保護您的 WordPress 網站的初學者指南

已發表: 2017-05-16

WordPress 是最流行的內容管理系統之一。

事實上,這個發布平台現在被前 1000 萬個網站中超過 27.5% 的網站使用。 相比之下,Joomla 和 Drupal 等其他平台簡直相形見絀。 使 WordPress 得到如此廣泛支持的原因在於它的易用性,可以在短時間內構建一個功能齊全的網站。

但 WordPress 如此廣泛的事實也使其成為黑客的目標。

任何安全漏洞都可能使您的網站容易受到惡意攻擊,甚至在此過程中危及用戶數據。 這種攻擊對任何企業來說都是絕對毀滅性的。

受感染的網站不僅會降低訪問者對您的信任,還會使您的網頁在 Google 中被列入黑名單。 事實上,如果 Chrome 用戶試圖訪問可能不安全或具有欺騙性的網站(例如網絡釣魚或惡意軟件),Google 已經朝著更安全的網絡邁出了一步,它會向他們顯示警告。

訪問您的網站的任何人(如果受到攻擊)都可能遇到以下情況:

Protect Your WordPress Site

網站安全的重要性怎麼強調都不為過。

只需一次攻擊即可使銷售完全停止,並有可能將您的網站列入谷歌黑名單。 刪除您的網站當然是可能的,但您需要請求人工審核,這可能需要幾天甚至幾週的時間才能解決,具體取決於問題。 一個更好的解決方案是採取措施保護您的網站。

在這裡,我們深入了解如何保護和保持 WordPress 網站的安全。

保持WordPress更新

WordPress 的更新至關重要。

對 11,000 多個受感染站點的評估發現,75% 的站點使用 WordPress。 但更令人驚訝的是,這些網站中有超過 50% 已過時。 更新到最新版本不僅可以讓您訪問更新的功能,還可以修補攻擊者可能利用的已知安全漏洞。

事實上,當有新的更新可用時,這些安全漏洞就會為人所知。 以下是 WordPress 更新版本的安全日誌示例:

Keep WordPress Updated

隨著新更新的發布,此信息將公開可用。 但是,如果您不立即更新,您的網站就會受到攻擊。 始終更新到最新版本,以確保您的站點免受新發現的漏洞的影響。 如果有任何可用更新,您將在儀表板頂部看到一條通知:

Keep WordPress Updated

較新版本的 WordPress 讓您只需單擊按鈕即可輕鬆更新。 請記住,在更新完成之前,您的站點將在短時間內進入維護模式。 更新只需幾分鐘,但一旦完成,您將無需執行任何其他操作。

不想每次都手動更新您的網站?

通知可能很煩人。 但是更新您的 WordPress 是保持網站安全的最簡單方法之一。 如果您不想擔心您的網站是否有最新版本,您可以通過一些簡單的調整來配置自動更新。

打開 wp-config.php 文件並向其中添加以下行:

[代碼]
定義('WP_AUTO_UPDATE_CORE',真);
[/代碼]

您還可以通過將以下行添加到同一文件中來啟用自動插件更新:

[代碼]
add_filter('auto_update_plugin', '__return_true');
[/代碼]

並添加此行以啟用主題更新:

[代碼]
add_filter('auto_update_theme', '__return_true');
[/代碼]

添加這些行將確保您的網站保持最新,而無需任何其他操作。 如果您是不關心更新或通知的人,那麼您肯定需要配置自動更新以確保您的網站始終是最新的。

保護管理區域

無論某物有多安全,如果他們擁有正確的工具或所有者疏忽,任何人都可以輕鬆獲得訪問權限。 使用 WordPress,管理區域是黑客的主要目標。

請按照以下步驟確保此頁面的安全:

使用強密碼

如果您使用弱密碼(例如“12345”、“密碼”等),您的網站將面臨更大的風險,因為攻擊者可以使用自動腳本強行進入。這意味著反复嘗試密碼直到最終成功. 但是使用包含數字和符號組合的強密碼使得即使是最複雜的程序也幾乎不可能破解。

使用強密碼生成器等工具為您的 WordPress 網站創建一個強大且安全的密碼:

Use a Strong Password

像這樣暴力破解密碼需要數年甚至數十年的計算機程序才能破解。 缺點是很難記住強密碼。 但是,如果這意味著阻止攻擊者訪問您的站點,那麼這種權衡絕對是值得的。 幸運的是,您可以使用許多密碼管理器來存儲密碼。

更改您的用戶名

首次安裝 WordPress 時,系統會要求您輸入用戶名。

Change Your Username

攻擊者將無法訪問您的儀表板,除非他們同時擁有您的用戶名和密碼。 您只需使用更獨特的用戶名即可輕鬆阻止暴力破解嘗試。 所以在選擇用戶名時不要使用“admin”。

限制登錄嘗試

Limit Login Attempts

如前所述,攻擊者可以使用程序強行進入您的站點。 但是,有一些可用的插件,例如 Login LockDown,可讓您限制來自特定 IP 地址的登錄嘗試。 如果多次嘗試均不成功,則該用戶被鎖定。

重命名您的登錄頁面

最後,保護管理區域的另一種方法是完全移動登錄頁面。 儀表板通常從www.yoursite.com/wp-admin訪問。 一個明顯的問題是,黑客知道只需將“ /wp-admin ”附加到 WordPress 站點即可讓他們訪問管理頁面。

Rename Your Login Page

Protect WP-Admin 通過允許網站管理員自定義管理面板 URL 來解決這個問題:

按照這些步驟保護管理區域可以大大減少和阻止對您的站點的自動攻擊。

啟用雙重身份驗證

雙重身份驗證通過使攻擊者更難獲得對您帳戶的訪問權限,增加了額外的安全層。 登錄不僅需要用戶名和密碼,還需要額外的授權碼,通常通過短信發送到移動設備。

即使攻擊者以某種方式猜出了您的用戶名和密碼,他們也無法在沒有授權碼的情況下登錄您的帳戶。 下載並安裝 Google Authenticator 插件,以便在您的網站上輕鬆設置兩因素身份驗證:

Enable two-factor authentication

除了能夠使用 Google Authenticator App 進行驗證外,該插件還提供額外的兩因素身份驗證選項,例如電子郵件和電話驗證。 如果您的站點有多個用戶,也可以使用兩因素身份驗證。

使用 .htaccess 限制對關鍵文件的訪問

您可以使用 .htaccess 文件進一步加強 WordPress 網站的安全性。 該文件主要在 WordPress 中用於網站優化,例如重寫 URL 以對用戶和搜索引擎更友好。 但它也可以用來提高您網站的安全性。

.htaccess 文件通常位於根文件夾中,可以通過 FTP 客戶端或 cPanel 訪問。 還有幾個插件可用,包括 Yoast 的 SEO,它允許從儀表板直接訪問。

以下是使用 .htaccess 文件保護您的網站的幾種方法:

隱藏 wp-config.php

wp-config.php 文件是每次安裝的標准文件,但它還包含敏感信息,例如安全密鑰和您站點的數據庫連接詳細信息。 這些細節當然不希望落入壞人之手。 最好的解決方案是完全隱藏此文件並使其無法訪問。

通過將以下代碼添加到 .htaccess 文件來隱藏 wp-config.php 文件:

[代碼]
<文件 wp-config.php>
命令允許,拒絕
否認一切
</文件>
[/代碼]

防止目錄瀏覽

由於 WordPress 如何實現其文件結構,訪問者完全有可能通過簡單地導航到 yoursite.com/wp-content/uploads 來訪問您網站的文件夾和文件。 因此,您需要阻止目錄瀏覽,因為攻擊者可能會將此信息用於惡意目的。

將以下行添加到您的 .htaccess 文件中:

[代碼]
選項所有索引
[/代碼]

PHP 文件對保護非常重要,因為黑客可以使用這些文件注入惡意代碼來感染網站。 將以下代碼添加到您的 .htaccess 文件中,以防止訪問您的插件和主題的 PHP 文件:

[代碼]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/代碼]

只需將這些更改添加到您的 .htaccess 文件中,就可以提高 WordPress 網站的安全性,並使攻擊者更難訪問您的網站。 無論如何,沒有一個網站是完全安全的,因為新的漏洞不斷被發現和利用。

這就是為什麼你需要有一個備用計劃,以防事情變得更糟。

定期備份您的網站 維護定期備份

無論您採取了多少安全措施,您的網站仍然容易受到攻擊。

儘管 WordPress 已經存在了十多年,但開發團隊仍在不斷識別和修復安全問題。 更不用說您安裝的任何新主題或插件也可能具有尚未修復的漏洞。

這就是為什麼定期備份您的網站是個好主意。 這樣,您可以快速恢復您的網站,並在您的網站遭到攻擊時將損失降至最低。

您需要確保定期備份您的網站並保存到雲中。 如果您的計算機遭到入侵,您將能夠訪問該備份並從另一台設備進行恢復。 我們建議使用 BackupBuddy 等自動化解決方案。

Regularly Backup Your Site Maintain Regular Backups

大多數備份解決方案都需要付費訂閱。 但是,如果您依靠您的網站開展業務,那麼僅為了讓您高枕無憂,付費就非常值得。 如果您的網站因攻擊而被關閉,您可以與您的託管服務提供商合作,並通過備份輕鬆將您的網站恢復到以前的版本。

結論

雖然 WordPress 本身相對安全,但添加主題、插件和自定義代碼會增加黑客可以(並且確實)利用的安全漏洞的可能性。 除非您立即採取某些安全措施,否則您的網站可能會成為潛在目標。

需要注意的是,沒有任何系統是完全安全的。 但是您可以採取一些預防措施,這將大大降低受到惡意攻擊影響的機會。

按照此處概述的步驟來加強您的 WordPress 網站的安全性。