srcmini本文概述
你可以采取一些最好的措施来加固和保护WordPress网站以确保安全!
最新的SUCURI报告显示90%的WordPress网站感染了一个或多个漏洞。
我每月在Facebook小组中看到数百个问题/顾虑, 有关网站被黑客入侵/恶意软件感染的Stack Overflow。我并不感到意外。
网站安全与你的内容和SEO一样重要, 因此人们应该尽一切努力确保在线业务的安全。有多种方法可以加强WordPress;但是, 跟随你将学习我的实践想法, 希望对你有所帮助。
WP强化和安全提示
- 去无密码
- 有可靠的备份策略
- 使用WAF /安全性插件
- 使用基于云的安全性
- 修补/保持最新
去无密码
蛮力攻击是不断尝试通过许多用户/密码组合进入WordPress管理的旧技术之一。通过使用无密码, 你不会为黑客留下任何选择来尝试登录。想知道它如何工作?
让我演示给你看。
默认的WordPress登录窗口如下所示:
无密码时, 将无法选择输入用户名和密码。相反, 你将需要使用手机进行身份验证。简单方便。
联科
UNLOQ也有一个WordPress插件, 可让你用手机替换密码。 UNLOQ通过通信使用TLS, 并使用AES-256-CBC算法对数据进行加密。
你最多可以免费使用多达100个具有无限身份验证的用户, 这对于WordPress管理员登录来说已经绰绰有余。
不相信无密码解决方案?
不用担心, 尝试两因素身份验证-比仅常规证书更好。
你可以使用免费解决方案, 例如”两因素”插件, 也可以使用高级解决方案, 例如” iThemes”安全性。
有可靠的备份策略
备份是你的朋友!
如果出现问题, 但没有任何效果, 则将进行备份以进行救援。
以下内容可能会出错。
- 搞砸了配置
- 文件被删除
- 网站被黑
- 你安装了一些插件, 然后站点损坏了
- 更新WordPress /主题/插件后网站损坏
如果你无法修复或需要很长时间才能使在线业务正常运行, 则可以考虑从备份中还原网站。
大部分WP托管平台都提供每日备份, 因此你可以。但是, 如果你使用其他虚拟主机, 则可能需要检查它们提供的备份。
如果你使用的是DIgitalOcean或Linode之类的VPS, 则默认情况下不会启用备份, 并且它们会收取你VPS计划的20%左右。因此, 如果你采用10美元的套餐, 则需要额外支付2美元的备份费用。
相信我;这很值得。在许多情况下, 我别无选择, 只能从备份中还原Geekflare。
如果你托管在类似云的AWS, Google Cloud上, 则必须考虑定期拍摄快照或使用第三方备份工具。如果你使用网络托管进行备份, 那么我看不出有使用备份插件的任何理由, 但是如果你愿意, 这里有一些流行的WordPress免费备份和还原插件。
Updraft Plus
Active安装了超过200万个, 说了很多。 Updraft Plus可让你在类似云的Amazon S3, Google Drive, Dropbox, FTP等中备份你的网站数据。
每当你需要还原时, 只需单击即可。
Blogvault
BlogVault是一个高级插件, 受到超过40万个网站所有者的信任。其中一些功能包括以下内容。
- 365天自动实时备份和存档
- 一键登台站点和恢复
- 用于迁移
- 云备份选项
除了每日备份外, 别无其他。
使用WAF /安全性插件
默认的WordPress安装可能会暴露配置/信息, 并且如果未正确加固可能会受到攻击。有许多与安全性相关的插件可用, 因此请选择所需的插件, 但请确保它涵盖以下内容。
- 更改管理员URL –默认情况下, 可以通过wp-login.php访问WordPress管理员, 全世界都知道。
例如:example.com/wp-login.php
因此, 如果你知道一个站点是基于WordPress构建的, 那么你可以尝试通过添加wp-login.php来访问管理URL, 并在尝试进入该目录时做一些令人讨厌的事情, 等等。更改管理员是一个好主意。从wp-login.php到其他内容的URL。
- 垃圾邮件防护–不要让你的网站充斥垃圾邮件评论和电子邮件。
- 阻止可疑请求–不要受理恶意请求, 不要执行脚本
- 实施安全性HTTP标头–通过在HTTP响应标头中注入必要的参数来防止点击劫持, 安全cookie, XSS攻击等。
让我们看一下顶级安全插件。
Wordfence
Wordfence受到超过三百万个网站的喜爱, 并具有许多功能, 包括以下功能。
- WordPress防火墙
- 封锁功能
- 登录安全
- 安全扫描
- 监控方式
- 兼容IPv6
iThemes安全性
iThemes, 一种高级安全解决方案。它可以帮助你保护网站免受30多种类型的攻击。
配置简单, 并提供全面的安全保护。
屏蔽
Shield a.k.a. WordPress简单防火墙非常棒, 几乎可以为你免费提供所需的一切。
我曾经使用过此插件, 并且喜欢仪表板和全面的功能-值得一试。
使用基于云的安全性
WordPress插件的安全性/防火墙功能不错, 但仍在WordPress中, 当请求到达WordPress时便开始保护。
如果你希望获得更多保护, 则必须考虑使用基于云的安全性。云安全性可以保护和阻止攻击者访问网络边缘。大多数基于云的安全提供程序还为你提供CDN(内容交付网络), 以使你的网站加载速度更快。
一些受欢迎的CDN和安全提供程序是:
JUICE
提供网站安全性和高性能CDN以获得更好的性能和安全性的行业领导者之一。
SUCURI提供双重好处–单一定价的安全性和性能。防御OWASP的十大漏洞, DDoS, WordPress特定威胁, 蛮力攻击等等。
云耀斑
如果不包括Cloudflare, 列表将是不完整的。最受欢迎的CDN和安全提供商之一, 可确保你的网站安全快速。
查看功能比较的计划详细信息-Cloudflare的一些值得一提的功能。
- 全球CDN
- 免费的SSL证书
- HTTP / 2, WebSocket, IPv6支持
- DNSSEC, 缓存清除, 自定义规则
- 评论垃圾邮件, 内容抓取, OWASP WAF, DDoS保护
修补/保持最新
SUCURI表示55%的受感染网站使用的WordPress已过期。
使用旧版本的WordPress, 插件, 主题可能很容易受到攻击, 并且作为最佳实践, 你应注意易受攻击的插件并优先打补丁。你可以订阅WP扫描漏洞数据库以获取电子邮件警报, 因此你知道使用的插件/ WordPress /主题是否易受攻击。
总结
安全性是一个持续的过程, 而不是一次性设置, 请放心。有时, 最好通过优质的解决方案来减轻专家的头痛。如果你可以自己完成上述操作, 那么很好, 否则你可以考虑WP支持和维护服务, 例如WP Buffs。
评论前必须登录!
注册