每个月甚至每周,您都可能会听到在 WordPress 上检测到并正在修复的安全漏洞。此外,在补丁发布期间,有很多关于 WordPress 网站被黑客攻击并丢失数据的报告。
无数关于 WordPress 网站被黑客攻击的报告的明显原因是 WordPress 用户没有采取必要的措施来保护他们的网站。在本教程中,我将编写一份有关如何保护 WordPress 网站的详细指南。那么,让我们直接开始学习如何保护 WordPress 网站。
A 部分:基本 WordPress 安全措施1-更新 WordPress 版本
每个人都应该遵循 WordPress 安全的基础知识。最明显的安全措施之一是让您的 WordPress 网站更新到最新的可用版本。
每当有新的更新可用时,您都会在 WordPress 管理面板上看到一条消息,要求您更新到最新的可用版本。 WordPress 更新过程非常简单。
保持 WordPress 网站更新可确保您免受 WordPress 核心中报告的漏洞的影响。
2-更新 WordPress 插件
如果您使用 WordPress,那么您肯定会在您的网站上使用大量 WordPress 插件。保持插件更新是绝对必要的,因为插件会将代码注入您的 WordPress 文件中,任何受到损害的插件都可能导致您的网站被黑客攻击。
要更新 WordPress 插件,请登录 WordPress 管理员 > 仪表板 > 更新。在此页面上,您将看到您网站的所有可用更新。
还需要检查插件与 WordPress 网站当前版本的兼容性。
3-更新 WordPress 主题
WordPress 主题是网站前端的组成部分。无论您选择使用免费 WordPress 主题还是高级主题,您都应该检查其更新并尽快应用它们。
4- 设置安全密码和用户名
如果您的密码或用户名很容易被猜到,那么这可能是您的 WordPress 网站上最严重的安全漏洞之一。
值得庆幸的是,WordPress 会自行生成安全且复杂的密码,我建议您使用它们。
至于用户名,只需保留 Admin 或您的真实姓名以外的名称即可。就像密码一样,您可以设置复杂的用户名。
5-减少管理员用户数量
拥有大量具有管理员权限的用户只会意味着您为黑客保留了很多猜测密码并闯入您的 WordPress 网站的选项。
建议保留一个具有管理员权限的用户,并保留其他用户作为作者、编辑、贡献者、订阅者。
6-创建备份
保证 WordPress 网站数据安全的最佳方法是备份 /wp-content 文件夹和数据库。
我写了一份关于如何使用 BackWPup 插件备份 WordPress 网站的有用指南。
B 部分:保护 WordPress 前端7 – 限制登录尝试并阻止暴力攻击
在破解 WordPress 网站登录密码时,暴力攻击非常常见。黑客开发了机器人,可以在 /wp-admin 或 /wp-login.php URL 上不断输入用户名和密码,直到成功登录到您的管理员帐户。
为了阻止此类攻击,明智的做法是使用限制登录尝试插件。
最流行的限制登录尝试插件之一是 WP Limit Login Attempts。
8- 密码保护 WP 管理员和登录
任何人都可以访问您的 WordPress 网站的 /wp-login.php 和 /wp-admin URL。为了保护它们免受暴力和 DDoS 攻击,建议通过 .htaccess 文件对这些 URL 进行密码保护。
有关如何锁定 wp-admin 和 wp-login 的有用指南可以在 WordPress codex 上找到。
9-禁用目录浏览
默认情况下,WordPress 网站启用目录索引,不怀好意的人可以浏览并发现您网站的文件和结构。
目录浏览可以使黑客轻松发现 Web 文件中的漏洞。
要禁用目录浏览,只需在 WordPress 网站的 .htaccess 文件中添加以下行即可。
期权指数
10-在 WordPress 登录页面添加安全问题
添加您自己的问题以及该问题的意外答案是阻止未经授权的用户访问您的网站的最佳方法之一。
为了将安全问题添加到 WordPress 网站的登录页面,您可以安装一个名为 WP 安全问题的插件。只需安装插件并使用您的问题和答案进行配置即可。
11-使用二因素身份验证
多年来,双因素身份验证一直是保护您的 Google、Facebook 和银行帐户的流行措施。
在 WordPress 网站上添加 2FA 也很简单,也是将不需要的人排除在 WordPress 管理员之外的最可靠方法之一。
我们在过去的一篇博客文章中列出了一些最有用的两因素身份验证插件。
12-使用电子邮件作为登录
如果您没有足够的创意来想出一个难以猜测的用户名,那么我建议您使用您的电子邮件地址作为 WordPress 管理员的登录名。
您可以使用电子邮件登录插件开始使用电子邮件作为用户名。猜测带有“@”的用户名对于暴力攻击来说已经足够困难了。
在某些情况下,我不建议使用此安全措施,如果您将电子邮件地址公开或在网站上可见,那么可以更容易猜测用户名。
如果您选择使用此方法,那么我建议您单独保留管理员电子邮件,然后保留公共电子邮件地址。
13-删除“Powered By WordPress”和WordPress版本号
让黑客明显知道您正在使用 WordPress,将使他们更接近发现漏洞。
我建议您从网站前端删除“由 WordPress 提供支持”的提及,并使用元生成器和版本信息删除器从 RSS 源中删除 WordPress 版本号以及网站的源代码。
14. 重命名您的登录 URL
默认情况下,每个 WordPress 网站都有 wp-login 和 wp-admin url 作为登录管理面板的路径。
如果您只是因为登录网址暴露而晚上睡不着觉,那么更改它们的最佳方法是使用 iThemes Security 插件,并将登录网址更改为不易被猜到的内容。
C 部分:保护 WordPress 后端和数据库15 – 在 WordPress 管理员中隐藏编辑器
如果您以管理员用户身份登录 WordPress 后端,则可以在外观下访问编辑器。让我们假设如果有人未经授权访问您的管理面板,这意味着他将有权访问所有主题文件。
要为管理员用户禁用编辑器,只需在 wp-config.php 文件中添加以下行。
// 禁止文件编辑
定义('DISALLOW_FILE_EDIT',true);
16-停止执行 PHP 文件
如果黑客发现漏洞并上传恶意 php 文件并在您的实时网站上执行它,这可能意味着您会丢失整个网站。
阻止在特定 WordPress 文件夹中写入文件是一个好习惯。创建一个空白的 .htaccess 文件,上传到 wp-includes/ 或 /wp-content/uploads/ 等文件夹,并添加以下代码:
123 <文件 * . php >拒绝所有< /文件>
17-在 WordPress 中禁用 XML-RPC
XML-RPC 是 WordPress 网站相互通信的一种方法。 XML-RPC 可用于通过暴力攻击以及 DDoS 攻击来破坏 WordPress 网站。
要禁用 XML-RPC,请在 .htaccess 文件中添加以下代码
123456 # 阻止 WordPress xmlrpc.php 请求<文件xmlrpc 。 php >订单拒绝,允许来自所有允许的拒绝 123.123.123.123 < /文件>
18-自动注销空闲用户
如果您的 WordPress 网站有多个作者、编辑或管理员,那么您应该不断练习从 WordPress 网站注销空闲用户。
您可能会问,为什么需要注销空闲用户?您永远无法确定您网站的用户是否已从其会话中注销。将会话存储在浏览器上可能会使用户面临会话劫持,并且您的网站将很容易被黑客攻击。
您可以使用 BulletProof Security 等安全插件轻松注销空闲用户。
19-更改 WordPress 数据库前缀
默认情况下,WordPress 创建 wp_ 作为其数据库表的前缀。保留默认前缀将使黑客更容易访问您的 WordPress 数据库。
我并不是说更改数据库前缀将使您的数据库完全安全,但这是制作自动化黑客工具和脚本的明确步骤,使猜测变得更加困难。
您可以在此处阅读有关如何更改表前缀的有用指南。
20-定期扫描 WordPress 网站
有时您的网站可能会受到损害,并且在整个网站完成之前您可能看不到任何不熟悉的内容。
要检测任何可能受到损害的内容,最好使用 Sucuri 等插件定期扫描您的网站。
它将扫描并识别您的 WordPress 网站上的任何漏洞,并就如何修复它提出建议。
您可以在此处阅读他们有关恢复被黑 WordPress 网站的文章。
21-为您的数据库设置强密码
正如我建议为 WordPress 仪表板设置强密码一样,WordPress 数据库也是如此。使用特殊字符、数字和大小写字母使密码变得困难。
设置用户名就像设置密码一样困难。更新数据库密码后,请确保对 wp-config.php 文件进行必要的更改。
22-保护wp-admin目录
使 WordPress 管理仪表板更安全地免受暴力攻击的一种流行方法是通过密码保护整个 wp-admin 目录。
这样,任何访问 wp-admin 来登录您的 WordPress 站点的人都会被提示输入密码才能访问该 URL。如果输入正确的密码,用户才能访问 wp-admin,并从那里访问 WP 仪表板。
不建议初学者使用此方法,我们建议您在将其部署到实际站点之前先进行备份或在测试站点上进行练习。
许多托管提供商都提供了有关如何保护 wp-admin 区域的有用指南,例如 InMotion Hosting 提供的指南:http://www.inmotionhosting.com/support/website/wordpress/prevent-unauthorized-wp-admin-wp-login-php -尝试
23-限制 WordPress 登录页面的 IP 地址
如果您不习惯用密码保护 wp-admin 目录,那么另一个强大的安全措施是限制 IP 地址访问您的 WP 登录页面。
您首先需要记下您想要允许访问 WP 登录页面的 IP 地址。之后,您需要将 IP 地址添加到 .htacess 文件中,或者如果您更喜欢使用插件,那么 IP Ban 是限制 IP 的最简单、最好的插件。
24-使用SSL加密数据
每当您看到通过 https 提供服务的网站时,这意味着该网站上有 SSL 证书。
谷歌早在 2015 年就将 HTTPs 作为排名因素,后来推出了 Let's Encrypt,向所有网站免费赠送 SSL 证书。
我建议让您的整个网站提供 HTTPs 内容。这将有两个主要好处,您和您的访问者将与您的网站建立安全、加密的连接,并且您将有更好的机会在 SERP 上排名更高。
要了解如何安装 SSL 证书,您可以在此处阅读 WPExplorer 的朋友提供的有用指南。
D 部分:保护 WordPress Web 主机25。添加实时监控
立即准确地了解您的网站离线的时间将使您更快地采取行动并修复您的网站。
导致 WordPress 网站瘫痪的原因有很多,仅举几例。
1 – 您的网络主机的数据中心出现故障。
2-您的网站上出现了服务器无法处理的峰值
3- 您的网站遭到破坏或被黑客攻击。
无论哪种方式,立即知道都意味着您可以更快恢复。
要恢复被黑的网站,我们建议您监控未经您许可而更改的文件,记下它们并恢复您的 WordPress 网站。更改密码并禁止访问受到威胁的文件。
一些托管提供商内置了 Cloudways 等实时监控工具,除此之外您还可以使用 Pingdom 等服务。
26.保护wp-config.php文件
Wp-config.php 是最重要的 WordPress 文件之一,您应该保护并保留备份。它具有所有必要的详细信息,例如数据库连接和其他规则。
保护 wp-config.php 的最佳方法是通过向 .htaccess 文件添加以下规则来拒绝访问
第12345章_ _ _ php >命令允许,拒绝来自所有< /文件>的拒绝
我们 WPMU DEV 的朋友写了一篇很棒的文章,详细定义了您可以采取哪些措施来保护 wp-config.php。
27. 禁止在 WordPress 仪表板中编辑文件
如果您喜欢版本控制并希望跟踪您的团队在 WordPress 网站上所做的每个更改,那么您应该通过 WordPress 仪表板本身禁用任何类型的编辑。
您需要通过仪表板禁用主题编辑器、文件和主题更新。您可以通过在 wp-config.php 文件中添加以下规则轻松做到这一点。
12 ## 在仪表板中禁用编辑定义( 'DISALLOW_FILE_EDIT' , 真的) ;
28.使用SFTP和SSH访问您的服务器
许多托管提供商都具有 FTP 访问权限。 FTP 不是安全连接,我建议您要求托管提供商提供 SFTP 访问而不是 FTP。
SFTP 连接经过加密,可以在您的网络受到中间人攻击时确保更好的安全性。
在 Linux 驱动的 Web 服务器上,SSH 访问是最安全的连接方式。如果您的托管提供商具有 SSH 访问权限,那么您就处于良好的状态。
29. 设置 WordPress 文件和文件夹的目录权限
任何 WordPress 网站的默认权限应如下所示
文件:644
文件夹:755
您可以要求托管提供商检查并设置文件和文件夹所需的权限,也可以使用 FTP 客户端来设置权限。
无论如何,请避免对任何文件或文件夹拥有 777 文件权限。
30. 禁用 .htaccess 目录列表
访问者和黑客都可以浏览目录,以了解 WordPress 网站上的文件结构和文件。目录浏览可以让任何人找到您拥有的文件,从而使黑客更容易找到漏洞。
要禁用目录列表,请将以下规则添加到 .htaccess 文件。
期权指数
结论:
我建议阅读 WordPress codex 上的 Hardening WordPress 以获取有关 WordPress 安全性的更多详细信息。您还可以阅读 Kinsta 的 WordPress 安全提示,以更深入地了解 WordPress 安全性。
除此之外,我想补充一点,没有必要在一个网站上实现上述所有要点。您可以结合使用一些安全措施来提高 WordPress 的安全性。
如果您有任何疑问,请在下面的评论部分告诉我。
RSS