wordpress安全:14种方法来逐步保护你的WordPress网站

WordPress的安全应该是网站所有者的首要任务。为什么?因为每分钟有多达九万次攻击发生在WordPress网站上。

如果这还不够令人担忧,谷歌每周会列出大约2万个恶意软件网站和5万个钓鱼网站。当一个网站被列入黑名单时——用户被迫承认风险——它会导致约95%的流量损失。

虽然最新版本的WordPress总是最安全的,但是你可以做更多的事情来确保你的网站不会被黑客和机器人入侵。

这里有一些最佳实践技巧来帮助您保护您的网站。

  1. 使用一个好的网络主机
  2. 只使用质量主题和插件
  3. 保持WordPress核心,主题和插件的更新
  4. 不要使用“Admin”作为用户名
  5. 使用强密码
  6. 使用双因素身份验证
  7. 限制登录尝试
  8. 安装SSL证书
  9. 更改数据库的前缀
  10. 保护wp-config.php和.htaccess文件
  11. 添加安全密钥
  12. 禁用文件编辑
  13. 防止PHP文件被执行
  14. 禁用xml – rpc选择性

1. 使用一个好的网络主机

一个好的网络主机是你抵御攻击的第一道防线。所以不要自动选择廉价的共享主机。相反,提前做工作。

选择一个信誉良好的主机,支持最新版本的基本web技术,如PHP和MySQL。请确保您的主机支持PHP 7 -它是WordPress官方推荐的PHP版本。

考虑选择一个托管的WordPress主机。这些服务是专门为WordPress设置的,负责托管的所有重要技术方面,包括安全、备份、正常运行时间和性能。

2. 只使用高质量主题和插件

据WPScan统计,52%的网站漏洞是由插件引起的,11%是由主题引起的。综合起来,这占了WordPress的安全性 60%以上。

确保你的插件和主题经得起攻击的最简单的方法是只从可靠的来源下载它们。这包括WordPress.org和高级提供商。从那些在主题和插件中隐藏恶意代码的狡猾开发者那里下载可能会危及您的站点。

如果你不确定你想要下载的网站是否安全,寻找推荐和评论,以确保你想要的产品是高质量的。

此外,确保你使用的插件和主题也得到良好的支持,并定期更新。如果一个插件或主题很长时间没有更新,很可能它包含了未修补的安全漏洞,甚至是糟糕的代码,这可能会让你很容易被黑客攻击。

最后,只保留你真正需要和使用的插件和主题。你拥有的信息越多,被黑客攻击的风险就越高。因此,定期检查你的插件和主题列表,禁用并删除任何你不需要的插件和主题。

3.保持WordPress核心,主题和插件的更新

WordPress是开源软件,由全球志愿者社区开发和维护。每个新版本都修补了所有安全漏洞。

默认情况下,WordPress会自动安装一些小的更新(例如WordPress 4.9.4)。但是对于主要版本(例如WordPress 4.9),你有责任手动更新到最新版本。

确保你的网站总是运行最新版本的WordPress。

这些核心更新对站点的安全性和性能至关重要。所以一定要备份站点,并在核心更新可用时应用它们。

同样,定期更新插件和主题也很重要,这样你就可以一直使用最新和安全的软件版本。

4. 不要使用“Admin”作为用户名

不要使用“admin”作为你的网站的用户名。早期版本的WordPress使用“admin”作为默认用户名,这让黑客更容易破解——在蛮力攻击时少了一块拼图。

但是最近发布的WordPress改变了这一点,用户可以在安装过程中输入自己的用户名。然而,有些人仍然选择使用“admin”,而不是使用原始用户名。只是不喜欢。

您希望使恶意攻击者更难渗透您的站点,从而使攻击花费的时间更长,您或托管服务提供商可以在攻击成功之前识别并阻止它们。

5. 使用强密码

总是为你的WordPress管理员帐户、数据库、托管帐户、电子邮件地址和任何FTP帐户创建强大而独特的密码。和用户名一样,密码也是黑客要猜的另一个难题,你的密码越强,黑客就越难成功登录你的网站。

在安装过程中,WordPress会强迫你输入一个强密码,如果你输入一个弱密码,WordPress会要求你勾选一个复选框。虽然您可能想要设置自己的密码,但是像Secure password Generator这样的工具可以为您创建一个强密码。

安全密码生成器可以让您创建唯一和随机的密码。

6. 使用双因素身份验证

即使有强大的用户名和密码,蛮力攻击仍然是许多网站的问题。这就是双因素身份验证可以发挥作用的地方。

双因素认证在登录过程中增加了另一个步骤,迫使用户在输入他们通常的登录凭证之外,输入发送到他们手机的代码。这可以阻止自动攻击,并确保您的网站不会成为黑客的受害者。

像iThemes Security这样的插件可以实现双因素身份验证。还有一些免费的插件,比如双因素认证,可以为你的网站增加额外的安全层。


免费的双因素认证插件可以让您轻松添加另一层保护,当登录到您的网站。

7. 限制登录尝试

默认情况下,你可以尝试多次登录你的WordPress帐户。如果你很健忘,第一次甚至第三次密码都不正确,这对你来说可能很方便,但对进行暴力攻击的黑客来说也很方便——它让他们可以无限次尝试破解你的用户名和密码组合。

通过限制用户在您的站点上登录失败的次数,可以很容易地解决这个问题。免费插件,如WP限制登录尝试,让您限制登录尝试和暂时阻止IP地址。

8. 安装SSL证书

在你的网站上安装一个SSL证书是必须的,特别是如果你有一个电子商务商店。不仅因为它会让黑客难以拦截用户浏览器和服务器之间的敏感信息,还因为谷歌现在坚持所有网站都应该有一个。

从2018年7月Chrome 68发布开始,不使用HTTPS加载的网页将被标记为“不安全”。这意味着试图访问没有SSL证书的站点的用户将得到一个警告,该站点是不可信的。

这项声明意义重大,因为据Cloudflare称,超过一半的网络访问者将看到这些警告。

“让我们加密”是一个免费的证书颁发机构,为网站所有者提供SSL证书。

获得SSL证书变得越来越容易。Let ‘s Encrypt提供免费的开源证书,而托管公司通常会提供免费的(有时甚至是免费的)证书。

9. 更改数据库的前缀

默认情况下,WordPress使用wp_作为网站数据库中所有表的前缀。这意味着如果你使用默认值——这是常见的WordPress知识——黑客很容易就能猜出你的表名是什么,这使得它很容易受到SQL注入的攻击。

解决这个问题的一个简单方法是使用随机字符串生成器将前缀更改为一些随机的东西,比如5jiqtu69dg_。为了更新你的表的前缀,打开你的站点文件目录下的wp-config.php文件,找到这一行:

$table_prefix  = 'wp_';

在我的例子中,你可以像这样替换这一行:

$table_prefix  = '5jiqtu69dg_';

10. 保护wp-config.php和.htaccess文件

你的网站的wp-config.php文件,通常位于你的网站的根文件夹,包含你的WordPress安装的关键信息,包括你的数据库的名称,主机,用户名和密码。同时,.htaccess是一个隐藏文件,它设置目录级服务器配置,启用好看的永久链接,并允许重定向。

阻止对这些关键文件的访问是很容易的。只需在你的.htaccess文件中添加以下内容来保护wp-config.php:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

或者,你可以简单地将你的wp-config.php文件移动到更高的目录,因为WordPress会自动在那里查找它。

要阻止不必要的。htaccess访问,你需要做的就是在代码中更改文件名:

<Files .htaccess>
order allow,deny
deny from all
</Files>

11. 添加安全密钥

WordPress安全密钥和盐对存储在浏览器cookie中的信息进行加密,保护密码和其他敏感信息。总共有四个安全密钥:AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY和NONCE_KEY。

这些身份验证密钥基本上是一组随机变量,使破解密码变得更加困难。像“wordpress”这样的未加密密码不需要攻击者付出太多努力就能破解。但是像“L2(Bpw 6#: s}tjSKYnrR~. dys5c >+>2l2YMMSVWno4 ‘ !%wz^GOBf};uj*>-tkye”这样长的随机密码就更难破解了。

添加安全密钥和盐是一个手动过程,很容易做到。以下是如何做到这一点:

  1. 准备一套新的安全钥匙和盐。你可以在这里随机生成它们。
  2. 接下来,更新您的wp-config.php文件。打开你的文件,向下滚动,直到你找到下面的部分,用你的新键和盐替换旧的值:
/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY', 'add unique variables here');
define('SECURE_AUTH_KEY', 'add unique variables here');
define('LOGGED_IN_KEY', 'add unique variables here');
define('NONCE_KEY', 'add unique variables here');
define('AUTH_SALT', 'add unique variables here');
define('SECURE_AUTH_SALT', 'add unique variables here');
define('LOGGED_IN_SALT', 'add unique variables here');
define('NONCE_SALT', 'add unique variables here');

/**#@-*/
  1. 保存您的wp-config.php文件。你会自动注销你的WordPress站点,需要重新登录。
相关阅读  WordPress菜单设置教程

12. 禁用文件编辑

WordPress为插件和主题文件提供了一个内部代码编辑器。虽然这对于想要快速修改文件的管理员很有用,但这也意味着黑客和高级用户也可以修改文件。你可以通过在你的WordPress管理中进入Appearance > Editor找到这个功能。

您可以在您的wp-config.php文件中禁用文件编辑。只要打开你的文件,添加这一行代码:

define('DISALLOW_FILE_EDIT', true);

你仍然可以通过FTP或cPanel编辑你的插件和主题,只是不能在WordPress管理员中。

13. 防止PHP文件被执行

黑客在WordPress中上传恶意软件的常见文件夹是wp-content/upload,但也有wp-include /。为了防止在这些文件夹中执行文件,在文本编辑器中创建一个新的文本文件,并粘贴以下代码:

<Files *.php>
deny from all
</Files>

接下来,将该文件保存为.htaccess,并通过FTP或cPanel将其上传到你的/wp-content/upload和wp-includes/文件夹中。

14. 禁用xml – rpc选择性

XML- rpc,或XML远程过程调用,是一个API,帮助连接web和移动应用程序与你的WordPress站点。它在WordPress 3.5中是默认启用的,但后来被发现可以显著放大蛮力攻击。

例如,如果黑客想在您的站点上尝试500个不同的密码,通常他们将不得不进行500次单独的登录尝试。但是使用XML-RPC,黑客可以使用这个系统。函数,在一个HTTP请求中尝试大量用户名和密码组合。

虽然在你的网站上完全禁用这个功能很容易,但这意味着像Jetpack这样的插件会失去功能。相反,最好选择使用特殊设计的插件实现和禁用XML-RPC的方式。

提示1:如何检查漏洞

有两种不同的方法可以检查您的网站的漏洞:使用在线站点扫描器或插件。

有了这些免费的在线工具,你只需要输入你网站的URL,他们就会开始扫描你的网站,寻找已知的漏洞:

WordPress安全扫描-这个工具被动地检查基本的安全问题。您需要升级到高级测试的高级计划。

Sucuri SiteCheck -检查您的网站已知的恶意软件,黑名单状态,网站错误,和过时的软件。通过高级升级,此工具将执行恶意软件清理、DDoS/蛮力保护、黑名单删除和安全监控。

WPScan -这个位于GitHub的黑盒WordPress漏洞扫描器可以让你扫描你的站点,寻找已知的核心、插件和主题漏洞。您需要使用终端来运行此应用程序。个人免费使用,由Sucuri赞助。

提示2:最好的WordPress安全插件

在你的WordPress站点上安装一个安全插件可以增加另一道防御可能的攻击的防线。他们提供了广泛的功能来帮助保护你的网站-包括网站扫描-当你的网站被破坏时可以通知你。

下面是排名前三的插件:

Wordfence

Wordfence安全插件。

WordFence是一个非常受欢迎的免费安全插件,有200多万活跃的安装和高级选项。它的特点是“威胁防御提要”,吸收最新的防火墙规则,恶意软件签名和恶意IP地址,保持您的网站。

一个web应用程序防火墙识别并阻止恶意流量,而一个实时IP黑名单阻止所有来自恶意IP的请求,保护您的网站,同时减少负载。

这个插件通过限制登录尝试、强制使用强密码和其他登录安全措施来防止暴力攻击。如果它在你的网站上发现任何类型的感染,它会通过电子邮件通知你。您还可以实时监控站点的流量,以检查站点是否受到攻击。

Sucuri

Sucuri安全插件。

作为一个免费的安全插件,Sucuri的安全插件提供了一套全面的功能,包括安全活动审计,这样你就可以监视网站的任何变化,文件完整性监控,远程恶意软件扫描,黑名单监控和安全加固措施。

该插件的“后安全操作”一节指导你在妥协后应该做的三件关键事情。您还可以启用安全通知,以便当您的网站上发现感染或它的危害,您将立即收到警报。

当您升级到高级版本时,您可以访问网站防火墙以获得额外的保护。

iThemes Security

iThemes安全插件。

iThemes Security的免费版本有助于锁定WordPress,修复常见漏洞并加强用户认证,而专业版本则提供了几乎所有你可能需要的安全措施。

有双因素身份验证,恶意软件扫描调度,和用户行为日志记录,以便您可以跟踪用户编辑器的内容,登录或注销。您可以更新安全密钥和盐,设置密码过期和添加谷歌reCAPTCHA到您的网站。

其他特性包括在线文件比较、WP-CLI集成和临时权限升级,以便您可以授予临时管理员或编辑访问站点的权限。

结论

没有正确的方法来保护你的WordPress站点免受安全威胁。你能做的最好的事情就是保持WordPress核心,主题和插件的更新,并实施一系列不同的解决方案来修补漏洞,保护关键文件,并迫使用户加强他们的证书。

安排定期备份也是必须的。您永远不知道站点什么时候可能会遭到攻击,所以准备好并制定计划以便在紧急情况下快速恢复站点是很重要的。

投资一个可靠的安全插件,它可以让您扫描站点的漏洞,监视操作,并在出现问题时向您发出警报,这也可以帮助您加强站点,并确保它受到良好的保护,免受威胁。

发表评论

您的电子邮箱地址不会被公开。