WordPress 的保護提示。 保護網站的 12 條提示

已發表: 2019-07-11

WordPress 是世界上最受歡迎的 CMS 之一。 超過 18.9% 的互聯網站點都在使用它,安裝量已超過 7650 萬。 不幸的是,這種流行有其缺點。 根據 Sucuri(網站安全與保護)的報告,WordPress 是全球最容易被破解的 CMS。 但是,如果您遵循這方面的最佳實踐並實施本指南中的一些技術,您將意識到可以通過幾個簡單的步驟輕鬆加強對 WordPress 的保護。

你需要什麼

在我們開始之前,請檢查以下內容:

  • WordPress控制面板訪問;
  • 您的託管帳戶訪問權限(可選)。

內容

步驟 1. 維護當前版本的 WordPress;
步驟 2. 使用非標準登錄憑據;
步驟 3. 啟用兩步驗證;
步驟 4. 禁用 PHP 錯誤報告;
第 5 步。不要為 WordPress 使用無效模板;
步驟 6. 掃描 WordPress 中的惡意軟件;
第 7 步。將您的網站轉移到更安全的主機;
步驟 8. 盡可能多地備份您的數據;
步驟 9. 禁用編輯文件選項;
Step 10. 刪除不用的模板和插件;
步驟 11. 使用 .htaccess 來提高 WordPress 的安全性;
步驟 12. 更改標準 WordPress 數據庫前綴以防止 SQL 注入

步驟 1. 維護當前版本的 WordPress

這將是提高 WordPress 安全性的第一步,也是最重要的一步。 如果您需要一個沒有惡意軟件的干淨網站,您需要確保您的 WordPress 版本是最新的。 這個建議可能看起來很簡單,但只有 22% 的 WordPress 安裝是最新版本。

WordPress 在 3.7 版本中實現了自動更新功能,但它僅適用於小型安全更新。 而大型密鑰更新必須手動安裝。

如果您不知道如何更新 WordPress,請查看此內容。

步驟 2. 使用非標準登錄憑據

您在 WordPress 中使用“admin”作為管理員名稱嗎? 如果答案是“是”,那麼您會嚴重降低 WordPress 的安全性並使其更容易入侵您的控制面板。 強烈建議您將管理員的用戶名更改為其他名稱(如果您不確定如何操作,請參閱本教程)或使用不同的數據創建一個新的管理員帳戶。

如果您更喜歡第二個選項,請按照以下步驟操作:

  • 登錄 WordPress 控制面板;
  • 找到“用戶”部分,然後單擊“添加新”按鈕;
  • 創建新用戶並分配管理員權限;
  • 使用您的新數據登錄 WordPress;
  • 返回用戶部分並刪除默認管理員帳戶。

一個好的密碼在 WordPress 安全中起著關鍵作用。 破解由數字、大小寫字母和特殊符號組成的密碼要困難得多。 LastPass 和 1Password 等工具可以幫助您創建和管理複雜的密碼。 此外,如果您在連接到不安全的網絡(例如咖啡店、公共圖書館等)時需要登錄 WordPress 控制面板,請不要忘記使用安全的 VPN 來保護您的登錄信息。

步驟 3. 啟用兩步驗證

兩步驗證為您的授權頁面增加了一層額外的安全性。 確認用戶名後,它會添加您需要完成的另一個步驟才能成功進行身份驗證。 您很可能已經在使用它來訪問您的電子郵件、網上銀行和其他包含機密信息的帳戶。 為什麼不在 WordPress 中也使用它呢?

雖然這看起來很複雜,但在 WordPress 中啟用兩步驗證非常容易。 您需要做的就是安裝一個用於兩步驗證的應用程序並為您的 WordPress 配置它。 您可以在此處找到有關如何在 WordPress 上啟用兩步驗證的更多詳細信息。

步驟 4. 禁用 PHP 錯誤報告

如果您正在開發一個網站並希望確保一切正常運行,PHP 錯誤報告會非常有用。 但是,向所有人顯示錯誤是 WordPress 安全性的嚴重疏忽。

您應該盡快解決此問題。 不用擔心,您不必成為一名程序員即可在 WordPress 上禁用 PHP 錯誤報告。 大多數託管服務提供商在控制面板中提供此選項。 如果沒有,只需將以下行添加到您的 wp-config.php 文件中。 您可以使用 FTP 客戶端或文件管理器來編輯 wp-config.php 文件。

錯誤報告(0);
@ini_set('display_errors', 0);

第 5 步:不要為 WordPress 使用無效模板

請記住,“唯一免費的奶酪在捕鼠器中。” 這同樣適用於無效模板和插件。

互聯網上有數以千計的無效插件和模板。 用戶可以使用不同的文件共享或種子文件免費下載它們。 他們不知道他們中的大多數都感染了惡意軟件或指向黑色搜索引擎優化方法的鏈接。

停止使用無效的插件和模板。 這不僅不道德,而且還會損害您的 WordPress 安全性。 最終,您將向開發人員支付更多費用來清理您的網站。

第 6 步:掃描 WordPress 中的惡意軟件

黑客經常使用模板或插件中的漏洞來感染 WordPress。 因此,更頻繁地查看您的博客非常重要。 有許多編寫良好的插件可用於此目的。 WordFence 從人群中脫穎而出。 它提供了使用指南和自動測試的能力,以及許多其他不同的設置。 您甚至可以通過點擊幾下恢復修改/感染的文件。 它是免費的。 這些事實應該足以讓您立即安裝它。

其他增強 WordPress 安全性的流行插件

  • 防彈安全。 與我們之前談到的 WordFence 不同,BulletProof 不會掃描您的文件,而是為您提供防火牆、數據庫保護等。一個顯著的功能是只需單擊幾下即可配置和安裝插件。
  • 蘇庫里安全。 此插件可保護您免受 DDOS 攻擊,具有黑名單,掃描您的網站以查找惡意軟件,並控制您的防火牆。 如果它發現任何東西,您將通過電子郵件收到通知。 谷歌、諾頓、邁克菲——這個插件包括這些程序的所有黑名單。

第 7 步。將您的網站轉移到更安全的主機

這個建議可能看起來很奇怪,但統計數據顯示,超過 40% 的 WordPress 網站由於託管帳戶中的安全漏洞而被黑客入侵。 這些統計數據應該會鼓勵您將 WordPress 遷移到更安全的託管環境。 選擇新主機時要記住的幾個關鍵事實:

  • 如果是共享主機,請確保您的帳戶與其他用戶隔離,並且不存在被服務器上其他網站感染的風險。
  • 主機具有自動備份功能;
  • 服務器有第三方防火牆和掃描工具。

第 8 步:盡可能多地備份您的數據

即使是最大的網站也每天都被黑客入侵,儘管它們的所有者花費數千美元來提高 WordPress 的安全性。

即使您遵循該領域的最佳實踐並應用了本文中的提示,您仍然需要定期備份您的網站。

有幾種方法可以創建備份,例如您可以手動下載站點文件並導出數據庫,或者使用託管公司提供的工具。 另一種方法是使用 WordPress 插件。 其中最受歡迎的是:

  • 保險櫃出版社;
  • 備份WordPress;
  • 備份衛士。

您甚至可以自動化在 Dropbox 中創建和存儲 WordPress 備份的過程。

步驟 9. 禁用編輯文件選項

您可能知道,WordPress 有一個內置的編輯器,可讓您編輯 PHP 文件。 此功能既有用又可能有害。 如果黑客訪問您的控制面板,他們首先會注意到文件編輯器。 一些 WordPress 用戶更喜歡完全禁用此功能。 可以通過添加以下代碼來編輯 wp-config.php 文件來禁用它:

定義('DISALLOW_FILE_EDIT',真);

這就是在 WordPress 中禁用此功能所需的全部內容。

重要的。 如果您想再次啟用此功能,請使用 FTP 客戶端或文件管理器進行託管,並從 wp-config.php 文件中刪除此代碼。

第 10 步:刪除未使用的模板和插件

在 WordPress 上清理您的網站並刪除所有未使用的模板和插件。 黑客經常使用禁用和過時的模板和插件(甚至是官方的 WordPress 插件)來訪問您的控制面板或將惡意內容下載到您的服務器。 通過刪除您很久以前停止使用(並且可能忘記更新)的插件和模板,您可以降低風險並使您的 WordPress 網站更加安全。

步驟 11. 使用 .htaccess 提高 WordPress 安全性

.htaccess 是正確工作 WordPress 鏈接所必需的文件。 如果 .htaccess 文件中沒有正確的條目,您將得到很多 404。

沒有多少用戶知道 .htaccess 可以用來提高對 WordPress 的保護。 例如,您可以阻止訪問或禁用特定文件夾中的 PHP 執行。

重要的。 在對文件進行任何更改之前,請備份舊的 .htaccess 文件。 為此,您可以使用 FTP 客戶端或文件管理器。

禁用對 WordPress 管理部分的訪問

下面的代碼將允許您僅從某些 IP 訪問 WordPress 的管理部分。

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress 管理員訪問控制”
AuthType 基本

命令拒絕,允許。
否認一切
允許來自 xx.xx.xx.xx.xxx
允許來自 xx.xx.xx.xx.xxx

請注意,“xx.xx.xx.xx.xxx”是您的 IP 地址。 您可以使用本網站查看您當前的 IP 地址。 如果您使用多個連接來管理 WordPress 上的站點,請確保您已寫入其他 IP 地址(根據需要添加任意數量的地址)。 如果您有動態 IP 地址,不建議使用此代碼。

在特定文件夾中禁用 PHP 執行

黑客喜歡將後門腳本上傳到 WordPress 下載文件夾。 默認情況下,此文件夾僅用於存儲媒體文件。 因此,它不應包含任何 PHP 文件。 您可以通過使用以下規則在 /wp-content/uploads/ 中創建一個新的 .htaccess 文件來輕鬆禁用 PHP 執行:

否認一切

wp-config.php 文件的保護

wp-config.php 文件包含 WordPress 配置內核和 MySQL 數據庫詳細信息。 因此,它是 WordPress 中最重要的文件。 因此,它經常成為 WordPress 黑客的主要目標。 但是,您可以使用以下 .htaccess 規則輕鬆保護它:

命令允許,拒絕。
否認一切

第 12 步:更改標準 WordPress 數據庫前綴以防止 SQL 注入

WordPress 數據庫包含並存儲您網站運營所需的所有關鍵信息。 因此,它成為執行自動化代碼以執行 SQL 代碼的黑客和垃圾郵件發送者的另一個目標。 在 WordPress 安裝過程中,很多人都懶得更改標準的 wp_ 數據庫前綴。 根據 WordFence,五分之一的 WordPress 黑客攻擊與 SQL 代碼的實現有關。 由於 wp_ 是標準值之一,因此黑客首先從它開始。 在這個階段,我將簡要考慮保護 WordPress 上的網站免受此類攻擊。

更改現有 WordPress 站點的前綴表

重要的。 安全第一! 在開始之前,請確保您備份了 MySQL 數據庫。

第一部分。 更改 wp-config.php 中的前綴

使用 FTP 客戶端或文件管理器找到您的 wp-config.php 文件並找到帶有 $table_prefix 的行。

您可以添加其他數字、字母或下劃線。 之後,保存更改並繼續下一步。 在本指南中,我將使用 wp_1secure1_ 作為新表前綴。

當您在 wp-config.php 文件中時,找到您的數據庫名稱以了解要更改的名稱。 查看 define('DB_NAME' 部分。

第二部分。 更新所有數據庫表

現在您需要更新數據庫中的所有記錄。 這可以使用 phpMyAdmin 來完成。

找到第一部分中定義的數據庫並登錄。

默認情況下,WordPress 安裝有 12 個表,每個表都應該更新。 但是,這可以通過使用 phpMyAdmin 中的 SQL 分區更快地完成。

手動更改每個表將花費大量時間,因此請使用 SQL 查詢來加快該過程。 以下語法將讓您更新數據庫中的所有表:

將表“wp_commentmeta”重命名為“wp_1secure1_commentmeta”;
將表“wp_comments”重命名為“wp_1secure1_comments”;
將表“wp_links”重命名為“wp_1secure1_links”;
將表“wp_options”重命名為“wp_1secure1_options”;
將表“wp_postmeta”重命名為“wp_1secure1_postmeta”;
將表“wp_posts”重命名為“wp_1secure1_posts”;
將表“wp_terms”重命名為“wp_1secure1_terms”;
將表“wp_termmeta”重命名為“wp_1secure1_termmeta”;
將表“wp_term_relationships”重命名為“wp_1secure1_term_relationships”;
將表“wp_term_taxonomy”重命名為“wp_1secure1_term_taxonomy”;
將表“wp_usermeta”重命名為“wp_1secure1_usermeta”;
將表“wp_users”重命名為“wp_1secure1_users”;

一些 WordPress 模板或插件可能會向數據庫添加額外的表。 如果您的 MySQL 數據庫中有超過 12 個表,請將剩餘的表手動添加到 SQL 查詢中並執行它。

第三部分。 檢查選項和自定義元數據表

根據安裝的插件數量,必須手動更新數據庫中的某些值。 您可以通過對選項和元數據表執行單獨的 SQL 查詢來做到這一點。

對於選項表,使用:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` LIKE `%wp_%`

對於元數據表:

SELECT * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE `%wp_%`

當您收到查詢結果時,只需將 wp_ 中的所有值更新為您新配置的前綴。 在用戶的元數據表中,您需要編輯 meta_key 字段,而對於選項表,您需要更改 option_name 的值。

保護新的 WordPress 安裝

如果您打算安裝新的 WordPress 網站,則不必重新執行此操作。 您可以在安裝過程中輕鬆更改 WordPress 表的前綴。

恭喜! 您已經成功地提高了數據庫的安全性。

結論

儘管 WordPress 是世界上最容易破解的 CMS,但改善其保護並不難。 在本指南中,我為您提供了 12 條提示,以確保 WordPress 安全。

作者簡介:Roy 是一位技術愛好者、雙胞胎的慈父、定制軟件公司的程序、TheHomeDweller.com 貪婪閱讀器的主編和園丁。