WordPress 的保护提示。 保护网站的 12 条提示

已发表: 2019-07-11

WordPress 是世界上最受欢迎的 CMS 之一。 超过 18.9% 的互联网站点都在使用它,安装量已超过 7650 万。 不幸的是,这种流行有其缺点。 根据 Sucuri(网站安全与保护)的报告,WordPress 是全球最容易被破解的 CMS。 但是,如果您遵循这方面的最佳实践并实施本指南中的一些技术,您将意识到可以通过几个简单的步骤轻松加强对 WordPress 的保护。

你需要什么

在我们开始之前,请检查以下内容:

  • WordPress控制面板访问;
  • 您的托管帐户访问权限(可选)。

内容

步骤 1. 维护当前版本的 WordPress;
步骤 2. 使用非标准登录凭据;
步骤 3. 启用两步验证;
步骤 4. 禁用 PHP 错误报告;
第 5 步。不要为 WordPress 使用无效模板;
步骤 6. 扫描 WordPress 中的恶意软件;
第 7 步。将您的网站转移到更安全的主机;
步骤 8. 尽可能多地备份您的数据;
步骤 9. 禁用编辑文件选项;
Step 10. 删除不用的模板和插件;
步骤 11. 使用 .htaccess 来提高 WordPress 的安全性;
步骤 12. 更改标准 WordPress 数据库前缀以防止 SQL 注入

步骤 1. 维护当前版本的 WordPress

这将是提高 WordPress 安全性的第一步,也是最重要的一步。 如果您需要一个没有恶意软件的干净网站,您需要确保您的 WordPress 版本是最新的。 这个建议可能看起来很简单,但只有 22% 的 WordPress 安装是最新版本。

WordPress 在 3.7 版本中实现了自动更新功能,但它仅适用于小型安全更新。 而大型密钥更新必须手动安装。

如果您不知道如何更新 WordPress,请查看此内容。

步骤 2. 使用非标准登录凭据

您在 WordPress 中使用“admin”作为管理员名称吗? 如果答案是“是”,那么您会严重降低 WordPress 的安全性并使其更容易入侵您的控制面板。 强烈建议您将管理员的用户名更改为其他名称(如果您不确定如何操作,请参阅本教程)或使用不同的数据创建一个新的管理员帐户。

如果您更喜欢第二个选项,请按照以下步骤操作:

  • 登录 WordPress 控制面板;
  • 找到“用户”部分,然后单击“添加新”按钮;
  • 创建新用户并分配管理员权限;
  • 使用您的新数据登录 WordPress;
  • 返回用户部分并删除默认管理员帐户。

一个好的密码在 WordPress 安全中起着关键作用。 破解由数字、大小写字母和特殊符号组成的密码要困难得多。 LastPass 和 1Password 等工具可以帮助您创建和管理复杂的密码。 此外,如果您在连接到不安全的网络(例如咖啡店、公共图书馆等)时需要登录 WordPress 控制面板,请不要忘记使用安全的 VPN 来保护您的登录信息。

步骤 3. 启用两步验证

两步验证为您的授权页面增加了一层额外的安全性。 确认用户名后,它会添加您需要完成的另一个步骤才能成功进行身份验证。 您很可能已经在使用它来访问您的电子邮件、网上银行和其他包含机密信息的帐户。 为什么不在 WordPress 中也使用它呢?

虽然这看起来很复杂,但在 WordPress 中启用两步验证非常容易。 您需要做的就是安装一个用于两步验证的应用程序并为您的 WordPress 配置它。 您可以在此处找到有关如何在 WordPress 上启用两步验证的更多详细信息。

步骤 4. 禁用 PHP 错误报告

如果您正在开发一个网站并希望确保一切正常运行,PHP 错误报告会非常有用。 但是,向所有人显示错误是 WordPress 安全性的严重疏忽。

您应该尽快解决此问题。 不用担心,您不必成为一名程序员即可在 WordPress 上禁用 PHP 错误报告。 大多数托管服务提供商在控制面板中提供此选项。 如果没有,只需将以下行添加到您的 wp-config.php 文件中。 您可以使用 FTP 客户端或文件管理器来编辑 wp-config.php 文件。

错误报告(0);
@ini_set('display_errors', 0);

第 5 步:不要为 WordPress 使用无效模板

请记住,“唯一免费的奶酪在捕鼠器中。” 这同样适用于无效模板和插件。

互联网上有数以千计的无效插件和模板。 用户可以使用不同的文件共享或种子文件免费下载它们。 他们不知道他们中的大多数都感染了恶意软件或指向黑色搜索引擎优化方法的链接。

停止使用无效的插件和模板。 这不仅不道德,而且还会损害您的 WordPress 安全性。 最终,您将向开发人员支付更多费用来清理您的网站。

第 6 步:扫描 WordPress 中的恶意软件

黑客经常使用模板或插件中的漏洞来感染 WordPress。 因此,更频繁地查看您的博客非常重要。 有许多编写良好的插件可用于此目的。 WordFence 从人群中脱颖而出。 它提供了使用指南和自动测试的能力,以及许多其他不同的设置。 您甚至可以通过点击几下恢复修改/感染的文件。 它是免费的。 这些事实应该足以让您立即安装它。

其他增强 WordPress 安全性的流行插件

  • 防弹安全。 与我们之前讨论过的 WordFence 不同,BulletProof 不会扫描您的文件,而是为您提供防火墙、数据库保护等。一个显着的功能是只需单击几下即可配置和安装插件。
  • 苏库里安全。 此插件可保护您免受 DDOS 攻击,具有黑名单,扫描您的网站以查找恶意软件,并控制您的防火墙。 如果它发现任何东西,您将通过电子邮件收到通知。 谷歌、诺顿、迈克菲——这个插件包括这些程序的所有黑名单。

第 7 步。将您的网站转移到更安全的主机

这个建议可能看起来很奇怪,但统计数据显示,超过 40% 的 WordPress 网站由于托管帐户中的安全漏洞而被黑客入侵。 这些统计数据应该会鼓励您将 WordPress 迁移到更安全的托管环境。 选择新主机时要记住的几个关键事实:

  • 如果是共享主机,请确保您的帐户与其他用户隔离,并且不存在被服务器上其他网站感染的风险。
  • 主机具有自动备份功能;
  • 服务器有第三方防火墙和扫描工具。

第 8 步:尽可能多地备份您的数据

即使是最大的网站也每天都被黑客入侵,尽管它们的所有者花费数千美元来提高 WordPress 的安全性。

即使您遵循该领域的最佳实践并应用了本文中的提示,您仍然需要定期备份您的网站。

有几种方法可以创建备份,例如您可以手动下载站点文件并导出数据库,或者使用托管公司提供的工具。 另一种方法是使用 WordPress 插件。 其中最受欢迎的是:

  • 保险柜出版社;
  • 备份WordPress;
  • 备份卫士。

您甚至可以自动化在 Dropbox 中创建和存储 WordPress 备份的过程。

步骤 9. 禁用编辑文件选项

您可能知道,WordPress 有一个内置的编辑器,可让您编辑 PHP 文件。 此功能既有用又可能有害。 如果黑客访问您的控制面板,他们首先会注意到文件编辑器。 一些 WordPress 用户更喜欢完全禁用此功能。 可以通过添加以下代码来编辑 wp-config.php 文件来禁用它:

定义('DISALLOW_FILE_EDIT',真);

这就是在 WordPress 中禁用此功能所需的全部内容。

重要的。 如果您想再次启用此功能,请使用 FTP 客户端或文件管理器进行托管,并从 wp-config.php 文件中删除此代码。

第 10 步:删除未使用的模板和插件

在 WordPress 上清理您的网站并删除所有未使用的模板和插件。 黑客经常使用禁用和过时的模板和插件(甚至是官方的 WordPress 插件)来访问您的控制面板或将恶意内容下载到您的服务器。 通过删除您很久以前停止使用(并且可能忘记更新)的插件和模板,您可以降低风险并使您的 WordPress 网站更加安全。

步骤 11. 使用 .htaccess 提高 WordPress 安全性

.htaccess 是正确工作 WordPress 链接所必需的文件。 如果 .htaccess 文件中没有正确的条目,您将得到很多 404。

没有多少用户知道 .htaccess 可以用来提高对 WordPress 的保护。 例如,您可以阻止访问或禁用特定文件夹中的 PHP 执行。

重要的。 在对文件进行任何更改之前,请备份旧的 .htaccess 文件。 为此,您可以使用 FTP 客户端或文件管理器。

禁用对 WordPress 管理部分的访问

下面的代码将允许您仅从某些 IP 访问 WordPress 的管理部分。

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress 管理员访问控制”
AuthType 基本

命令拒绝,允许。
否认一切
允许来自 xx.xx.xx.xx.xxx
允许来自 xx.xx.xx.xx.xxx

请注意,“xx.xx.xx.xx.xxx”是您的 IP 地址。 您可以使用本网站查看您当前的 IP 地址。 如果您使用多个连接来管理 WordPress 上的站点,请确保您已写入其他 IP 地址(根据需要添加任意数量的地址)。 如果您有动态 IP 地址,不建议使用此代码。

在特定文件夹中禁用 PHP 执行

黑客喜欢将后门脚本上传到 WordPress 下载文件夹。 默认情况下,此文件夹仅用于存储媒体文件。 因此,它不应包含任何 PHP 文件。 您可以通过使用以下规则在 /wp-content/uploads/ 中创建一个新的 .htaccess 文件来轻松禁用 PHP 执行:

否认一切

wp-config.php 文件的保护

wp-config.php 文件包含 WordPress 配置内核和 MySQL 数据库详细信息。 因此,它是 WordPress 中最重要的文件。 因此,它经常成为 WordPress 黑客的主要目标。 但是,您可以使用以下 .htaccess 规则轻松保护它:

命令允许,拒绝。
否认一切

第 12 步:更改标准 WordPress 数据库前缀以防止 SQL 注入

WordPress 数据库包含并存储您网站运营所需的所有关键信息。 因此,它成为执行自动化代码以执行 SQL 代码的黑客和垃圾邮件发送者的另一个目标。 在 WordPress 安装过程中,很多人都懒得更改标准的 wp_ 数据库前缀。 根据 WordFence,五分之一的 WordPress 黑客攻击与 SQL 代码的实现有关。 由于 wp_ 是标准值之一,因此黑客首先从它开始。 在这个阶段,我将简要考虑保护 WordPress 上的网站免受此类攻击。

更改现有 WordPress 站点的前缀表

重要的。 安全第一! 在开始之前,请确保您备份了 MySQL 数据库。

第一部分。 更改 wp-config.php 中的前缀

使用 FTP 客户端或文件管理器找到您的 wp-config.php 文件并找到带有 $table_prefix 的行。

您可以添加其他数字、字母或下划线。 之后,保存更改并继续下一步。 在本指南中,我将使用 wp_1secure1_ 作为新表前缀。

当您在 wp-config.php 文件中时,找到您的数据库名称以了解要更改的名称。 查看 define('DB_NAME' 部分。

第二部分。 更新所有数据库表

现在您需要更新数据库中的所有记录。 这可以使用 phpMyAdmin 来完成。

找到第一部分中定义的数据库并登录。

默认情况下,WordPress 安装有 12 个表,每个表都应该更新。 但是,这可以通过使用 phpMyAdmin 中的 SQL 分区更快地完成。

手动更改每个表将花费大量时间,因此请使用 SQL 查询来加快该过程。 以下语法将让您更新数据库中的所有表:

将表“wp_commentmeta”重命名为“wp_1secure1_commentmeta”;
将表“wp_comments”重命名为“wp_1secure1_comments”;
将表“wp_links”重命名为“wp_1secure1_links”;
将表“wp_options”重命名为“wp_1secure1_options”;
将表“wp_postmeta”重命名为“wp_1secure1_postmeta”;
将表“wp_posts”重命名为“wp_1secure1_posts”;
将表“wp_terms”重命名为“wp_1secure1_terms”;
将表“wp_termmeta”重命名为“wp_1secure1_termmeta”;
将表“wp_term_relationships”重命名为“wp_1secure1_term_relationships”;
将表“wp_term_taxonomy”重命名为“wp_1secure1_term_taxonomy”;
将表“wp_usermeta”重命名为“wp_1secure1_usermeta”;
将表“wp_users”重命名为“wp_1secure1_users”;

一些 WordPress 模板或插件可能会向数据库添加额外的表。 如果您的 MySQL 数据库中有超过 12 个表,请将剩余的表手动添加到 SQL 查询中并执行它。

第三部分。 检查选项和自定义元数据表

根据安装的插件数量,必须手动更新数据库中的某些值。 您可以通过对选项和元数据表执行单独的 SQL 查询来做到这一点。

对于选项表,使用:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` LIKE `%wp_%`

对于元数据表:

SELECT * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE `%wp_%`

当您收到查询结果时,只需将 wp_ 中的所有值更新为您新配置的前缀。 在用户的元数据表中,您需要编辑 meta_key 字段,而对于选项表,您需要更改 option_name 的值。

保护新的 WordPress 安装

如果您打算安装新的 WordPress 网站,则不必重新执行此操作。 您可以在安装过程中轻松更改 WordPress 表的前缀。

恭喜! 您已经成功地提高了数据库的安全性。

结论

尽管 WordPress 是世界上最容易破解的 CMS,但改善其保护并不难。 在本指南中,我为您提供了 12 条提示,以确保 WordPress 安全。

作者简介:Roy 是一位技术爱好者、双胞胎的慈父、定制软件公司的程序、TheHomeDweller.com 贪婪阅读器的主编和园丁。