WordPress是开箱即用的出色,非常安全的平台,当然我们也可以做更多的事情,加强保护您的网站免受恶意入侵。这些安全增强的许多功能都易于实现,但其他的一些则需要安装特定的插件来实现。 在教程中,我们将介绍10种不同的策略来增强WordPress堡垒的防御能力。但是首先,让我们深入探讨网站安全的重要性。 保护WordPress网站至关重要 虽然有很多开源的CMS可用,但我们还是特别推荐WordPress作为你的平台。WordPress不仅是搭建网站的灵活,强大的平台,而且开箱即用也非常安全。这是因为WordPress开发人员关心安全性,并致力于尽可能“强化”核心平台。另外,他们经常发布针对安全性的更新和补丁,这些更新和补丁将自动下载并安装在您的站点上。这意味着您的WordPress网站将具备良好的能力来应对任何新出现的威胁。 当然,没有平台100%安全。黑客们尝试各种可能性,试图找到进入受保护程度最高的网站的方式。而且由于超过30%的网站使用WordPress,自然而然成为黑客最受欢迎的目标之一。 如果恶意软件入侵了您的网站,则可能会造成很大的损失。 例如,他们可以窃取或以其他方式破坏敏感信息,安装恶意软件,根据自己的需要对网站进行更改,甚至完全关闭。这对您和您的用户都是有害的,如果您正在开展业务,则可能意味着客户和收入的损失。 我们应该采取一些步骤来保护WordPress网站,有许多简单,快速的方法可以提高站点的安全性,也可以采用的一些更复杂的技术。 有效保护WordPress网站的10种方法 下面我们将介绍10种策略,以帮助您提升网站安全性并减少遭受破坏的机会。另外,也会为您指出正确的方向,以开始使用每种技术。您不必实施此列表中的所有建议-但为保护站点而采取的步骤越多,遇到灾难的机会就越小。 1.使用优质主机 您可以将您的虚拟主机视为网站在Internet上的街道-这是您的网站“生存”的地方。 就像一个好的学区对您孩子的未来很重要,您网站的基础质量在很多方面都非常重要。 可靠的托管服务提供商会影响您网站的性能,可靠性,可扩展性,甚至在搜索引擎中的排名。最好的主机提供许多有用的功能,出色的支持以及针对您所选平台的量身定制的服务。 虚拟主机也可能对您网站的安全性产生重大影响。选择可靠的托管服务有很多安全好处,包括: 优质的主机将不断更新其服务,软件和工具,以响应最新的威胁并消除潜在的安全漏洞。 Web主机通常提供各种针对性的安全功能,例如SSL / TLS证书和DDoS保护。您还应该访问Web应用程序防火墙(WAF),这将有助于监视和阻止对您的站点的严重威胁。 您的虚拟主机很可能会提供一种备份网站的方法(在某些情况下,甚至是为您执行),因此,如果您遭到黑客攻击,则可以轻松地恢复到稳定的先前版本。 如果您的主机提供可靠的24/7全天候支持,则在遇到安全相关问题时,总会有人为您提供帮助。 此列表应该为您为新站点寻找主机时提供一个良好的起点,即使您正在考虑更改主机。您将要找到一个可以提供所需所有功能的应用程序,并在可靠性和出色的性能方面享有盛誉。 国外的Linode或者Vultr也是我们强烈推荐的服务器托管商;国内我们则首推阿里云、腾讯云等国内顶级云服务器托管商。 2.将站点切换到HTTPS 我们应该将站点切换到安全的超文本传输协议(HTTPS),这是HTTP的更安全的版本。这些是重要的安全概念,需要理解,但即使您以前从未听说过,也很容易掌握。HTTP是在您的网站和任何尝试访问它的浏览器之间传输数据的协议。当访问者单击您的主页时,您的所有内容,媒体和网站代码都会通过此协议发送到访问者的位置。 当然这是必要的,但确实会引入一些潜在的安全问题。恶意人员可能会尝试在传输过程中拦截数据,并将其用于自己的恶意目的。HTTPS解决了这个问题!它的作用与HTTP相同,但是它还在从一个点到另一个点的传输过程中对站点的数据进行加密,因此无法轻松访问它。 最初,HTTPS主要用于处理敏感客户信息(例如信用卡详细信息)的站点。但是,它在所有站点上都变得越来越普遍,并且诸如WordPress和Google之类的大人物一直在推动其广泛实施。 要将网站切换到HTTPS,首先需要SSL/TLS证书。这会向浏览器传达您的网站是合法的,并且其数据已正确加密。您还可以从某些网站(例如Let’s Encrypt)免费获得一个。 参考阅读:免费SSL证书申请及配置教程 3.创建安全登录凭证 这是一个“不设防,Sherlock”的建议,但伙计们, 仔细选择您的登录凭据非常重要。喜欢真的,真的很重要! 为什么?这使得黑客很难进入您的站点。您可能有丰富的经验,为网络上的其他帐户选择强大的用户名和密码-对WordPress网站进行相同的操作很重要。 创建网站时,您可以自主创建登录用户名和密码。用户名将默认为admin,尽管您可以更改(如果需要),也可以更改。但是由于人们可以通过多种方式来了解您的WordPress用户名,因此如果需要,可以坚持使用默认选项。 但是,您的密码至关重要,并且您需要选择一个安全的密码。最近,在如何选择强密码方面出现了一些转变,建议使用一个简单的四字词组,胜过由随机字母,数字和符号组成的经典组合。这种方法已经在某些圈子中流行了一段时间。 如果所有选择密码的话题您都不感兴趣,则建议您使用WordPress自带的密码生成器,因为它会直接在WordPress后端直接生成一个相当复杂的密码(我表示难以接受)。如此复杂的密码,你应该确保将您的凭据记录存放在安全的地方(例如加密的密码管理器),这样您就不会忘记。 如果您已经创建了站点并最初选择了不理想的登录凭据,则仍然可以更改它们。您可以通过以下方式更改用户名:创建一个新用户,为该用户分配管理员角色,并将所有内容归于该用户,然后删除原始帐户。 至于密码,您只需从WordPress管理控制台转到“用户”>“所有用户”,单击您的用户名,然后在“编辑用户”屏幕上输入新密码即可。 4.启用Web应用程序防火墙 您可能对防火墙的概念很熟悉,它是一个有助于阻止各种有害攻击的程序。最有可能的是,您的计算机上装有某种防火墙。Web应用防火墙(WAF)是专门为网站设计的防火墙。它可以保护服务器,特定网站或整个网站组。WordPress网站上的WAF将成为您的网站与网络其余部分之间的障碍。防火墙监视传入的活动,检测攻击,恶意软件和其他有害事件,并阻止任何它认为有风险的事件。 5.实施二步认证身份验证 还有另外一种技术解决方案:二步认证身份验证(也可以通过两步身份验证以及各种其他相似的名称进行)。该术语指的是登录到站点时需要遵循的两步过程。这将可能导致登录比较麻烦,但是在阻止黑客入侵方面有了多重的保障。二步身份验证涉及使用智能手机或其他设备来验证您的登录信息。首先,您将访问WordPress网站,并照常输入您的用户名和密码。然后,唯一的代码将发送到您的移动设备,您需要提供该代码才能完成登录。这使您能够通过显示自己有权访问某些内容(例如特定的手机或平板电脑)来证明自己的身份。 与许多WordPress功能一样,使用专用插件可以轻松添加二步身份验证。二步身份验证是一个不错的选择—它由可靠的开发人员创建,与Google Authenticator兼容,可让您轻松地将此功能添加到您的网站。 另一个选择是Two-Factor插件,该插件以其可靠性而闻名,主要由核心WordPress开发人员构建。与此类别中的任何插件,学习曲线有点陡峭,但它非常安全的。如果您愿意花钱,也可以查看Jetpack的Clef-like高级解决方案。 无论您选择哪种路线,请务必与团队提前计划(如果相关),因为您需要收集他们的电话号码和其他信息才能上手。这样,您的登录页面就已安全并可以使用了。 6.留心添加新的插件和主题(并经常更新) 现成的主题和插件是使用WordPress最好的东西之一。使用这些方便的工具,可以帮助你快速搭建网站,并添加您可以想到的几乎所有功能。 但是,并非所有的插件和主题都是可靠的。 不小心或经验不足的开发人员可能会创建不可靠或不安全的插件。他们可能会使用不良的编码实践,从而使黑客可以轻易利用或不知不觉地干扰关键功能。这一切都意味着您需要非常谨慎地选择要添加到站点中的主题和插件。每个人都应该经过审查,以确保它是一个可靠的选择,不会导致网站或引起问题。有许多要素需要牢记,但是以下建议将帮助您选择高质量的工具: 检查用户的评分和评论,以了解其他人是否对相关插件或主题有很好的体验。 查看插件或主题的最新更新。如果已经超过六个月,那么它可能就没有那么安全了。 一次安装一个新的插件和主题,因此,如果出现任何问题,您将知道原因所在。另外,在添加任何内容之前,请务必备份您的网站。 从值得信赖的资源中获取插件和主题,例如WordPress.org主题和插件市场,ThemeForest和CodeCanyon以及可靠的开发人员网站。 最后,将所需的插件和主题安装到网站后,你的工作应该持续进行。 […]
