广西网站建设-终极WordPress安全指南
为什么网站安全很重要?
广西网站建设被黑客攻击的WordPress网站可能会对您的业务收入和声誉造成严重损害。黑客可以窃取用户信息,密码,安装恶意软件,甚至可以向用户分发恶意软件。
最糟糕的是,您可能会发现自己只是为了重新获得对您网站的访问权而向黑客支付勒索软件。
2016年3月,谷歌报告称,超过5000万网站用户被警告他们访问的网站可能包含恶意软件或窃取信息。
此外,谷歌每周约有20,000个恶意软件网站和大约50,000个网络钓鱼网站。
如果您的网站是商家,那么您需要特别注意您的WordPress安全性。
与企业所有者保护其实体店铺建设的责任类似,作为在线企业所有者,您有责任保护您的企业网站。
保持WordPress更新
WordPress是一个定期维护和更新的开源软件。默认情况下,WordPress会自动安装次要更新。对于主要版本,您需要手动启动更新。
WordPress还附带了数以千计的插件和主题,您可以在您的网站上安装。这些插件和主题由第三方开发人员维护,并定期发布更新。
这些WordPress更新对于WordPress网站的安全性和稳定性至关重要。您需要确保您的WordPress核心,插件和主题是最新的。广西网站建设
强密码和用户权限
最常见的WordPress黑客攻击尝试使用被盗密码。您可以使用对您的网站而言唯一的更强密码来解决这个问题。不仅适用于WordPress管理区域,还适用于FTP帐户,数据库,WordPress主机帐户以及使用您网站域名的自定义电子邮件地址。
许多初学者不喜欢使用强密码,因为他们很难记住。好消息是你不再需要记住密码了。您可以使用密码管理器。请参阅有关如何管理WordPress密码的指南。
另一种降低风险的方法是不让任何人访问您的WordPress管理员帐户,除非您绝对必须这样做。如果您有一个大型团队或访客作者,那么在向WordPress站点添加新用户帐户和作者之前,请确保您了解WordPress中的用户角色和功能。
WordPress托管的作用
您的WordPress托管服务在您的WordPress网站的安全性中扮演着最重要的角色。像Bluehost或Siteground这样的好的共享托管服务提供商采取额外措施来保护他们的服务器免受常见威胁。
以下是一个优秀的网络托管公司如何在后台工作,以保护您的网站和数据。
- 他们不断监视他们的网络是否有可疑活动。
- 所有优秀的托管公司都有适当的工具来防止大规模的DDOS攻击
- 他们使服务器软件和硬件保持最新,以防止黑客利用旧版本中的已知安全漏洞。
- 他们已准备好部署灾难恢复和事故计划,以便在发生重大事故时保护您的数据。
在共享主机方案中,您与许多其他客户共享服务器资源。这可能会导致跨站点污染,黑客可以利用邻近站点攻击您的网站。
使用托管的WordPress托管服务可为您的网站提供更安全的平台。托管WordPress托管公司提供自动备份,自动WordPress更新和更高级的安全配置,以保护您的网站
我们建议使用WPEngine作为我们首选的托管WordPress托管服务提供商。它们也是业内最受欢迎的产品。(请参阅我们的特殊WPEngine优惠券)。
简单步骤中的WordPress安全性(无编码)
我们知道,提高WordPress安全性对于初学者来说可能是一个可怕的想法。特别是如果你不熟练的话。猜猜看 – 你并不孤单。
我们帮助数千名WordPress用户加强了他们的WordPress安全性。
我们将向您展示如何只需点击几下即可提高您的WordPress安全性(无需编码)。
如果你可以点击,你可以这样做!广西网站建设
安装WordPress备份解决方案
备份是您抵御任何WordPress攻击的第一道防线。请记住,没有什么是100%安全的。如果政府网站可以被黑客攻击,那么你的网站也可以被黑客攻击
备份允许您快速恢复您的WordPress网站,以防发生不好的事情。
您可以使用许多免费和付费的WordPress备份插件。在备份时,您需要知道的最重要的事情是您必须定期将全站点备份保存到远程位置(而不是您的主机帐户)。
我们建议将其存储在Amazon,Dropbox或私有云(如Stash)等云服务上。
根据您更新网站的频率,理想的设置可能是每天一次或实时备份。
值得庆幸的是,使用VaultPress或UpdraftPlus等插件可以轻松完成。它们既可靠又最重要的是易于使用(无需编码)。
最好的WordPress安全插件
备份之后,我们需要做的下一件事是建立一个审计和监控系统,跟踪您网站上发生的所有事情。
这包括文件完整性监控,登录尝试失败,恶意软件扫描等。
值得庆幸的是,这可以通过最好的免费WordPress安全插件Sucuri Scanner来完成。
您需要安装并激活免费的Sucuri Security插件。有关详细信息,请参阅有关如何安装WordPress插件的分步指南。
激活后,您需要转到WordPress管理员中的Sucuri菜单。您要求做的第一件事是生成一个免费的API密钥。这可以启用审核日志记录,完整性检查,电子邮件警报和其他重要功能。
接下来,您需要点击设置菜单中的“强化”标签。浏览每个选项,然后单击“应用强化”按钮。
这些选项可帮助您锁定黑客在攻击中经常使用的关键区域。付费升级的唯一强化选项是Web应用程序防火墙,我们将在下一步中解释,因此暂时跳过它。
对于那些想要在不使用插件的情况下执行此操作或需要执行其他步骤(例如“数据库前缀更改”或“更改管理员用户名”)的人,我们还在本文后面介绍了许多这些“强化”选项。
在加固部分之后,默认插件设置对于大多数网站来说已经足够了,并且不需要任何更改。我们建议自定义的唯一内容是“电子邮件提醒”。
默认警报设置可能会使您的收件箱与电子邮件混乱。我们建议您接收关键操作的警报,例如插件更改,新用户注册等。您可以通过转到Sucuri设置»警报来配置警报。
这个WordPress安全插件非常强大,因此浏览所有选项卡和设置以查看它所做的一切,例如恶意软件扫描,审核日志,失败登录尝试跟踪等。
启用Web应用程序防火墙(WAF)
保护您的网站并对WordPress安全性充满信心的最简单方法是使用Web应用程序防火墙(WAF)。
网站防火墙会阻止所有恶意流量到达您的网站。
DNS级别网站防火墙 – 这些防火墙通过其云代理服务器路由您的网站流量。这使他们只能向您的Web服务器发送正版流量。
应用程序级防火墙 – 这些防火墙插件在到达您的服务器之后但在加载大多数WordPress脚本之前检查流量。在减少服务器负载方面,此方法不如DNS级别防火墙有效。
要了解更多信息,请参阅我们的最佳WordPress防火墙插件列表。广西网站建设
我们使用并推荐 Sucuri作为WordPress的最佳Web应用程序防火墙。您可以阅读Sucuri如何帮助我们在一个月内阻止450,000次WordPress攻击。
关于Sucuri防火墙最好的部分是它还带有恶意软件清理和黑名单删除保证。基本上如果你被他们的手表黑客攻击,他们保证他们会修复你的网站(无论你有多少页)。
这是一个非常强大的保修,因为修复被黑网站是昂贵的。安全专家通常每小时收费250美元。而您可以每年199美元获得整个Sucuri安全堆栈。
使用Sucuri防火墙提高您的WordPress安全性»
Sucuri不是那里唯一的DNS级防火墙提供商。另一个受欢迎的竞争对手是Cloudflare。请参阅我们对Sucuri与Cloudflare的比较(优点和缺点)。
将您的WordPress网站移动到SSL / HTTPS
SSL(安全套接字层)是一种协议,用于加密您的网站和用户浏览器之间的数据传输。这种加密使得有人嗅探并窃取信息变得更加困难。
启用SSL后,您的网站将使用HTTPS而不是HTTP,您还会在浏览器中看到您网站地址旁边的挂锁标志。
SSL证书通常由证书颁发机构颁发,其价格从每年80美元到数百美元不等。由于成本增加,大多数网站所有者选择继续使用不安全的协议。
为了解决这个问题,一家名为Let’s Encrypt的非营利组织决定向网站所有者提供免费的SSL证书。他们的项目得到了谷歌Chrome,Facebook,Mozilla以及更多公司的支持。
因此,现在比以往任何时候都更容易开始为所有WordPress网站使用SSL。有关分步说明,请参阅有关如何获取WordPress网站免费SSL证书的文章。
DIY用户的WordPress安全性
如果你做了我们到目前为止提到的所有事情,那么你的状态就会很好。
但与往常一样,您可以采取更多措施来强化您的WordPress安全性。
其中一些步骤可能需要编码知识。
更改默认“admin”用户名
在过去,默认的WordPress管理员用户名是“admin”。由于用户名占登录凭据的一半,因此黑客更容易进行暴力攻击。
值得庆幸的是,WordPress已经改变了这一点,现在要求您在安装WordPress时选择自定义用户名。
但是,一些单击WordPress安装程序仍然将默认管理员用户名设置为“admin”。如果您注意到这种情况,那么切换您的网络托管可能是个好主意。
由于WordPress默认情况下不允许您更改用户名,因此可以使用三种方法更改用户名。
- 创建一个新的管理员用户名并删除旧用户名。
- 使用Username Changer插件
- 从phpMyAdmin更新用户名
我们在如何正确更改WordPress用户名的详细指南中逐步介绍了所有这三个(逐步)。
注意:我们谈的是名为“admin”的用户名,而不是管理员角色。
禁用文件编辑
WordPress附带一个内置的代码编辑器,允许您直接从WordPress管理区域编辑主题和插件文件。在错误的手中,此功能可能存在安全风险,这就是我们建议将其关闭的原因。
您可以通过在wp-config.php文件中添加以下代码来轻松完成此操作。
|
1
2
|
// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true ); |
或者,您可以使用我们上面提到的免费Sucuri插件中的强化功能一键完成此操作。
禁用某些WordPress目录中的PHP文件执行
另一种强化WordPress安全性的方法是在不需要的目录中禁用PHP文件,例如/ wp-content / uploads /。
您可以通过打开记事本等文本编辑器并粘贴此代码来执行此操作:
|
1
2
3
|
<Files *.php>deny from all</Files> |
接下来,您需要将此文件另存为.htaccess,并使用FTP客户端将其上传到您网站上的/ wp-content / uploads /文件夹。
有关更详细的说明,请参阅我们的指南,了解如何在某些WordPress目录中禁用PHP执行
或者,您可以使用我们上面提到的免费Sucuri插件中的强化功能一键完成此操作。
限制登录尝试
默认情况下,WordPress允许用户尝试登录他们想要的时间。这使您的WordPress站点容易受到暴力攻击。黑客试图通过尝试使用不同的组合登录来破解密码。
通过限制用户可以进行的失败登录尝试,可以轻松解决此问题。如果您使用前面提到的Web应用程序防火墙,则会自动执行此操作。
但是,如果您没有设置防火墙,请继续执行以下步骤。
首先,您需要安装并激活Login LockDown插件。有关更多详细信息,请参阅有关如何安装WordPress插件的分步指南。
激活后,访问设置»登录锁定页面以设置插件。广西网站建设
有关详细说明,请查看我们的指南,了解如何以及为何限制WordPress中的登录尝试。
添加双因素身份验证
双因素身份验证技术要求用户使用两步身份验证方法登录。第一个是用户名和密码,第二个步骤要求您使用单独的设备或应用程序进行身份验证。
大多数顶级在线网站,如谷歌,Facebook,Twitter,允许您为您的帐户启用它。您还可以向WordPress网站添加相同的功能。
首先,您需要安装并激活双因素身份验证插件。激活后,您需要单击WordPress管理侧栏中的“双因素身份验证”链接。
接下来,您需要在手机上安装并打开身份验证器应用程序。其中有几个可用,如Google Authenticator,Authy和LastPass Authenticator。
我们建议使用LastPass Authenticator或Authy,因为它们都允许您将帐户备份到云端。这在手机丢失,重置或购买新手机时非常有用。您可以轻松恢复所有帐户登录信息。
我们将使用LastPass Authenticator作为教程。但是,所有auth应用程序的说明都类似。打开身份验证器应用程序,然后单击“添加”按钮。
系统将询问您是否要手动扫描站点或扫描条形码。选择扫描条形码选项,然后将手机的相机指向插件设置页面上显示的QRcode。
就是这样,您的身份验证应用程序现在将保存它。下次登录您的网站时,输入密码后将要求您输入双因素身份验证码。
只需打开手机上的身份验证器应用程序,然后输入您在其上看到的代码即可。
更改WordPress数据库前缀
默认情况下,WordPress使用wp_作为WordPress数据库中所有表的前缀。如果您的WordPress站点使用默认数据库前缀,那么黑客就可以更容易地猜出您的表名是什么。这就是我们建议更改它的原因。
您可以按照我们的分步教程更改数据库前缀,了解如何更改WordPress数据库前缀以提高安全性。
注意:如果网站安装不正确,可能会损坏您的网站。如果您对编码技巧感到满意,请继续。
密码保护WordPress管理员和登录页面
通常,黑客可以不受任何限制地请求您的wp-admin文件夹和登录页面。这允许他们尝试他们的黑客技巧或运行DDoS攻击。
您可以在服务器端级别添加其他密码保护,这将有效地阻止这些请求。
按照我们关于如何使用密码保护您的WordPress管理员(wp-admin)目录的分步说明进行操作。
禁用目录索引和浏览
黑客可以使用目录浏览来查明您是否有任何已知漏洞的文件,因此他们可以利用这些文件来获取访问权限。
其他人也可以使用目录浏览来查看文件,复制图像,查找目录结构以及其他信息。这就是强烈建议您关闭目录索引和浏览的原因。
您需要使用FTP或cPanel的文件管理器连接到您的网站。接下来,在您网站的根目录中找到.htaccess文件。如果你在那里看不到它,那么请参阅我们的指南,了解为什么你在WordPress中看不到.htaccess文件。
之后,您需要在.htaccess文件的末尾添加以下行:
Options -Indexes
不要忘记保存并将.htaccess文件上传回您的网站。有关此主题的更多信息,请参阅有关如何在WordPress中禁用目录浏览的文章。
禁用WordPress中的XML-RPC
默认情况下,WordPress 3.5中启用了XML-RPC,因为它有助于将WordPress网站与Web和移动应用程序连接起来。
由于其强大的性质,XML-RPC可以显着放大暴力攻击。
例如,传统上如果黑客想要在您的网站上尝试500个不同的密码,他们将不得不进行500次单独的登录尝试,这些尝试将被登录锁定插件捕获和阻止。
但是使用XML-RPC,黑客可以使用system.multicall函数来尝试数千个密码,例如20或50个请求。
这就是为什么如果你不使用XML-RPC,我们建议你禁用它。
在WordPress中有三种方法可以禁用XML-RPC,我们在逐步教程中介绍了如何在WordPress中禁用XML-RPC。
提示:.htaccess方法是最好的方法,因为它是资源最少的方法。
如果您正在使用前面提到的Web应用程序防火墙,那么防火墙可以解决这个问题。
在WordPress中自动注销空闲用户
登录用户有时可能会离开屏幕,这会带来安全风险。有人可以劫持他们的会话,更改密码或更改他们的帐户。
这就是许多银行和金融网站自动注销非活动用户的原因。您也可以在WordPress网站上实现类似的功能。
您需要安装并激活Inactive Logout插件。激活后,访问设置»非活动注销页面以配置插件设置。
只需设置持续时间并添加注销消息即可。不要忘记单击保存更改按钮来存储您的设置。
将安全问题添加到WordPress登录屏幕
向WordPress登录屏幕添加安全问题会使某人更难以获得未经授权的访问。
您可以通过安装WP Security Questions插件来添加安全问题。激活后,您需要访问设置»安全问题页面以配置插件设置。
有关更详细的说明,请参阅有关如何向WordPress登录屏幕添加安全问题的教程。
扫描WordPress的恶意软件和漏洞攻击
如果您安装了WordPress安全插件,那么这些插件将定期检查恶意软件和安全漏洞的迹象。
但是,如果您发现网站流量或搜索排名突然下降,那么您可能需要手动运行扫描。您可以使用WordPress安全插件,也可以使用其中一种恶意软件和安全扫描程序。
运行这些在线扫描非常简单,只需输入您的网站URL,他们的抓取工具就会通过您的网站查找已知的恶意软件和恶意代码。
现在请记住,大多数WordPress安全扫描程序只能扫描您的网站。他们无法删除恶意软件或清理被黑客入侵的WordPress网站。
这将我们带到下一部分,清理恶意软件和黑客攻击WordPress网站。
修复黑客WordPress网站
许多WordPress用户在他们的网站被黑客攻击之前没有意识到备份和网站安全的重要性。
清理WordPress网站可能非常困难且耗时。我们的第一个建议是让专业人士来照顾它。
黑客在受影响的网站上安装后门,如果这些后门没有得到正确修复,那么您的网站可能会再次被黑客入侵。
允许像Sucuri这样的专业安全公司修复您的网站将确保您的网站再次安全使用。它还可以保护您免受任何未来的攻击。
对于冒险和DIY用户,我们已经编制了一个关于修复被黑客入侵的WordPress网站的分步指南广西网站建设。
