在2018年确保你的WordPress网站的安全:这里有24个简单的技巧

确保WordPress网站的安全

我听到很多网站所有者抱怨WordPress的安全性。其思想是开源脚本容易受到各种攻击。这是事实吗?如果是这样,如何确保WordPress网站的安全??

幸运的是,这基本上是不真实的。事实上,有时情况正好相反。可以,比如说部分地真的。但即便如此,责任也不应该落在WordPress身上。

为什么?因为他们的网站被黑客攻击通常是用户的错。作为网站所有者,你必须承担一些责任。所以关键问题是,是什么如何保护您的网站免受黑客攻击??

今天,我打算讨论一些简单的技巧,可以帮助你保护你的WordPress网站。在实施这些策略并持续进行安全检查之后,你会在确保你的WordPress网站永久安全的路上做得很好。

第(a)部分:通过保护登录页面和防止暴力攻击来保护WordPress网站的安全

每个人都知道标准的WordPress登录页面URL。从这里可以访问网站的后端,这就是为什么人们试图强行闯入的原因。只要添加/wp-login.php/WP管理/在你域名的末尾,你就可以走了。

我推荐的是定制登录页面URL,甚至页面的交互。当我开始保护我的网站时,这是我做的第一件事。

以下是一些保护WordPress网站登录页面安全的建议:

1。设置网站锁定功能并禁止用户

失败的登录尝试的锁定特性可以解决连续暴力尝试的巨大问题。每当有使用重复错误密码的黑客攻击企图时,网站被锁定了,你被告知这个未经授权的活动。

我发现iThemes Security插件是最好的插件之一,我已经用了很长时间了。这个插件在这方面可以提供很多东西。连同30多个其他令人敬畏的安全措施,您可以在插件禁止攻击者的IP地址之前指定一定数量的失败的登录尝试。

2。使用2因素身份验证

在登录页面上引入2因素身份验证(2FA)模块是另一个很好的安全措施。在这种情况下,用户提供两个不同组件的登录细节。网站所有者决定这两个组件是什么。它可以是一个普通的密码,后面跟着一个秘密问题,密码,一组字符,或者更受欢迎,Google Authenticator应用程序,它会给你的电话发送一个密码。这种方式,只有拿着电话的人才能登陆你的网站。

我更喜欢在我的任何网站上部署2FA时使用秘密代码。Google Authenticator插件只需点击几下就可以帮助我完成这个任务。

三。使用您的电子邮件登录

默认情况下,您必须输入用户名才能登录WordPress。使用电子邮件ID而不是用户名是更安全的方法。原因显而易见。用户名很容易预测,而电子邮件ID则不是。也,使用唯一的电子邮件地址创建任何WordPress用户帐户,使其成为登录的有效标识符。

几个安全插件允许您设置登录页面,以便所有用户必须使用他们的电子邮件地址才能登录。

4。重命名您的登录URL来保护您的WordPress网站

更改登录URL是一件容易的事情。默认情况下,WordPress登录页面可以通过wp-login.phpWP管理添加到站点的主URL。

当黑客知道您的登录页面的直接URL时,他们可以试着强行闯入。他们试图用GWDb(猜测工作数据库)登录,即猜测的用户名和密码的数据库;例如用户名:管理员和密码:宝剑……有数百万这样的组合)。

此时,我们已经限制了用户登录尝试并将用户名交换为电子邮件ID。现在我们可以替换登录URL并消除99%的直接暴力攻击。

这个小技巧限制未经授权的实体访问登录页面。只有拥有确切URL的人才能做到这一点。再一次,这个iThemes安全插件可以帮助您更改登录URL。像这样:

  • 变化wp-login.php对独特的事物;例如my_new_login
  • 变化/WP管理/对独特的事物;例如my_new_admin
  • 变化/wp-login.php?动作=寄存器对独特的事物;例如my_new_register

5.调整密码

玩弄你的密码,并定期改变他们,以确保您的WordPress网站。通过添加大写字母和小写字母来提高它们的强度,数字,以及特殊人物。许多人选择长密码短语,因为这些密码短语对于黑客来说几乎不可能预测,但是比一堆随机数字和字母更容易记忆。

最后一道次这是最容易掌握密码的方法之一。它不仅可以为您生成安全的密码,而且可以将其存储在浏览器插件中,这样就省去了记住它们的麻烦。

用lastpass保护WordPress网站

6。自动将空闲用户记录到站点之外

用户在屏幕上打开WordPress站点可能会造成严重的安全威胁。任何路人都可以更改您网站上的信息,更改某人的用户帐户,甚至完全破坏你的网站。您可以通过确保站点在人员空闲一段时间后将他们注销来避免这种情况。

您可以通过使用BulletProof安全性这样的插件来设置它。这个插件允许您为空闲用户设置定制的时间限制,之后,它们将自动注销。

第(b)部分:通过管理仪表板保护WordPress网站

对于黑客来说,网站最有趣的部分是管理仪表板,这确实是最受保护的部分。所以,攻击最强的部分才是真正的挑战。如果完成,它让黑客在道义上获得了胜利,并且能够进行大量的破坏。

以下是确保WordPress网站管理员仪表板安全的方法:

7。保护WP管理目录

这个WP管理目录是WordPress网站的核心。因此,如果站点的这个部分被破坏,然后整个场地就会受到破坏。

防止这种情况的一种可能的方法是,对WP管理目录。有了这样的安全措施,网站所有者可以通过提交两个密码来访问仪表板。一个保护登录页面,另一个保护WordPress管理区域。如果网站用户需要访问某些特定的部分WP管理,你可以把那些零件解锁,其余的都锁上。

可以使用AskApache密码保护插件来保护管理区域的安全。它自动生成HTPASWD文件,加密密码并配置正确的增强安全性的文件权限。

8。使用SSL对数据进行加密

实现SSL(安全套接字层)证书是保护管理面板的一个明智步骤。SSL确保用户浏览器和服务器之间的安全数据传输,使黑客难以破坏连接或欺骗您的信息。

为您的WordPress网站获取SSL证书很简单。您可以从第三方公司购买,或者查看您的托管公司是否免费提供。

让我们加密

我在我的大多数站点上使用“让我们加密免费开源SSL证书”。任何好的托管公司SiteGround提供免费的让我们加密SSL证书及其托管包。

SSL证书还会影响网站的Google排名。谷歌倾向于对SSL较高的站点进行排名比那些没有它的人。这意味着更多的交通。现在谁不想这样??

9。小心添加用户帐户

如果你运行WordPress的博客,或者是一个多作者的博客,然后需要处理访问管理面板的多个用户。这可能使您的网站更容易受到安全威胁。

如果希望确保用户输入的任何密码都是安全的,可以使用Force Strong Passwords之类的插件。这只是一种预防措施,但是它比让几个用户使用弱密码要好。

10。更改管理员用户名

在WordPress安装期间,你永远不应该选择管理员“作为您的主要管理员帐户的用户名。对于黑客来说,这种容易猜测的用户名是容易接近的。他们只需要知道密码,然后你的整个网站就会落入坏人手中。

管理用户名更改

我无法告诉你我浏览过我的网站日志多少次,并找到具有用户名的登录尝试”管理员“.

iThemes Security插件可以通过立即禁止任何试图使用该用户名登录的IP地址来停止这种尝试。

11。监视您的文件

如果您希望增加一些安全性,通过Wordfence等插件监控网站文件的更改,或再次,iThemes Security。

第(c)部分:通过数据库保护WordPress网站

您网站的所有数据和信息都存储在数据库中。照顾好它是至关重要的。这里有一些方法可以使其更加安全:

12。更改WordPress数据库表前缀

如果您曾经安装过WordPress,那么您已经熟悉了WP-WordPress数据库使用的表前缀。我建议你把它改成独一无二的。

使用默认前缀使站点数据库容易受到SQL注入攻击。可以通过更改来防止此类攻击WP-换个说法。例如,你可以做到MYWPWPNE-.

如果您已经用默认前缀安装了WordPress网站,然后您可以使用几个插件来更改它。诸如WP-DBManager或iThemes Security之类的插件可以帮助您只需单击一个按钮即可完成工作。(在对数据库进行任何操作之前,请确保备份了站点)。

13。定期备份以保证WordPress网站的安全

不管你的WordPress网站有多安全,总有改进的余地。但是在一天结束的时候,无论发生什么,将非现场备份保存在某个地方也许是最好的解决办法。

如果你有备份,您可以随时将WordPress网站恢复到工作状态。在这方面有一些插件可以帮助您。例如,这些都是。

如果您正在寻找一个优质解决方案,那么我建议您拱形压力机通过自动,太好了。我设置了它,所以它每周创建备份。如果有什么不好的事情发生,只要点击一下,我就可以轻松地恢复网站。

我知道一些较大的网站每小时都进行备份,但对于大多数组织来说,这完全是多余的。更不用说了,由于每个备份文件占用了驱动器上的空间,所以需要确保在进行新备份之后删除这些备份中的大多数。这就是说,我建议大多数组织每周或每月进行备份。

在备份之上,VaultPress还检查我的网站是否有恶意软件,如果有什么不光彩的事情发生,它会提醒我。

14。为数据库设置强密码

主数据库用户的强密码是必须的,因为WordPress使用该密码访问数据库。

一如既往,使用大写,小写字母,数字,以及密码的特殊字符。密码短语也很棒。我再次推荐LastPass用于随机密码生成和存储。免费的,快速,用于生成强密码的工具是安全密码生成器.

密码

15。监视审计日志

运行WordPress多站点时,或者处理多作者网站,了解用户活动的类型非常重要。您的作者和撰稿人可能正在更改密码,但是有些事情你可能不想发生。例如,显然,主题和小部件的更改只保留给管理员。当您检查审计日志时,您可以确保您的管理员和贡献者不会未经批准而试图更改您的站点上的内容。

审计日志

WP安全审计日志插件提供了此活动的完整列表,连同电子邮件通知和报告。最简单的,审计日志可以帮助您看到写入器登录有问题。但是该插件也可能会泄露来自用户之一的恶意活动。

第(d)部分:用托管来保护WordPress网站

几乎所有的托管公司都声称为WordPress提供了一个优化的环境,但我们仍然可以更进一步:

16。保护wp-config.php文件

这个wp-config.php文件保存有关WordPress安装的重要信息,它是站点根目录中最重要的文件。保护它意味着保护WordPress博客的核心。

这种策略使得黑客很难破坏网站的安全,自从wp-config.php文件变得无法访问。

作为奖励,保护过程非常简单。拿走你的wp-config.php文件并将其移动到比根目录更高的级别。

现在,问题是,如果你把它存放在别的地方,服务器如何访问它?在当前的WordPress架构中,配置文件设置被设置为优先级列表中的最高值。所以,即使它存储在根目录上方的一个文件夹中,WordPress仍然可以看到。

17。禁止文件编辑

如果用户具有管理员访问WordPress仪表板的权限,他们可以编辑属于WordPress安装的任何文件。这包括所有插件和主题。

如果不允许文件编辑,没有人能够修改任何文件——即使黑客获得对WordPress仪表板的管理员访问权限。

为了做到这一点,在wp-config.php文件(在最后):

.(“DISALLOW_FILE_EDIT”),真的);;

18。正确连接服务器

设置站点时,仅通过SFTP或SSH连接服务器。SFTP总是优于传统FTP,因为它具有以下安全特性:当然,不属于FTP。

以这种方式连接服务器可以确保所有文件的安全传输。许多主机提供商提供此服务作为其包的一部分。如果不是,您可以使用以下方法手动完成本教程.

19。仔细设置目录权限

错误的目录权限可能是致命的,尤其是如果您在共享宿主环境中工作。

在这种情况下,更改文件和目录权限是确保网站在主机级别安全的良好措施。将目录权限设置为755“和644“保护整个文件系统——目录,子目录,以及单独的文件。

这可以通过宿主控制面板内的文件管理器手动完成,或者通过终端(与SSH连接)——使用CHMOD命令。

更多,你可以读到正确的WordPress权限方案或者安装iThemes Security插件以检查当前权限设置。

20。禁用目录列表HTAccess

如果您创建了一个新目录作为网站的一部分,并且不添加索引文件存档,您可能会惊讶地发现,访问者可以获得该目录中所有内容的完整目录列表。

例如,如果创建名为数据“,只需输入,就可以看到该目录中的所有内容http://www.example.com/data/在浏览器中。不需要密码或任何东西。

通过在HTAccess文件:

选项所有索引

21。阻止所有热链接

假设您在网上定位一个图像,并希望在您的网站上共享它。首先,你需要得到许可或者为这个形象付费,否则,这样做很可能是非法的。但是如果你获得许可,你可以直接拉出图片的URL,然后用这个URL把照片放到你的帖子里。这里的主要问题是图像显示在您的站点上,但是托管在另一个站点的服务器上。

从这个角度来看,您无法控制照片是否保留在服务器上。但是意识到人们可能会对你的网站这么做也是很重要的。

如果你想保护你的WordPress网站,热链接基本上是另一个人拿你的照片和窃取你的服务器带宽,以显示自己的网站上的图像。最后,您将看到较慢的加载速度和潜在的高服务器成本。

尽管有一些手动技术来防止热链接,最简单的方法是为作业找到安全插件。例如,一体式WP安全和防火墙插件包括用于阻止所有热链接的内置工具。

22。理解,以及保护,抵御DDoS攻击

DDoS攻击是对服务器带宽的常见攻击类型,其中攻击者使用多个程序和系统来重载服务器。虽然这样的攻击不会危害到您的站点文件,如果不解决,它意味着使站点长时间崩溃。通常,只有当DDoS攻击发生在GitHub或Target这样的大公司时,你才会听说。他们由许多人称之为网络恐怖分子的人指挥,所以动机可能只是为了制造大破坏。

这就是说,你不需要成为《财富》500强公司的风险人物。

如果这使你担心,我们建议注册苏鲁里云闪保险费计划。这些解决方案具有Web应用防火墙来分析所使用的带宽,并完全阻止DDoS攻击。

第(e)部分:通过主题和插件保护WordPress网站

主题和插件是任何WordPress网站的基本要素。不幸的是,它们还可能构成严重的安全威胁。让我们来看看我们如何能够以正确的方式保护您的WordPress主题和插件:

23。定期更新

每个好的软件产品都由它的开发人员支持,并且不时地更新。这些更新旨在修复bug,有时还有重要的安全补丁。WordPress以及它的插件,没什么不同。

不更新主题和插件可能意味着麻烦。许多黑客仅仅依赖于这样一个事实,即人们不会费心去更新他们的插件和主题。通常情况下,那些黑客利用已经修复的bug。

所以,如果您使用的是WordPress产品,定期更新。插件,主题,一切都好。好消息是,WordPress会自动为其用户推出更新,因此,您将收到一封电子邮件,通知您仪表板中的更新和修复信息。

至于插件,必须通过插件在你的仪表板上。当一个插件有一个新版本时,它通知您,并提供一个链接进行更新。

更新插件

作为替代,您可以选择托管WordPress托管计划。连同许多其他特性和对安全性的改进,质量管理主机为您的WordPress站点的所有元素提供自动更新。

一些托管托管提供商包括Kinsta,SiteGround,还有飞轮。您可以了解更多关于这里托管的WordPress.

24。删除WordPress版本号

您当前的WordPress版本号很容易找到。它基本上就位于站点的源视图中。您还可以在仪表板的底部看到它(但这在试图保护WordPress网站时并不重要)。

版本号

事情是这样的:如果黑客知道你使用哪个版本的WordPress,对他们来说,定制完美的攻击更容易。

您可以用我上面提到的几乎每个安全插件隐藏您的版本号。

对于更手动的方法(以及从RSS提要中删除版本号,考虑将下列函数添加到function.php文件:

函数wpbeg._._version(){.''';}add_filter('the_.',“wpbeg._._version”;;

关于如何保护WordPress网站的最终想法

如果你是初学者,那需要接受很多东西。我在本文中提到的一切都是朝着正确方向迈出的一步。你越关心WordPress网站的安全,黑客越难破门而入。

如果你对如何保护你的WordPress网站有任何疑问,让我们在评论中知道,我们会回答他们!!

别忘了加入我们的速成课程以加速你的WordPress网站。通过一些简单的修复,您甚至可以减少50-80%的装载时间:

艾哈迈德·艾维斯写的,乔·沃尼蒙特,卡罗尔K