保护您的 WordPress 网站的初学者指南

已发表: 2017-05-16

WordPress 是最流行的内容管理系统之一。

事实上,这个发布平台现在被前 1000 万个网站中超过 27.5% 的网站使用。 相比之下,Joomla 和 Drupal 等其他平台简直相形见绌。 使 WordPress 得到如此广泛支持的原因在于它的易用性,可以在短时间内构建一个功能齐全的网站。

但 WordPress 如此广泛的事实也使其成为黑客的目标。

任何安全漏洞都可能使您的网站容易受到恶意攻击,甚至在此过程中危及用户数据。 这种攻击对任何企业来说都是绝对毁灭性的。

受感染的网站不仅会降低访问者对您的信任,还会使您的网页在 Google 中被列入黑名单。 事实上,如果 Chrome 用户试图访问可能不安全或具有欺骗性的网站(例如网络钓鱼或恶意软件),Google 已经朝着更安全的网络迈出了一步,它会向他们显示警告。

访问您的网站的任何人(如果受到攻击)都可能遇到以下情况:

Protect Your WordPress Site

网站安全的重要性怎么强调都不为过。

只需一次攻击即可使销售完全停止,并有可能将您的网站列入谷歌黑名单。 删除您的网站当然是可能的,但您需要请求人工审核,这可能需要几天甚至几周的时间才能解决,具体取决于问题。 一个更好的解决方案是采取措施保护您的网站。

在这里,我们深入了解如何保护和保持 WordPress 网站的安全。

保持WordPress更新

WordPress 的更新至关重要。

对 11,000 多个受感染站点的评估发现,75% 的站点使用 WordPress。 但更令人惊讶的是,这些网站中有超过 50% 已过时。 更新到最新版本不仅可以让您访问更新的功能,还可以修补攻击者可能利用的已知安全漏洞。

事实上,当有新的更新可用时,这些安全漏洞就会为人所知。 以下是 WordPress 更新版本的安全日志示例:

Keep WordPress Updated

随着新更新的发布,此信息将公开可用。 但是,如果您不立即更新,您的网站就会受到攻击。 始终更新到最新版本,以确保您的站点免受新发现的漏洞的影响。 如果有任何可用更新,您将在仪表板顶部看到一条通知:

Keep WordPress Updated

较新版本的 WordPress 让您只需单击按钮即可轻松更新。 请记住,在更新完成之前,您的站点将在短时间内进入维护模式。 更新只需几分钟,但一旦完成,您将无需执行任何其他操作。

不想每次都手动更新您的网站?

通知可能很烦人。 但是更新您的 WordPress 是保持网站安全的最简单方法之一。 如果您不想担心您的网站是否有最新版本,您可以通过一些简单的调整来配置自动更新。

打开 wp-config.php 文件并向其中添加以下行:

[代码]
定义('WP_AUTO_UPDATE_CORE',真);
[/代码]

您还可以通过将以下行添加到同一文件中来启用自动插件更新:

[代码]
add_filter('auto_update_plugin', '__return_true');
[/代码]

并添加此行以启用主题更新:

[代码]
add_filter('auto_update_theme', '__return_true');
[/代码]

添加这些行将确保您的网站保持最新,而无需任何其他操作。 如果您是不关心更新或通知的人,那么您肯定需要配置自动更新以确保您的网站始终是最新的。

保护管理区域

无论某物有多安全,如果他们拥有正确的工具或所有者疏忽,任何人都可以轻松获得访问权限。 使用 WordPress,管理区域是黑客的主要目标。

请按照以下步骤确保此页面的安全:

使用强密码

如果您使用弱密码(例如“12345”、“密码”等),您的网站将面临更大的风险,因为攻击者可以使用自动脚本强行进入。这意味着反复尝试密码直到最终成功. 但是使用包含数字和符号组合的强密码使得即使是最复杂的程序也几乎不可能破解。

使用强密码生成器等工具为您的 WordPress 网站创建一个强大且安全的密码:

Use a Strong Password

像这样暴力破解密码需要数年甚至数十年的计算机程序才能破解。 缺点是很难记住强密码。 但是,如果这意味着阻止攻击者访问您的站点,那么这种权衡绝对是值得的。 幸运的是,您可以使用许多密码管理器来存储密码。

更改您的用户名

首次安装 WordPress 时,系统会要求您输入用户名。

Change Your Username

攻击者将无法访问您的仪表板,除非他们同时拥有您的用户名和密码。 您只需使用更独特的用户名即可轻松阻止暴力破解尝试。 所以在选择用户名时不要使用“admin”。

限制登录尝试

Limit Login Attempts

如前所述,攻击者可以使用程序强行进入您的站点。 但是,有一些可用的插件,例如 Login LockDown,可让您限制来自特定 IP 地址的登录尝试。 如果多次尝试均不成功,则该用户被锁定。

重命名您的登录页面

最后,保护管理区域的另一种方法是完全移动登录页面。 仪表板通常从www.yoursite.com/wp-admin访问。 一个明显的问题是,黑客知道只需将“ /wp-admin ”附加到 WordPress 站点即可让他们访问管理页面。

Rename Your Login Page

Protect WP-Admin 通过允许网站管理员自定义管理面板 URL 来解决这个问题:

按照这些步骤保护管理区域可以大大减少和阻止对您的站点的自动攻击。

启用双重身份验证

双重身份验证通过使攻击者更难获得对您帐户的访问权限,增加了额外的安全层。 登录不仅需要用户名和密码,还需要额外的授权码,通常通过短信发送到移动设备。

即使攻击者以某种方式猜出了您的用户名和密码,他们也无法在没有授权码的情况下登录您的帐户。 下载并安装 Google Authenticator 插件,以便在您的网站上轻松设置两因素身份验证:

Enable two-factor authentication

除了能够使用 Google Authenticator App 进行验证外,该插件还提供额外的两因素身份验证选项,例如电子邮件和电话验证。 如果您的站点有多个用户,也可以使用两因素身份验证。

使用 .htaccess 限制对关键文件的访问

您可以使用 .htaccess 文件进一步加强 WordPress 网站的安全性。 该文件主要在 WordPress 中用于网站优化,例如重写 URL 以对用户和搜索引擎更友好。 但它也可以用来提高您网站的安全性。

.htaccess 文件通常位于根文件夹中,可以通过 FTP 客户端或 cPanel 访问。 还有几个插件可用,包括 Yoast 的 SEO,它允许从仪表板直接访问。

以下是使用 .htaccess 文件保护您的网站的几种方法:

隐藏 wp-config.php

wp-config.php 文件是每次安装的标准文件,但它还包含敏感信息,例如安全密钥和您站点的数据库连接详细信息。 这些细节当然不希望落入坏人之手。 最好的解决方案是完全隐藏此文件并使其无法访问。

通过将以下代码添加到 .htaccess 文件来隐藏 wp-config.php 文件:

[代码]
<文件 wp-config.php>
命令允许,拒绝
否认一切
</文件>
[/代码]

防止目录浏览

由于 WordPress 如何实现其文件结构,访问者完全有可能通过简单地导航到 yoursite.com/wp-content/uploads 来访问您网站的文件夹和文件。 因此,您需要阻止目录浏览,因为攻击者可能会将此信息用于恶意目的。

将以下行添加到您的 .htaccess 文件中:

[代码]
选项所有索引
[/代码]

PHP 文件对保护非常重要,因为黑客可以使用这些文件注入恶意代码来感染网站。 将以下代码添加到您的 .htaccess 文件中,以防止访问您的插件和主题的 PHP 文件:

[代码]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/代码]

只需将这些更改添加到您的 .htaccess 文件中,就可以提高 WordPress 网站的安全性,并使攻击者更难访问您的网站。 无论如何,没有一个网站是完全安全的,因为新的漏洞不断被发现和利用。

这就是为什么你需要有一个备用计划,以防事情变得更糟。

定期备份您的网站 维护定期备份

无论您采取了多少安全措施,您的网站仍然容易受到攻击。

尽管 WordPress 已经存在了十多年,但开发团队仍在不断识别和修复安全问题。 更不用说您安装的任何新主题或插件也可能具有尚未修复的漏洞。

这就是为什么定期备份您的网站是个好主意。 这样,您可以快速恢复您的网站,并在您的网站遭到攻击时将损失降至最低。

您需要确保定期备份您的网站并保存到云中。 如果您的计算机遭到入侵,您将能够访问该备份并从另一台设备进行恢复。 我们建议使用 BackupBuddy 等自动化解决方案。

Regularly Backup Your Site Maintain Regular Backups

大多数备份解决方案都需要付费订阅。 但是,如果您依靠您的网站开展业务,那么仅为了让您高枕无忧,付费就非常值得。 如果您的网站因攻击而被关闭,您可以与您的托管服务提供商合作,并通过备份轻松将您的网站恢复到以前的版本。

结论

虽然 WordPress 本身相对安全,但添加主题、插件和自定义代码会增加黑客可以(并且确实)利用的安全漏洞的可能性。 除非您立即采取某些安全措施,否则您的网站可能会成为潜在目标。

需要注意的是,没有任何系统是完全安全的。 但是您可以采取一些预防措施,这将大大降低受到恶意攻击影响的机会。

按照此处概述的步骤来加强您的 WordPress 网站的安全性。