WordPress 已经为超过 30% 的互联网提供动力,是世界上增长最快的内容管理系统 (CMS)——原因不难理解。 凭借通过编码和插件提供的大量自定义功能、一流的 SEO 以及卓越的博客声誉,WordPress 肯定赢得了其受欢迎程度。
然而,随着受欢迎程度的提高,也带来了其他不太吸引人的关注。 WordPress 是入侵者、恶意软件和网络攻击的常见目标——事实上,WordPress 在 2019 年约占被黑客攻击的 CMS 平台的 90%。
无论您是 WordPress 初次用户还是经验丰富的开发人员,都可以采取一些重要步骤来保护您的 WordPress 网站。 以下六个关键技巧将帮助您入门。
1. 选择可靠的托管服务
托管是所有网站看不见的基础——没有它,您就无法在线发布您的网站。 但托管不仅仅是托管您的网站。 它还负责网站速度、性能和安全性。
首先要做的是检查主机是否在其计划中包含 SSL 安全性。
SSL 是所有网站必不可少的安全功能,无论您是运营小型博客还是大型在线商店。 如果您接受付款,则需要更高级的 SSL 证书,但对于大多数网站来说,基本的免费 SSL 应该就足够了。
其他需要注意的安全功能包括
- 频繁的自动异地备份
- 恶意软件和病毒扫描及清除
- 分布式拒绝服务 (DDoS) 防护
- 实时网络监控
- 高级防火墙保护
除了这些数字安全功能外,还值得考虑您的托管服务提供商的物理安全措施。 这些措施包括限制使用保安人员、闭路电视以及双因素或生物特征认证访问数据中心。
2. 使用安全插件
保护网站安全最好且最简单的方法之一是安装安全插件,例如 Sucuri,这是一个开源的、GPLv2 许可的项目。 安全插件至关重要,因为它们可以自动化安全,这意味着您可以专注于运行您的网站,而不是将所有时间都投入到对抗在线威胁。
这些插件检测并阻止恶意攻击,并在出现任何需要您注意的问题时向您发出警报。 简而言之,它们不断在后台工作以保护您的网站,这意味着您不必 24/7 熬夜来对抗黑客、错误和其他数字恶意软件。
一个好的安全插件将免费提供您需要的所有基本安全功能,但某些高级功能需要付费订阅。 例如,如果您想解锁 Sucuri 的网站防火墙,则需要付费。 启用 Web 应用程序防火墙 (WAF) 可以阻止常见威胁并为您的网站增加一层额外的安全性,因此在选择安全插件时,最好寻找此功能。
3. 选择值得信赖的插件和主题
WordPress 的乐趣在于它是开源的,因此任何人都可以参与开发主题和插件。 在选择高质量的主题或插件时,这也可能带来问题。
在选择免费主题或插件时要谨慎,因为有些主题或插件设计不良,或者更糟的是,可能隐藏恶意代码。
为避免这种情况,请始终从信誉良好的来源(例如 WordPress 库)获取免费主题和插件。 始终阅读评论并研究开发人员,看看他们是否构建了任何其他程序。
过时或设计不良的主题和插件可能会留下“后门”,让攻击者或错误进入您的网站,这就是为什么在选择时要小心谨慎的原因。 但是,您也应该警惕无效或破解的主题。 这些是已被黑客入侵并非法出售的高级主题。 您可能会购买一个无效主题,以为它一切都光明正大——结果却发现您的网站被隐藏的恶意代码损坏。
为避免无效主题,不要被折扣价格所吸引,并且始终坚持信誉良好的商店,例如官方 WordPress 目录。 如果您在其他地方寻找,请坚持大型且值得信赖的商店,例如 Themify,这是一家自 2010 年以来一直运营的主题和插件商店。 Themify 确保其所有 WordPress 主题都通过了 Google 移动友好测试,并且在 GNU 通用公共许可证下开源。
4. 运行定期更新
这是 WordPress 的基本规则:始终保持您的网站处于最新状态。 然而,并非所有人都遵守这一规则——事实上,只有 43% 的 WordPress 网站运行的是最新版本。
问题在于,当您的网站过时时,由于它在安全性和性能修复方面落后,因此很容易受到故障、错误、入侵和崩溃的影响。 过时的网站无法像更新的网站那样修复错误,并且攻击者可以分辨出哪些网站是过时的。 这意味着他们可以搜索最脆弱的网站并进行相应的攻击。
这就是为什么您应该始终在最新版本的 WordPress 上运行您的网站的原因。 为了保持您的安全处于最强状态,您必须更新您的插件和主题以及您的核心 WordPress 软件。
如果您选择托管 WordPress 托管计划,您可能会发现您的提供商会为您检查和运行更新——请明确您的主机是否提供软件和插件更新。 如果没有,您可以安装开源插件管理器,例如 GPLv2 许可的 Easy Updates Manager 插件,作为替代方案。
5. 加强您的登录
除了通过仔细选择主题和安装安全插件来创建安全的 WordPress 网站外,您还需要防范通过登录进行的未经授权的访问。
密码保护
加强登录安全的第一种也是最简单的方法是更改您的密码——尤其是在您使用容易猜到的短语(例如“123456”或“qwerty”)的情况下。
相反,请尝试使用长密码短语而不是密码,因为它们更难破解。 最好的方法是使用一系列您认为容易记住的不相关单词串联在一起。
以下是一些其他提示
- 切勿重复使用密码
- 不要包含明显的单词,例如家庭成员的名字或您最喜欢的足球队
- 切勿与任何人分享您的登录详细信息
- 包含大写字母和数字以增加密码短语的复杂性
- 不要在任何地方写下或存储您的登录详细信息
- 使用密码管理器
更改您的登录 URL
最好将您的默认登录网址从标准格式更改为:yourdomain.com/wp-admin。 这是因为黑客知道这是默认 URL,因此如果不更改它,您将面临暴力攻击的风险。
为避免这种情况,请将 URL 更改为其他内容。 使用开源插件,例如 GPLv2 许可的 WPS Hide Login,以实现安全、快速和简单的自定义。
应用双因素身份验证
为了额外防止未经授权的登录和暴力攻击,您应该添加双因素身份验证。 这意味着即使有人确实获得了您的登录详细信息,他们也需要一个直接发送到您手机的代码才能访问您 WordPress 网站的管理页面。
添加双因素身份验证非常容易。 只需安装另一个插件——这次,在 WordPress 插件目录中搜索“双因素身份验证”,然后选择您想要的插件。 一种选择是 Two Factor,这是一个流行的 GPLv2 许可项目,拥有超过 10,000 个活跃安装。
限制登录尝试次数
WordPress 试图通过让您随意猜测您的登录详细信息来提供帮助。 然而,这也有助于黑客试图未经授权访问您的 WordPress 网站以发布恶意代码。
为了对抗暴力攻击,请安装一个限制登录尝试次数的插件,并设置您要允许的猜测次数。
6. 禁用文件编辑
这不是一个对初学者友好的步骤,因此除非您是一位自信的编码员,否则不要尝试——并且始终首先备份您的网站!
话虽如此,如果您真的认真对待保护您的 WordPress 网站,禁用文件编辑是一项重要措施。 如果您不隐藏您的文件,这意味着任何人都可以直接从管理区域编辑您的主题和插件代码——如果入侵者进入,这很危险。
要拒绝未经授权的访问,请转到您的 .htaccess 文件并输入
<Files wp-config.php>
order allow,deny
deny from all
</Files>或者,要从您的 WordPress 管理区域完全删除主题和插件编辑选项,请通过添加以下内容来编辑您的 wp-config.php 文件
define( 'DISALLOW_FILE_EDIT', true );保存并重新加载文件后,插件和主题编辑器将从您 WordPress 管理区域的菜单中消失,从而阻止任何人编辑您的主题或插件代码——包括您自己。 如果您需要恢复对主题和插件代码的访问权限,只需删除您在禁用编辑时添加到 .htaccess 文件中的代码即可。
无论您是阻止未经授权的访问还是完全禁用文件编辑,采取行动保护您网站的代码都很重要。 否则,不受欢迎的访问者很容易编辑您的文件并添加新代码。 这意味着攻击者可以使用编辑器从您的 WordPress 网站收集数据,甚至使用您的网站对其他人发起攻击。
为了更轻松地隐藏您的文件,您可以使用安全插件来为您完成此操作,例如 Sucuri。
WordPress 安全回顾
WordPress 是一个出色的开源平台,初学者和开发人员都应该享受它,而不必担心成为攻击的受害者。 可悲的是,这些威胁不会很快消失,因此保持网站安全至关重要。
使用上面概述的措施,您可以为您的 WordPress 网站创建更强大、更安全的保护级别,并确保您自己获得更愉快的体验。
保持安全是一项持续的承诺,而不是一次性的清单,因此请务必定期回顾这些步骤,并在构建和使用 CMS 时保持警惕。
5 条评论