。 安全插件还可以帮助您跟踪您的网站与第三方渠道的每次互动,并检测任何可疑活动或试图入侵您的网站。

例如,可以使用安全插件在正确的时间监控和阻止登录尝试失败和机器人攻击等活动。 您还可以使用安全插件执行恶意软件扫描、文件完整性检查和更多与安全相关的任务。 对适合您需求的最佳可用安全插件进行一些研究并开始使用它们。

专业提示:您可以使用的一些安全插件是 Sucuri、Wordfence Security、Defender 和 VaultPress。

步骤 8. 启用 Web 应用程序防火墙

防火墙可帮助您提供防御系统来阻止任何恶意流量访问您的站点。 您需要使用两个级别的防火墙。

  • DNS 级网站防火墙

此防火墙将通过云代理服务器路由您的 Web 请求,并仅允许合法流量到达您的站点。

  • 应用级防火墙

此防火墙将检查服务器端的请求,并且只有在发现它是真正的请求时才会让您的脚本运行。 但是这种类型的防火墙会增加服务器负载。

步骤 9. 切换到 https

Https 站点比普通 HTTP 站点更安全,因为它们只接受基于加密的安全连接。 SSL 套接字层对您的网站和浏览器之间的每一次数据传输进行加密,使黑客难以访问您的网站。

私人机构颁发的 SSL 证书起价为每年 80 美元。 您还可以选择 Let's Encrypt 计划下提供的免费证书。

如何保护 WordPress 网站的提示

上面讨论的都是最基本的东西,你必须注意安全。 以下是一些额外的建议和技巧,可帮助您建立一个安全可靠的网站。

使用自定义用户 ID。

放弃通常的用户名 admin 以获得更个人化且黑客难以猜测的内容。 值得庆幸的是,WordPress 现在要求您从帐户的自定义用户名中进行选择。 但是当您执行一键安装时,默认用户名设置为 admin,因此您必须安装 WordPress 以手动设置正确的自定义用户名。 如果您已经将管理员设置为您的用户名,请创建一个新的管理员用户名并删除旧用户名。 您可以为此任务使用插件或 phpMyAdmin 页面。

禁用文件编辑

要禁用 WordPress 中的内置代码编辑器,您必须更改 wp-config.php 文件。 将“DISALLOW_FILE_EDIT”设置为 true。 也可以通过安全插件强化您的 WordPress 帐户来启用此功能。

当不需要从某些目录运行脚本时,可以安全地在那里禁用它们。 例如,您可以通过将相关条目添加到 htaccess 文件来禁用 PHP 文件执行

限制登录尝试

这可以通过使用安全插件来设置,该插件可以监控来自帐户的不成功登录尝试并将其阻止一段时间。 这有助于防止暴力攻击。

使用双重身份验证使您的登录更加强大。 双重身份验证需要两步登录过程,其中除了密码外,还会向用户的手机或电子邮件地址发送一次性验证消息或密码。 您还应该考虑登录页面的安全性。 您的 WordPress 登录 URL 是最容易受到攻击的地方之一。

您还可以使用身份验证器应用程序为每次登录尝试提供强大的保护层。

自定义数据库命名约定。

默认情况下,WordPress 中的数据库表以 wp_ 前缀开头,这可以让黑客对表名进行猜测。 尝试将这些前缀更改为更自定义的命名,以提供一些额外的保护

在服务器端级别添加额外的密码保护,以遏制任何 DOS 攻击尝试。

禁用目录索引和浏览。

当黑客可以搜索您的目录和文件时,他们可能会发现任何漏洞并尝试利用它。 可以通过修改 htaccess 文件来完成此设置。

禁用 XML-RPC。 XML RPC 是从 WordPress 3.5 添加的,作为优化请求处理的一种方式。 但这可以作为后门,以促进黑客的暴力攻击。 因此,如果您的站点中没有使用 XML-RPC,请确保通过修改 htaccess 文件或使用防火墙来禁用它。

闲置一段时间后注销闲置用户。

您可以使用非活动注销插件自动注销非活动用户。

将安全问题添加到您的登录屏幕以增加身份验证级别。

运行扫描

定期运行恶意软件扫描,如果发现任何恶意软件或垃圾文件,请务必清理它们。 修复被黑网站可能是一项棘手的工作。 最好聘请安全专家或经验丰富的网站管理员来处理它。 如果您想自己动手,请务必做好研究,备份重要文件,然后开始修复您的网站。

选择具有多层安全性的优质托管公司。

当您运行涉及敏感客户数据的网站时,您需要投资以确保数据安全。 因此,不要试图选择缺乏安全措施的更便宜的托管计划。 选择托管平台时,将安全作为首要考虑因素。

从经过验证的来源获取您的主题和插件。 免费主题和插件可能听起来很诱人,但如果没有适当的维护和支持,这些过时的插件或主题可能会携带易受攻击的代码块,从而危及您的网站安全。

此外,隐藏 WordPress 核心文件,如 htaccess 和 wp-config。

包起来

记住保护任何软件的关键原则——限制访问和设置适当的授权级别。 此外,包含并保护数据库中的关键组件。 确保定期更新您的系统并将备份保存在安全的远程位置。 并且始终只使用来自受信任来源的插件和主题。

使用强密码,不要共享您的密码,限制用户权限,并定期监控站点活动。 使用安全工具来帮助您监控并采取主动措施来保护您的站点。

最后,请记住报告任何安全问题并寻求技术支持的帮助以进行进一步调查。 不要犹豫聘请专家来处理安全问题。

所以是的,这就是我的全部,我希望您了解如何保护 WordPress 网站。