如何提高WordPress的安全性？

本文概述

• 选择主机
• 选择强密码
• 不要使用管理员作为用户名
• 2步登录认证
• 限制登录尝试次数
• 禁用登录提示
• 更改登录页面URL
• 受信任的主题和插件
• 使用SSL
• WordPress安全金钥
• 使用安全的FTP(SFTP)
• 保持wp更新
• 保持卫生
• 禁用引用

WordPress中的安全性是必须的。你的WordPress网站可能遭到黑客入侵, 或可能会出现一些安全问题。 WordPress网站是黑客最喜欢的目标。

没有人能使站点得到完美的保护。这件事是不切实际或不可能实现的。但是至少可以通过应用不同的安全措施来降低风险。通过本文, 你将能够使你的网站保持相对安全。

为了保护你的网站和查看者的数据, 可以采取以下措施。这些步骤不会消除安全风险, 但可以确保将风险降到最低。

• 选择主机
• 强密码
• 不要使用管理员作为用户名
• 2步登录认证
• 限制登录尝试次数
• 禁用登录提示
• 更改登录页面URL
• 受信任的主题和插件
• 使用SSL
• 使用WordPress安全金钥
• 使用安全的FTP
• 保持wp更新
• 保持卫生
• 禁用引用

选择主机

为你的网站选择一个信誉良好且可靠的主机。不要便宜。你的托管公司会极大地影响你的站点安全。

许多主机提供商使用过时的软件。即使过去没有问题, 过时的软件也不能保证将来的安全。

查找以下用于选择主机的功能。

• 攻击监控与预防
• 更新他们的软件
• 应该能够隔离被黑客入侵的站点, 以防止共享服务器上的其他站点。

选择强密码

为安全起见, 请选择一个复杂的密码。选择密码时, 只需遵循三件事(复杂, 冗长和唯一)即可。 2.5版及更高版本具有密码强度指示器, 可帮助你识别密码是否足够牢固。

请记住以下几点：

• 使用新的唯一密码。
• 混合使用大写字母和小写字母, 符号和数字。
• 避免使用与你有关的常见信息, 例如手机号码, 周年纪念日或生日。
• 至少保留10个字符。
• 尝试输入没有任何意义的密码。
• 经常更改密码。

不要使用管理员作为用户名

WordPress将管理员作为默认用户名。作为默认值, 它是最常见的用户名, 因此很容易破解。

当人们开始使用WordPress时, 尤其是第一次使用WordPress时, 他们会坚持使用用户名作为管理员。更改用户名会使黑客更难破解它。

更改用户名：

• 通过单击用户>具有管理特权的新用户来创建新用户。
• 删除以前的管理员用户。
• 删除时, WordPress将询问你”如何处理此用户的内容”, 并且你可以选择删除所有内容或将其分配给新用户。

2步登录认证

两步登录身份验证(也称为2FA)为你的登录页面增加了安全性。它要求只能通过移动消息接收的身份验证码才能登录到你的帐户。

有一些2FA可用的插件。

限制登录尝试次数

通常, 登录页面会受到黑客的攻击。他们可能会多次攻击正确的用户名和密码。尽管他们的尝试可能不会成功, 但是他们进行的尝试次数消耗了大量的服务器内存。因此, 你的网站可能会变慢。在共享服务器上, 这将影响你的站点以及邻近站点。

一种解决方案是限制登录尝试的次数。有一些可用于此的插件, 例如Jetpack。

禁用登录提示

每当你输入错误的密码或用户名时, 都会提示你你的用户名或密码不正确。

对于黑客来说, 这是非常有用的信息。这就是为什么应禁用WordPress网站的登录提示的原因。

更改登录页面URL

黑客通常会在登录页面上进行攻击。如果你对黑客隐藏了登录页面, 则将在很大程度上提高你网站的安全性。

这可以通过使用WPS隐藏登录插件更改登录页面URL来完成。也有一些其他插件可用于此。他们只是拦截页面请求, 并使wp-admin目录和wp-login.php页面无法访问。你必须记住在激活pluign期间设置的新登录页面。

受信任的主题和插件

当不维护或更新插件和主题时, 总是会怀疑它们。在下载插件或主题之前, 请检查其评论和评论, 作者是否响应以及是否免费或付费。

在下载插件或主题之前, 请备份你的网站和主题。

使用SSL

SSL代表安全套接字层。将http转换为https。在包含敏感信息的页面上, 这一点很重要。这是额外的保护层。/p>

它会将你的站点信息加扰为不可读的形式, 因此, 当该信息从你的服务器传输到浏览器时, 它是不可读的格式, 没有任何意义。在浏览器端, 使用私钥使数据再次可读。

WordPress安全金钥

WordPress使用Cookie来验证其用户。这些cookie包含登录信息和身份验证详细信息。密码使用公钥和私钥进行散列。

可以使用WP安全密钥在此cookie周围添加一层。这些是一组随机变量, 可以提高cookie中存储的信息的安全性。

如果重新构造身份验证密钥, 则很容易破解未加密的密码。但是, 使用WP安全密钥进行加密非常困难。

如何添加WP安全密钥

• 打开wp-config.php文件。
• 转到”身份验证唯一密钥和盐”行
• 使用在线自动密钥生成器工具。
• 从在线工具密钥中替换wp-config.php文件中的现有密钥集并保存。

你可以固定时间重复此过程。每当你更改安全密钥时, 用户将从其帐户中注销。

使用安全的FTP(SFTP)

当你对网站进行一些更改或更新信息时, 文件传输协议用于将信息从你的网站传送到主机。

FTP连接增加了截取数据的机会, 而SFTP大大减少了它。

保持wp更新

你网站的最佳安全性是定期进行更新。将所有文件更新到最新版本可提高WordPress网站的安全性。

从3.7版开始, WordPress自动获取更新。但是你的文件, 主题和插件需要通过仪表板或FTP更新。

保持卫生

始终从你的站点中删除未使用的主题和插件, 因为它们很久以来就没有更新, 因此可能会带来一些安全问题。始终保持网站清洁。

禁用引用

引用通告通知你的网站内容已与另一个网页链接。通过引用, 黑客可以攻击你的网站。

因此, 对于新的WordPress网站, 请通过单击设置>讨论禁用此功能。取消选中”允许来自其他博客的链接通知”选项。