WordPress安全性对于每个网站所有者来说都是一个非常重要的话题。Google 每天将大约 10000 多个网站列入恶意软件黑名单,每周将大约 50000 个网站列入网络钓鱼黑名单。
如果您认真对待您的网站,那么您需要注意WordPress安全最佳实践。在本指南中,我们将分享所有顶级WordPress安全提示,以帮助您保护您的网站免受黑客和恶意软件的侵害。
虽然 WordPress 核心软件非常安全,并且由数百名开发人员定期审核,但可以采取很多措施来确保您的站点安全。
我们相信安全不仅仅是消除风险。这也与降低风险有关。作为网站 ,您可以采取很多措施来提高 WordPress 的安全性(即使您不精通技术)。
我们有许多可操作的步骤,您可以采取这些步骤来保护您的网站免受安全漏洞的侵害。
为方便起见,我们创建了一个目录,以帮助您轻松浏览我们的终极 WordPress 安全指南。
为什么网站安全很重要?
被黑的 WordPress 网站可能会对您的业务收入和声誉造成严重损害。黑客可以窃取用户信息、密码、安装恶意软件,甚至可以向您的用户分发恶意软件。
最糟糕的是,您可能会发现自己向黑客支付勒索软件只是为了重新获得对您网站的访问权限。
2016 年 3 月,谷歌报告称,超过 5000 万网站用户已被警告他们正在访问的网站可能包含恶意软件或窃取信息。
此外,谷歌每周将大约 20,000 个网站列入恶意软件黑名单,并将大约 50,000 个网站列入网络钓鱼黑名单。
如果您的网站是一家企业,那么您需要特别注意 WordPress 的安全性。
与保护实体店建筑是企业主的责任类似,作为在线企业主,您有责任保护您的业务网站。
保持 WordPress 更新
WordPress 是一个开源软件,定期维护和更新。默认情况下,WordPress 会自动安装次要更新。对于主要版本,您需要手动启动更新。
WordPress 还附带了数以千计的插件和主题,您可以将它们安装在您的网站上。这些插件和主题由第三方开发人员维护,他们也会定期发布更新。
这些 WordPress 更新对于 WordPress 网站的安全性和稳定性至关重要。您需要确保您的 WordPress 核心、插件和主题是最新的。
强密码和用户权限
最常见的 WordPress 黑客尝试使用被盗密码。您可以通过使用对您的网站来说独一无二的更强的密码来解决这个问题。不仅适用于 WordPress 管理区域,还适用于 FTP 帐户、数据库、WordPress 托管帐户以及使用您站点域名的自定义电子邮件地址。
许多初学者不喜欢使用强密码,因为它们很难记住。好处是您不再需要记住密码。您可以使用密码管理器。
另一种降低风险的方法是除非您绝对必须,否则不要让任何人访问您的 WordPress 管理员帐户。如果您有一个庞大的团队或客座作者,那么在向 WordPress 站点添加新用户帐户和作者之前,请确保您了解WordPress 中的用户角色和功能。
WordPress 托管的作用
您的WordPress 托管服务在 WordPress 网站的安全性方面发挥着最重要的作用。像Bluehost或Siteground这样优秀的共享托管服务提供商会采取额外措施来保护他们的服务器免受常见威胁。
以下是一家优秀的网络托管公司如何在后台工作以保护您的网站和数据。
- 他们持续监控网络中的可疑活动。
- 所有优秀的托管公司都有防止大规模 DDOS 攻击的工具
- 他们使服务器软件、php 版本和硬件保持最新,以防止黑客利用旧版本中的已知安全漏洞。
- 他们已准备好部署灾难恢复和事故计划,以便在发生重大事故时保护您的数据。
在共享托管计划中,您与许多其他客户共享服务器资源。这带来了跨站点污染的风险,黑客可以使用相邻站点攻击您的网站。
使用托管 WordPress 托管服务可为您的网站提供更安全的平台。托管 WordPress 托管公司提供自动备份、自动 WordPress 更新和更高级的安全配置来保护您的网站
简单步骤的WordPress安全(无编码)
我们知道,提高 WordPress 安全性对于初学者来说可能是一个可怕的想法。特别是如果你不是技术人员。
我们已经帮助数以百计的 WordPress 用户加强了他们的 WordPress 安全性。
我们将向您展示如何只需点击几下即可提高 WordPress 的安全性(无需编码)。
如果你可以点击,你就可以做到!
安装 WordPress 备份解决方案
备份是您抵御任何 WordPress 攻击的第一道防线。请记住,没有什么是 100% 安全的。如果政府网站可以被黑客入侵,那么您的网站也可以。
备份允许您快速恢复您的 WordPress 网站,以防万一发生不好的事情。
您可以使用许多免费和付费的WordPress 备份插件。在备份时您需要知道的最重要的事情是您必须定期将全站点备份保存到远程位置(而不是您的主机 )。
我们建议将其存储在 Amazon、Dropbox 等云服务或 Stash 等私有云上。
根据您更新网站的频率,理想的设置可能是每天一次或实时备份。
幸运的是,这可以通过使用UpdraftPlus或BlogVault等插件轻松完成。它们既可靠又最重要的是易于使用(无需编码)。
最佳 WordPress 安全插件
备份后,我们需要做的下一件事是设置审核和监控系统,以跟踪您网站上发生的一切。
这包括文件完整性监控、失败的登录尝试、恶意软件扫描等。
值得庆幸的是,这一切都可以由最好的免费 WordPress 安全插件WordFence解决。
您需要安装并激活免费的 WordFence 插件。有关更多详细信息,请参阅有关如何安装 WordPress 插件的分步指南。
激活后,WordFence 将用默认设置保护 。
在加固部分之后,默认插件设置对于大多数网站来说已经足够了,不需要任何更改。我们唯一建议自定义的是“电子邮件警报”。
默认警报设置可能会使您的收件箱充满电子邮件。我们建议接收有关插件更改、新用户注册等关键操作的警报。
这个 WordPress 安全插件非常强大,所以浏览所有选项卡和设置以查看它所做的所有事情,例如恶意软件扫描、审核日志、失败登录尝试跟踪等。
启用 Web 应用程序防火墙 (WAF)
保护您的站点并确保 WordPress 安全的最简单方法是使用 Web 应用程序防火墙 (WAF)。
网站防火墙会在所有恶意流量到达您的网站之前阻止它。
DNS 级网站防火墙 – 这些防火墙通过其云代理服务器路由您的网站流量。这允许他们只向您的 Web 服务器发送真正的流量。
应用程序级防火墙 – 这些防火墙插件会在流量到达您的服务器后但在加载大多数 WordPress 脚本之前检查流量。这种方法在减少服务器负载方面不如DNS级防火墙有效。
我们使用并推荐WordFence作为 WordPress 的最佳 Web 应用程序防火墙。
WordFence 防火墙最好的是它还带有恶意软件清理和黑名单删除保证。基本上,如果您在他们的监视下被黑客入侵,他们保证他们会修复您的网站(无论您有多少页面)。
这是一个非常强大的保证,因为修复被黑网站的成本很高。安全专家通常每小时收费 250 美元。而您可以以每年 199 美元的价格获得整个 WordFence 安全堆栈。
将您的 WordPress 网站移至 SSL/HTTPS
SSL(安全套接字层)是一种对您的网站和用户浏览器之间的数据传输进行加密的协议。这种加密使某人更难嗅探和窃取信息。
启用 SSL 后,您的网站将使用 HTTPS 而不是 HTTP,您还将在浏览器中的网站地址旁边看到一个挂锁标志。
SSL 证书通常由证书颁发机构颁发,其价格从每年 80 美元到数百美元不等。由于成本增加,大多数网站所有者选择继续使用不安全的协议。
为了解决这个问题,一个名为 Let's Encrypt 的非营利组织决定向网站所有者提供免费的 SSL 证书。他们的项目得到了 Google Chrome、Facebook、Mozilla 和更多公司的支持。
现在,开始为所有 WordPress 网站使用 SSL 比以往任何时候都容易。许多托管公司现在为您的 WordPress 网站提供免费的SSL证书。
DIY 用户的 WordPress 安全
如果你做到了我们迄今为止提到的所有事情,那么你的状态就很好。
但与往常一样,您可以采取更多措施来加强 WordPress 的安全性。
其中一些步骤可能需要编码知识。
更改默认的“admin”用户名
在过去,默认的 WordPress 管理员用户名是“admin”。由于用户名占登录凭据的一半,这使得黑客更容易进行暴力攻击。
幸运的是,WordPress 已经改变了这一点,现在要求您在安装 WordPress时选择一个自定义用户名。
但是,一些一键式 WordPress 安装程序仍将默认管理员用户名设置为“admin”。如果您注意到这种情况,那么切换您的虚拟主机可能是个好主意。
由于 WordPress 默认不允许您更改用户名,因此您可以使用三种方法来更改用户名。
- 创建一个新的管理员用户名并删除旧用户名。
- 使用用户名更改器插件
- 从 phpMyAdmin 更新用户名
注意:我们谈论的是名为“admin”的用户名,而不是管理员角色。
禁用文件编辑
WordPress 带有内置代码编辑器,允许您直接从 WordPress 管理区域编辑主题和插件文件。如果落入坏人之手,此功能可能会带来安全风险,这就是我们建议将其关闭的原因。
您可以通过在wp-config.php文件中添加以下代码轻松完成此操作。
define( 'DISALLOW_FILE_EDIT', true );
在某些 WordPress 目录中禁用 PHP 文件执行
加强 WordPress 安全性的另一种方法是在不需要它的目录(例如 /wp-content/uploads/)中禁用 PHP 文件执行。
您可以通过打开记事本等文本编辑器并粘贴以下代码来执行此操作:
<Files *.php>
deny from all
</Files>
接下来,您需要将此文件保存为.htaccess并使用FTP 客户端将其上传到您网站上的 /wp-content/uploads/ 文件夹。
限制登录尝试
默认情况下,WordPress 允许用户根据需要尝试多次登录。这使您的 WordPress 网站容易受到暴力攻击。黑客试图通过尝试使用不同的组合登录来破解密码。
这可以通过限制用户可以进行的失败登录尝试来轻松解决。如果您使用的是前面提到的 Web 应用程序防火墙,那么这会自动处理。
但是,如果您没有设置防火墙,请继续执行以下步骤。
首先,您需要安装并激活登录锁定插件。有关更多详细信息,请参阅有关如何安装 WordPress 插件的分步指南。
激活后,访问设置»登录锁定页面以设置插件。
添加两因素身份验证
两步验证技术要求用户使用两步验证方法登录。第一个是用户名和密码,第二个步骤要求您使用单独的设备或应用程序进行身份验证。
大多数顶级在线网站(如 Google、Facebook、Twitter)都允许您为您的帐户启用它。您还可以向 WordPress 网站添加相同的功能。
首先,您需要安装并激活双重身份验证插件。激活后,您需要单击 WordPress 管理侧栏中的“双因素身份验证”链接。
接下来,您需要在手机上安装并打开身份验证器应用程序。其中有几个可用,如 Google Authenticator、Authy 和 LastPass Authenticator。
我们建议使用LastPass Authenticator或Authy,因为它们都允许您将帐户备份到云中。如果您的手机丢失、重置或购买新手机,这将非常有用。您的所有帐户登录都将轻松恢复。
我们将在本教程中使用 LastPass Authenticator。但是,所有身份验证应用程序的说明都相似。打开您的身份验证器应用程序,然后单击添加按钮。
系统会询问您是要手动扫描站点还是扫描条形码。选择扫描条形码选项,然后将手机的相机对准插件设置页面上显示的二维码。
就是这样,您的身份验证应用程序现在将保存它。下次登录您的网站时,系统会在您输入密码后要求您输入两步验证码。
只需在您的手机上打开身份验证器应用程序,然后输入您在其上看到的代码。
更改 WordPress 数据库前缀
默认情况下,WordPress 使用 wp_ 作为WordPress 数据库中所有表的前缀。如果您的 WordPress 站点使用默认数据库前缀,那么黑客就可以更轻松地猜测您的表名。这就是我们建议更改它的原因。
密码保护 WordPress 管理员和登录页面
通常,黑客可以不受任何限制地请求您的 wp-admin 文件夹和登录页面。这允许他们尝试他们的黑客技巧或运行 DDoS 攻击。
您可以在服务器端级别添加额外的密码保护,这将有效地阻止这些请求。
禁用目录索引和浏览
黑客可以使用目录浏览来查明您是否有任何具有已知漏洞的文件,以便他们可以利用这些文件来获得访问权限。
其他人也可以使用目录浏览来查看您的文件、复制图像、找出您的目录结构和其他信息。这就是为什么强烈建议您关闭目录索引和浏览的原因。
您需要使用 FTP 或 cPanel 的文件管理器连接到您的网站。接下来,在您网站的根目录中找到 .htaccess 文件。
之后,您需要在 .htaccess 文件的末尾添加以下行:
Options - Indexes
不要忘记保存 .htaccess 文件并将其上传回您的站点。
在 WordPress 中禁用 XML-RPC
XML-RPC 在 WordPress 3.5 中默认启用,因为它有助于将您的 WordPress 站点与 Web 和移动应用程序连接起来。
由于其强大的特性,XML-RPC 可以显着放大暴力攻击。
例如,传统上,如果黑客想在您的网站上尝试 500 个不同的密码,他们必须进行 500 次单独的登录尝试,这些登录尝试将被登录锁定插件捕获并阻止。
但是使用 XML-RPC,黑客可以使用system.multicall函数尝试通过 20 或 50 个请求尝试数千个密码。
这就是为什么如果您不使用 XML-RPC,那么我们建议您禁用它。
有 3 种方法可以在 WordPress 中禁用 XML-RPC,我们已经在有关如何在 WordPress 中禁用 XML-RPC 的分步教程中介绍了所有这些方法。
提示: .htaccess 方法是最好的方法,因为它占用的资源最少。
如果您正在使用前面提到的 Web 应用程序防火墙,那么防火墙可以解决这个问题。
自动注销 WordPress 中的空闲用户
登录用户有时可能会离开屏幕,这会带来安全风险。有人可以劫持他们的会话、更改密码或更改他们的帐户。
这就是为什么许多银行和金融站点会自动注销非活动用户的原因。您也可以在 WordPress 网站上实现类似的功能。
您需要安装并激活Inactive Logout插件。激活后,访问设置»非活动注销页面以配置插件设置。
只需设置持续时间并添加注销消息。不要忘记单击保存更改按钮来存储您的设置。
将安全问题添加到 WordPress 登录屏幕
在您的 WordPress 登录屏幕上添加安全问题会使某人更难获得未经授权的访问。
您可以通过安装WP Security Questions插件来添加安全问题。激活后,您需要访问设置»安全问题页面来配置插件设置。
扫描 WordPress 中的恶意软件和漏洞
如果您安装了 WordFence 等 WordPress 安全插件,那么这些插件将定期检查恶意软件和安全漏洞迹象。
但是,如果您发现网站流量或搜索排名突然下降,则可能需要手动运行扫描。您可以使用 WordPress 安全插件,或使用这些恶意软件和安全扫描程序之一。
运行这些在线扫描非常简单,您只需输入您的网站 URL,它们的抓取工具就会遍历您的网站以查找已知的恶意软件和恶意代码。
现在请记住,大多数 WordPress 安全扫描程序只能扫描您的网站。他们无法删除恶意软件或清理被黑的 WordPress 网站。
这将我们带到下一部分,清理恶意软件和被黑的 WordPress 网站。
修复被黑的 WordPress 网站
许多 WordPress 用户直到他们的网站被黑客入侵时才意识到备份和网站安全的重要性。
清理 WordPress 网站可能非常困难且耗时。我们的第一个建议是让专业人士来处理它。
黑客在受影响的网站上安装后门,如果这些后门没有正确修复,那么您的网站很可能会再次遭到黑客攻击。
允许像WordFency这样的专业安全插件修复您的网站将确保您的网站可以安全地再次使用。它还可以保护您免受未来的任何攻击。
就是这样,我们希望本文能帮助您了解顶级WordPress安全最佳实践,并为您的网站发现最好的 WordPress安全插件。您也许还想看看我们 WordPress SEO教程:让你的网站排名更高和速度更快的101个优化技巧与Tutor LMS 2.0在线学习系统已发布:重新定义您的LMS体验。