srcmini本文概述
- 使用强用户名和密码
- 隐藏WordPress登录
- 启用两因素身份验证
- 更改WordPress数据库前缀
- 禁用PHP错误报告
- 保持WordPress最新
- 禁用目录浏览
- 删除WordPress版本号
- 禁用文件编辑
- 执行定期备份
- 停止垃圾邮件和负面SEO
- 使用WAF
- 管理主题和插件
有什么比精心打造的网站更好?一个精心构建的网站, 具有强大的安全性。
请坚持我, 因为我将为你的WordPress网站揭示一些最佳安全实践。它们不仅对初学者友好, 而且如果不是完全免费的话, 这些做法的价格也很高。
在本文末尾, 你将制定一项行动计划, 以保护你的网站免受各种网络威胁。所以, 系好安全带, 开始吧!
你的WordPress网站安全吗?
尽管WordPress被认为是迄今为止最受欢迎的CMS, 但这种声誉也会带来一些后果。 WordPress被Internet上超过35%的网站所使用, 已成为恶意软件攻击的最爱目标。仅在2018年, Sucuri报告称约有23, 000个WordPress网站成为安全漏洞的受害者。
这是否意味着WordPress具有可怕的安全系统?
一点也不!相反, 造成网站安全漏洞的主要原因是用户缺乏安全意识。
作为著名的CMS, WordPress通过定期发布安全补丁和软件更新来发挥作用。尽管如此, 除非你知道如何构成这些升级, 否则它们几乎没有什么区别。
简而言之, 你在保护网站方面起着重要作用。
现在你已经知道自己作为网站管理员的角色和责任, 现在该探讨可以采取哪些措施来提高网站的安全性。查看下面的最佳安全做法, 并尝试在你的网站上实施它们。
使用强用户名和密码
创建强大的登录凭据可能是任何人都可以执行的最简单的安全措施, 但是许多用户仍然没有这样做。信不信由你, 2, 320万个帐户仍使用” 123456″作为密码。同样的问题也适用于用户名, 其中许多用户使用标准用户名, 例如” admin”和” administrator”。
如果你需要有关强密码的帮助, 可以使用许多免费的密码生成器。至于用户名, 你可以在关键字中加入数字和特殊字符, 以使其更具唯一性。
使用弱登录凭据将使你的网站容易受到暴力攻击。这种类型的网络攻击使用试错法来猜测你的登录凭据。因此, 最好避免使用通用关键字作为你的登录信息。
如果你有忘记密码的习惯, 则可以考虑使用LastPass记住并一键使用。至于用户名, 你可以在关键字中加入数字和特殊字符, 以使其更具唯一性。
隐藏WordPress登录
这个简单的技巧可以保护你的WP网站免受攻击者的暴力攻击。使用WPS隐藏免费登录插件将登录URL更改为唯一的内容。
启用两因素身份验证
一旦获得管理员登录凭据的安全, 就可以通过启用两因素身份验证来进一步改善登录过程。此安全过程创建了额外的保护层, 要求用户从身份验证应用程序获取唯一代码。通过在你的网站上实施, 只有具有正确登录凭据和代码的用户才能登录其帐户。
WordPress有很多两因素身份验证插件可供选择。最好的几个包括Google身份验证器, 双重身份验证和双重因素。
更改WordPress数据库前缀
该网站的数据库是SQL注入攻击最喜欢的目标。这些类型的网络攻击迫使数据库执行恶意代码, 从而使黑客可以自由修改或消除其中的数据。由于SQL注入攻击占每月发起的黑客尝试的80%左右, 因此你不应掉以轻心。
使数据库易于受到SQL注入攻击的因素之一是使用wp_默认数据库前缀。使用可预测的数据库, 前缀可以使黑客猜测你的表名并对数据库造成严重破坏。因此, 强烈建议你尽快进行更改。
这是有关如何更改WordPress数据库前缀的详细指南。你也可以尝试更改表前缀插件。
禁用PHP错误报告
PHP错误报告功能可帮助你更快地在PHP文件中定位错误。但是, 它也允许其他人看到你网站的漏洞。因此, 建议你完全禁用此功能。
WordPress默认禁用错误报告功能。如果出于某种原因启用了该功能, 则应通过修改wp-config.php文件来手动将其禁用。根据你的网络托管服务, 一些托管服务提供商还允许你从其控制面板管理此设置。
保持WordPress最新
为了跟上不断增长的网络攻击类型, WordPress会定期发布更新以及最新的安全补丁。这项改进不仅适用于WordPress核心, 还适用于插件和主题。话虽这么说, 使用过时的软件是灾难的根源。
尽管WordPress自动实现次要软件更新, 但你仍然需要手动执行主要更新。因此, 请务必定期在WordPress管理面板的”更新”部分中寻找新的更新, 以避免在你的网站中存在安全漏洞。
还有一个免费的插件Easy Updates Manager, 可用于控制如何更新WordPress核心, 主题和插件。
禁用目录浏览
目录浏览可让你快速访问网站的结构和各个目录。但是, 如果其他人也可以使用它, 它可能会变成一把双刃剑。黑客通常使用它来查找易受攻击的文件, 插件和主题, 然后使用它们来访问你的网站。
如果你将WP网站托管在高级平台上, 则你无需担心, 因为它们将负责这些优化。但是, 如果你是自托管主机, 或者需要手动禁用它, 请查看本文以了解如何禁用WordPress中的目录浏览。
删除WordPress版本号
WordPress会持续发布更新以修补先前版本的安全漏洞。较旧的版本通常存在更多漏洞。因此, 公开发布WordPress版本并不是你的网络安全系统的最佳选择。
默认情况下, 你的WordPress版本在管理面板和页面源的右下角可见。它还出现在网站的RSS, CSS和脚本等不太明显的地方。有一篇很棒的文章提供了有关如何从这些位置删除WordPress版本的分步指南。
禁用文件编辑
WordPress的内置文件编辑器使你可以更轻松地修改插件和主题脚本。尽管如此, 如果此功能落入错误的人手中, 它可能会危害你的网站。因此, 最好完全禁用文件编辑。你可以通过在wp-config.php文件中添加以下内容来实现。
define('DISALLOW_FILE_EDIT', true);执行定期备份
创建备份与保护网站一样重要。在最坏的情况下, 备份可以使你不必从头开始重建站点。
该过程可能看起来很乏味, 但是有许多备份插件(例如VaultPress和BlogVault)可以使它轻松自如。提示, 请使用具有自动备份功能的插件来节省你的时间, 并避免过时的备份阻塞系统。
如果你不喜欢使用太多的插件, 则可以考虑使用iThemes Security Pro, 它可以为你提供更多的服务。
停止垃圾邮件和负面SEO
垃圾邮件无处不在, 没有人喜欢它。
如果你正在运行一个受欢迎的站点并且没有适当的垃圾邮件阻止系统, 那么你每天可能会吸引成千上万的垃圾邮件发送者。过多的垃圾邮件对SEO和用户体验不利。想象一下, 你在博客文章上有数百条不相关的评论。
通过使用CleanTalk反垃圾邮件解决方案拒绝垃圾邮件。
使用WAF
可以使用WAF(Web应用程序防火墙)来保护网站安全的最佳投资之一。它有助于保护你的站点免受OWASP的十大漏洞, 已知和未知的安全漏洞, 恶意代码, DDoS攻击等的影响。
有一些选项– SUCURI, Malcare和Cloudflare。
管理主题和插件
使用WordPress的最大好处之一就是其大量的插件和主题。具有讽刺意味的是, WordPress插件和主题构成了可能使你的网站面临风险的最大漏洞来源。因此, 你应该明智地做出选择, 并认真管理已安装的内容。
防止黑客通过错误的软件访问你的网站的最简单方法是使用具有出色评论和评分的插件和主题。这些都是很好的指标, 它们会告诉你它们维护得很好并且运转正常。此外, 请确保定期检查更新以提高其性能。
包起来
由于全球范围内的网络威胁都不打算很快撤出, 因此保护你的WordPress网站免受潜在危险至关重要。幸运的是, 你可以执行许多简单而有效的安全措施来提高站点的整体安全性。
本文证明, 你不需要大量的预算或高级的技术知识即可执行某些最佳的安全实践。问题是, 你准备接受挑战吗?
评论前必须登录!
注册