• 主頁
  • 文章
  • 指導
  • 如何保護 WordPress 網站,保護 WordPress 網站的分步指南

如何保護 WordPress 網站,保護 WordPress 網站的分步指南

已發表: 2020-09-08

人們傾向於錯誤地認為任何免費和開源的東西都不太安全。 但事實是,WordPress 背後的開源社區非常龐大,並確保讓 WordPress 及時更新所有最新的安全實踐和質量檢查。 您只需要遵循最佳實踐並採取必要的預防措施。 您必須清楚了解如何保護 WordPress 網站以保護您的網站。

讓我們從如何保護 WordPress 網站的分步指南開始,然後您可以繼續閱讀以獲取更多額外提示,以確保網站安全。

如何保護 WordPress 網站的指南

在你開始學習如何保護 WordPress 網站之前,首先要了解為什麼需要它。 與每個與網站相關的活動一樣,安全需要您的時間、精力和資源。 認真對待它並分配所需的資源是完全有益的,因為不這樣做會對您的品牌聲譽和業務增長造成若干損害。

根據一份報告,在 Alexa 排名前 100 萬的 40,000 多個 WordPress 網站中,超過 70% 的 WordPress 安裝容易受到攻擊。

受到攻擊的網站可能會導致錯過商業交易、失去隱私、損失計算機時間,並可能造成嚴重的經濟損失。 考慮一下最近的勒索軟件攻擊,導致許多公司不得不從他們的糾察隊中支付費用才能從黑客那裡取回他們的數據。

這就是為什麼安全措施的主要目的必須是預防而不是反應。 您必須使用正確的工具和實踐,以免惡意軟件和網絡攻擊利用您。

第 1 步:更新您的 WordPress。

WordPress 得到了不斷發展的開發社區的支持,該社區確保不斷提供安全補丁和解決方案來覆蓋已發現的漏洞。 當您定期更新 WordPress 時,您可以獲得這些更新。

對於大多數次要更新,您可以設置 WordPress 設置以啟用自動更新。 確保在新版本發布後立即將您的 WordPress 版本更新到最新版本。

最新版本不僅為您提供更新的安全性; 它們還為您提供最新功能和對現有功能的改進。 WordPress 更新對於網站的順利運行至關重要,對您網站的安全性和穩定性至關重要。

專業提示:WordPress 5.5 已經發布,現在將您的網站更新到最新版本。

第 2 步:更新插件和主題

除了核心 WordPress,您還需要更新您經常使用的所有插件和主題。

您可能正在使用許多第三方插件和主題,其中一些可能維護不善。 嘗試用更好的替代品替換這些插件,以確保定期更新和安全功能。 過時的插件可能帶有您可能不知道的漏洞。 如果您的站點正在運行您當前未使用的任何插件,請將其停用。

每月對所有可用插件進行審核,並選擇僅保留必要的插件。

第 3 步:使用強密碼

在運行 WordPress 站點時,您需要處理多個用戶帳戶,例如暫停帳戶、WordPress 管理員帳戶、FTP 帳戶、數據庫帳戶等。 這些帳戶中的每一個都需要一個電子郵件 ID 和一個強密碼來保護授權使用。

因此,選擇專門為此目的定制的電子郵件地址並使用強密碼。 可能很難記住所有密碼,但這是確保安全的必要措施。 您可以嘗試使用密碼管理器來幫助管理您的所有密碼。

第 4 步:建立適當的訪問級別

當您以團隊的形式運行 WordPress 網站或有各種來賓作者在您的網站上寫作時,請確保為每個用戶分配適當的用戶角色和功能。

了解 WordPress 中可用的角色,並僅針對分配的角色創建用戶帳戶。

第 5 步:選擇安全的託管平台

這可能是 WordPress 安全性中最重要的部分。 一個好的託管合作夥伴應該能夠提供適當的安全措施,以避免任何數據洩露和網絡攻擊。 以下是一個好的託管平台的一些品質,您在選擇一個時應該檢查它。

  • 持續網絡監控功能以檢測任何可疑活動。
  • 阻止 DDOS 攻擊的工具
  • 在停電或持續網絡攻擊的情況下提供備用服務器。
  • 最新的硬件和軟件來修補任何已知的漏洞
  • 適當的災難恢復和應急計劃,以在發生任何事故或事故時保護數據。

共享託管計劃比專用託管服務器風險更大,因為您將與其他客戶共享服務器資源。 這會使您處於易受跨站點污染的狀態,相鄰站點可被用來入侵您的站點。

需要記住的是,除了基本的服務器保護之外,還有一些網絡託管服務提供商提供付費安全插件,例如 Sitelock。

總體而言,為了更好的安全性,請嘗試選擇託管 WordPress 託管計劃。

第 6 步:準備好備份解決方案

始終保持更新的備份以在發生攻擊或重大事故時為您提供幫助。 備份可以更快地恢復您的 WordPress 站點並回滾到正確的狀態。 有許多免費和付費版本​​的 WordPress 插件,可讓您進行備份並將它們安全地存儲在遠程位置。

與在您的主機帳戶上進行的備份相比,存儲在遠程位置要安全得多。 您可以使用任何云存儲服務,例如 Amazon 和 Dropbox。

每天備份您的網站一次並將其設置為自動備份。 您可以根據更新的頻率增加或減少備份頻率。

步驟 7. 使用 WordPress 安全插件

安裝一個好的安全插件,可以幫助您審核和監控您的站點活動。 安全插件還可以幫助您跟踪您的網站與第三方渠道的每次互動,並檢測任何可疑活動或試圖入侵您的網站。

例如,可以使用安全插件在正確的時間監控和阻止登錄嘗試失敗和機器人攻擊等活動。 您還可以使用安全插件執行惡意軟件掃描、文件完整性檢查和更多與安全相關的任務。 對適合您需求的最佳可用安全插件進行一些研究並開始使用它們。

專業提示:您可以使用的一些安全插件是 Sucuri、Wordfence Security、Defender 和 VaultPress。

步驟 8. 啟用 Web 應用程序防火牆

防火牆可幫助您提供防禦系統來阻止任何惡意流量訪問您的站點。 您需要使用兩個級別的防火牆。

  • DNS 級網站防火牆

此防火牆將通過雲代理服務器路由您的 Web 請求,並僅允許合法流量到達您的站點。

  • 應用級防火牆

此防火牆將檢查服務器端的請求,並且只有在發現它是真正的請求時才會讓您的腳本運行。 但是這種類型的防火牆會增加服務器負載。

步驟 9. 切換到 https

Https 站點比普通 HTTP 站點更安全,因為它們只接受基於加密的安全連接。 SSL 套接字層對您的網站和瀏覽器之間的每一次數據傳輸進行加密,使黑客難以訪問您的網站。

私人機構頒發的 SSL 證書起價為每年 80 美元。 您還可以選擇 Let's Encrypt 計劃下提供的免費證書。

如何保護 WordPress 網站的提示

上面討論的都是最基本的東西,你必須注意安全。 以下是一些額外的建議和技巧,可幫助您建立一個安全可靠的網站。

使用自定義用戶 ID。

放棄通常的用戶名 admin 以獲得更個人化且黑客難以猜測的內容。 值得慶幸的是,WordPress 現在要求您從帳戶的自定義用戶名中進行選擇。 但是當您執行一鍵安裝時,默認用戶名設置為 admin,因此您必須安裝 WordPress 以手動設置正確的自定義用戶名。 如果您已經將管理員設置為您的用戶名,請創建一個新的管理員用戶名並刪除舊用戶名。 您可以為此任務使用插件或 phpMyAdmin 頁面。

禁用文件編輯

要禁用 WordPress 中的內置代碼編輯器,您必須更改 wp-config.php 文件。 將“DISALLOW_FILE_EDIT”設置為 true。 也可以通過安全插件強化您的 WordPress 帳戶來啟用此功能。

當不需要從某些目錄運行腳本時,可以安全地在那裡禁用它們。 例如,您可以通過將相關條目添加到 htaccess 文件來禁用 PHP 文件執行

限制登錄嘗試

這可以通過使用安全插件來設置,該插件可以監控來自帳戶的不成功登錄嘗試並將其阻止一段時間。 這有助於防止暴力攻擊。

使用雙重身份驗證使您的登錄更加強大。 雙重身份驗證需要兩步登錄過程,其中除了密碼外,還會向用戶的手機或電子郵件地址發送一次性驗證消息或密碼。 您還應該考慮登錄頁面的安全性。 您的 WordPress 登錄 URL 是最容易受到攻擊的地方之一。

您還可以使用身份驗證器應用程序為每次登錄嘗試提供強大的保護層。

自定義數據庫命名約定。

默認情況下,WordPress 中的數據庫表以 wp_ 前綴開頭,這可以讓黑客對錶名進行猜測。 嘗試將這些前綴更改為更自定義的命名,以提供一些額外的保護

在服務器端級別添加額外的密碼保護,以遏制任何 DOS 攻擊嘗試。

禁用目錄索引和瀏覽。

當黑客可以搜索您的目錄和文件時,他們可能會發現任何漏洞並嘗試利用它。 可以通過修改 htaccess 文件來完成此設置。

禁用 XML-RPC。 XML RPC 是從 WordPress 3.5 添加的,作為優化請求處理的一種方式。 但這可以作為後門,以促進黑客的暴力攻擊。 因此,如果您的站點中沒有使用 XML-RPC,請確保通過修改 htaccess 文件或使用防火牆來禁用它。

閒置一段時間後註銷閒置用戶。

您可以使用非活動註銷插件自動註銷非活動用戶。

將安全問題添加到您的登錄屏幕以增加身份驗證級別。

運行掃描

定期運行惡意軟件掃描,如果發現任何惡意軟件或垃圾文件,請務必清理它們。 修復被黑網站可能是一項棘手的工作。 最好聘請安全專家或經驗豐富的網站管理員來處理它。 如果您想自己動手,請務必做好研究,備份重要文件,然後開始修復您的網站。

選擇具有多層安全性的優質託管公司。

當您運行涉及敏感客戶數據的網站時,您需要投資以確保數據安全。 因此,不要試圖選擇缺乏安全措施的更便宜的託管計劃。 選擇託管平台時,將安全作為首要考慮因素。

從經過驗證的來源獲取您的主題和插件。 免費主題和插件可能聽起來很誘人,但如果沒有適當的維護和支持,這些過時的插件或主題可能會攜帶易受攻擊的代碼塊,從而危及您的網站安全。

此外,隱藏 WordPress 核心文件,如 htaccess 和 wp-config。

包起來

記住保護任何軟件的關鍵原則——限制訪問和設置適當的授權級別。 此外,包含並保護數據庫中的關鍵組件。 確保定期更新您的系統並將備份保存在安全的遠程位置。 並且始終只使用來自受信任來源的插件和主題。

使用強密碼,不要共享您的密碼,限制用戶權限,並定期監控站點活動。 使用安全工具來幫助您監控並採取主動措施來保護您的站點。

最後,請記住報告任何安全問題並尋求技術支持的幫助以進行進一步調查。 不要猶豫聘請專家來處理安全問題。

所以是的,這就是我的全部,我希望您了解如何保護 WordPress 網站。