8种快速保护WordPress网站的方法
毫无疑问,当我们去商店买牛奶的时候,我们家的窗户都开着。
回想一下,在支付停车罚单或放下东西的时候,有多少次你的车没有锁好。
可能不止一次,对吧?
我们很自然会忘记管理危险的情况,而把它们放在次要位置。
人性鼓励我们在任何可能的情况下都保持积极的心态,我们喜欢认为大多数人和环境都是值得信任的,不会有任何不愉快的事情发生。
虽然在大多数情况下这是真的,但有时情况对我们不利,当这种情况发生时,采取任何行动都为时已晚。
如果你的家或车因保安失误而被闯入,你将被留下来收拾残局,因为你知道你本可以避免一个非常不幸的情况。
对于WordPress,同样的逻辑也适用,希望你的网站不会被黑客入侵绝对不是最好的做法。
显然,没有人希望自己的网站受到攻击,如果发生这种情况,很可能会造成严重后果;你的网站可能会被搜索引擎列入黑名单,流量可能会大大减少,最后但并非最不重要的是,你可能会失去有价值的客户。
在本文中,您将学习一些可以采取的步骤,以尽量减少任何潜在的漏洞。继续阅读,获取一些关于如何保护网站安全的便捷提示!
WordPress景观
WordPress拥有超过29%的互联网拥有约40000个插件,由来自世界各地的开发人员设计。此外,还有数万个可用主题,您可以自定义网站的外观。
有一种流行的误解,认为WordPress使用起来不安全。然而,事实并非如此,因为WordPress的团队非常努力地防止安全问题。事实是,WordPress中的大多数漏洞都是由非熟练开发人员创建的插件和主题设计不当造成的。
许多人喜欢使用WordPress,因为它的可扩展性允许你根据自己的需要专门定制网站;然而,你应该意识到,由于WordPress非常常用,它是恶意攻击和黑客的常见目标。
黑客类型
WordPress网站上发生的黑客主要有两种类型。
第一种类型是有针对性的黑客故意决定破坏你的网站的攻击。通常情况下,这种情况最有可能发生在流行网站上,例如,黑客或活动家团体可能强烈反对网站的内容,或者可能怀恨在心。
第二种黑客是非目标,一般攻击,不针对任何人。黑客发出自动攻击,能够扫描范围广泛的IP地址,查找特定版本的WordPress、插件或主题上的已知安全问题。一旦发现弱点,就有可能加以利用。
后门攻击可以绕过登录等常规身份验证过程,远程访问站点服务器。一旦有人访问了您的服务器,他们就可以窃取重要数据,包括密码和银行帐户详细信息。
污损是指攻击者故意通过破坏网站的外观来改变其一个或多个页面的外观。部分污损可能会显示黑客的姓名标签,以“炫耀”他们的黑客技能。
如果您的网站被接管,则您的网页可以替换为钓鱼网站,这将试图吸引下一位访客提供有价值的凭证。
恶意软件称为恶意软件可以安装在网站上监视用户或传播更多病毒。
黑客可以通过启动阻断服务攻击,经常“招募”其他网站来帮助他们。
注: 在对网站进行任何更改之前,您应该运行完整备份确保在出现任何问题时可以恢复站点。如果您对进行这些更改感到不舒服,我们建议您聘请一名开发人员来为您实施这些调整。
8个WordPress安全优化提示
现在,您对WordPress安全性有了更多的了解,是时候在您的网站上实施以下预防措施了:
1、安装WordPress安全插件
之前安装安全插件,请确保您研究了配置设置和所有文档。
一个正确设置的插件可以降低很多风险,降低网站被黑客攻击的可能性。
iThemes安全可以通过阻止非法登录尝试来防止暴力攻击;它还善于发现找出弱点的机器人。此外,该插件可以隐藏漏洞并运行系统扫描。
Wordfence安全提供安全扫描,并允许您实施双因素身份验证。另一个重要特性是它可以识别恶意攻击者。
2、不要使用常用密码
你会惊讶于有多少人使用容易猜测的密码,比如qwerty或password。
还应避免使用带有连续字符的密码,因为密码破解软件发现它们很容易识别。
创建安全密码对于增强登录页面的安全性至关重要。为此,请确保使用使用使用字符组合的强密码生成器。
3、更改默认用户名
虽然将WordPress站点的用户名保留为默认的“admin”要容易得多,但这样做会导致严重的安全漏洞。
许多攻击将使用“admin”作为登录名,因为黑客希望网站所有者没有远见修改它。
通过用户>新用户创建一个新用户,然后授予您的新登录管理权限,继续进行这一关键更改。
之后,使用新的管理帐户登录并删除旧的默认“admin”帐户。
注意:幸运的是,许多主机现在避免使用默认用户名“admin”。
4、设置双因素身份验证
为了进一步保护WordPress安装的安全,可以采取的另一个措施是设置双因素身份验证。
即使您已采取步骤使用强密码并修改了管理员用户名。如果您的登录详细信息被泄露,启用2FA将阻止入侵者访问。
5、分配最低特权原则
当允许新用户访问您的站点时,请设置一个新的登录名,该登录名不再具有使其能够执行其工作所需的安全权限。
例如,当某人只需要做一些简单的编辑时,你不会给他们全面的管理权限。
5、关闭文件编辑
备份您的wp配置。php文件,然后通过添加以下文本修改原始文件:
define('DISALLOW\u FILE\u EDIT',true);
通过添加这些有用的几行代码,您可以防止黑客通过WordPress中的外观编辑器对您的站点进行更改。
6、隐藏版本号
WordPress希望通过检查版本号来了解当前有多少网站处于活动状态。然而,这可能会导致问题,因为某些版本的WordPress容易受到恶意攻击。
要从显示中删除版本号,请修改功能。php文件,方法是添加以下代码(请记住先复制一份):
添加\u筛选器('the\u generator','the\u return\u null');
定期更新WordPress、插件和主题
经常检查你的网站是否总是最新的是一件痛苦的事。
通过实现自动更新,您可以放心,每次发布最新版本时,主题和插件都会自动更新。
您可以使用高级自动更新插件,或者将下面的代码添加到您的wp配置中。用于设置自动更新的php文件:
添加过滤器('自动更新主题','返回真');
添加过滤器('auto\u update\u plugin','uuu return\u true');
8、使用最好的主题和插件
永远不要在没有付费的情况下下载高级插件,并且始终确保从信誉良好的网站购买插件。
下载免费高级插件的后果是它们可能感染恶意软件,这意味着如果你安装它们,它们将导致严重的并发症。
在下载插件或主题之前执行一些先决条件检查。查看评论并找出上次更新的时间。
如果插件或主题有一段时间没有更新,那么开发人员可能不再使用它,它将过时。检查与WordPress版本的兼容性也是明智的。
密切关注您已经安装的插件。如果您不再使用它们,请卸载它们。
结论
如果我们不必担心恶意攻击,那么管理网站就会容易得多。然而,在现实世界中,提高网站的安全性应该排在首位。即使你拥有一个小网站,自动黑客仍然是一个值得关注的问题。
从积极的方面来看,通过设置上述几项安全措施并进行定期备份,您可以大大降低网站被黑客攻击的可能性。
您现在采取的加强站点安全性的主动行动将在将来很好地保护您的站点。
