WordPress是內容管理系統(CMS)行業中眾所周知的巨頭,它是一個為互聯網上所有網站的30%以上提供支持的平台。但是它的名氣是有代價的。黑客經常將WordPress網站作為攻擊目標,並破壞網站的內容。
WordPress核心是比較安全的,但是它的生態很強大,有數以萬計的主題和插件,這就導致了它的安全問題變得嚴重起來。
但是,您也不必過分擔心,通過一些必要的措施,是可以很大程度上提高你網站的安全,今天我們就來說說15個基本的步驟,讓你的WordPress站點免受攻擊者的侵害。
事不宜遲,讓我們從頭開始。
1.選擇優質的主機託管商
使WordPress站點免受惡意軟件攻擊的最佳方法是選擇一個在服務器級別提供多層安全性的託管服務提供商。
廉價的託管主機總是非常吸引人的,尤其是在您剛剛開始使用時。但是,從長遠來看,如果您對網站的建設很認真,就應該選擇安全性較高的主機託管商。
好的主機不僅可以提供卓越的安全性,它還帶有許多其他好處,例如內置CDN、自動備份、免費遷移以及免費的WordPress安裝,可幫助您節省時間並從一開始就優化您的網站。這些類型的託管服務稱為託管型主機。
網絡上有很多託管型主機,做外貿網站的,建議使用SiteGround或WPEngine。
國內幾乎沒有什麼針對WordPress優化的託管型主機,但是你可以優先考慮阿里雲、騰訊雲這樣的大廠的產品。
2.避免使用盜版主題和插件
高級主題和插件具有其他同類產品無法比擬的功能。開發人員發布了高級版本,以確保他們有足夠的財力來將來繼續開發更好的產品。
為了確保WordPress的安全性,這些插件和主題會不斷更新並投放市場。為這些主題付費的個人會將其更新為最新版本。
開發人員確保質量,保障用戶的網站安全。
然而,有些人免費尋求高級功能,去下載使用各種盜版破解的WordPress主題和插件。看起來是佔了巨大的便宜,其實這是非常愚蠢的做法。
這種盜版主題和插件可能不是最新版,會存在安全漏洞,並且很多網上流傳的盜版東西,都有植入惡意代碼,你的網站隨時都有可能被黑客拿下,甚至一夜之間就被刪除!
這可不是危言聳聽,可以看下我們之前發布的文章:
- 再次警告:不要使用WordPress盜版主題和插件,避免受到WP-VCD惡意感染
3.安裝使用安全插件
您可以通過定期檢查網站,主題和插件的代碼庫來檢查網站是否存在漏洞。大多數程序員還是會通過安裝安全插件來採取簡單而自動化的方法。
安全插件可幫助保護您的網站免受惡意軟件攻擊和各種形式的黑客攻擊。它還可以使您的站點保持24/7全天候運行,並在發生問題時向您發送安全警報。
WordFence在安全插件方面處於行業領先地位,它提供了多種安全功能,例如惡意軟件檢測,阻止不可靠的登錄名,防火牆,掃描儀,兩因素身份驗證等等。
除了WordFence之外,您還可以使用Sucuri Security來保護WordPress安裝。該插件具有強大的功能,例如通過內置的緩存工具和CDN提高站點速度,防禦DDoS攻擊,利用和其他黑客攻擊。
我們提到的這兩個插件都帶有其高級版本,這些高級版本可為您的WordPress網站帶來額外的性能和安全性提升。也就是說,免費版本也非常有用的。
4.使用強密碼和用戶名
強大的密碼是保護網站安全的重要工具。通常被忽略,但仍有許多用戶喜歡使用“ 123456,password和abc123”之類的密碼。
如果您是這些用戶之一,請立即更改密碼。儘管很容易記住這些密碼,但是即使安裝了安全插件,黑客也很容易獲得訪問您的站點的權限,而不會遇到任何特殊問題。
要使用所有最佳做法設置強密碼,您應該選擇一個在線密碼生成器。我們知道生成器將釋放複雜且難以記住的密碼。要解決該問題,您可以使用密碼管理服務(例如Lastpass或Passbolt)。
不要只限於登錄密碼。為您的託管帳戶、FTP和數據庫創建強密碼。
同樣,不要僅僅依靠通用的登錄用戶名,例如“ Login”或“ admin”。嘗試對用戶名採取更加個性化的方法,以使黑客無法輕易發現它。此時,您不需要生成器。只需發揮您的想像力,然後找出一個容易記住的用戶名即可。
例如,您可以使用喜歡的作者的用戶名(例如Ernest Hemingway),並創建一個用戶名,例如“ E-Hemmingway”或“ Ernest Hummingbird”。這只是一個有意思的例子。
5.禁用文件編輯選項
您可以通過訪問儀錶盤並通過外觀>主題編輯器、插件>插件編輯器來編輯WordPress主題和插件的代碼。
一旦開發人員完成了一些自定義更改(如果有),就應該禁用文件編輯器功能。如果黑客訪問您的網站,禁用文件編輯選項也將阻止他們在您的網站上植入惡意代碼。
禁用文件編輯功能非常簡單。轉到您的wp-config.php並粘貼以下代碼,如下所示;
define('DISALLOW_FILE_EDIT', true);
拓展閱讀:禁止安裝、升級或編輯WordPress主題和插件
6.安裝SSL證書
SSL表示該站點是安全的,並且該站點的交易和付款處理也很安全。
如果您希望在搜索引擎結果頁(SERP)中排名靠前,並確保用戶的WordPress網站安全,那麼您必須安裝SSL證書。
SSL證書將https://而不是普通的舊http://添加到您的站點。它向搜索引擎表明網站是安全的,並且網站內的交易和其他活動也是安全的。結果,當您在網站上發佈內容並在諸如Google之類的搜索引擎上對其進行排名時,它會優先於其他非安全網站。
互聯網上有很多SSL證書提供程序,而且很多都是免費的,比如國內大廠阿里雲、騰訊雲都有提供免費SSL證書。
7.將“wp-admin”後台網址更改為其他內容
默認的WordPress後台網址為:yoursite.com/wp-admin
如果您擁有強大的用戶名和密碼,那麼您已經對黑客安全了。要進一步限制他們的訪問,可以通過將網址wp-admin
更改為其他內容來完全刪除訪問。只需要使用Change wp-admin login插件即可輕鬆實現。
更進一步,你還可以添加一個雙因素身份驗證方法,比如使用雙因素身份驗證插件即可。同時,您還將阻止安全性插件報告的登錄失敗次數最多的IP地址。
8.限制登錄嘗試
默認的WordPress登錄名允許用戶盡可能多地登錄。它允許真實用戶嘗試登錄幾次,直到他/她可以訪問為止。
但是對於黑客來說,它提供了足夠的空間來嘗試訪問您的網站。如果有足夠的空間,它們還可以觸發DDoS攻擊,這可能會在一定程度上損害您網站的聲譽。
您可以通過Limit Login Attempts Reloaded插件來限制站點上的登錄嘗試,該插件允許您通過轉到插件設置來設置登錄嘗試次數的限制。
9.隱藏wp-config.php和.htaccess文件
雖然這對於一般用戶來說有點高級,但是從長遠來看,將這些文件隱藏起來可以證明對提高站點的安全性很有幫助。
警告:在嘗試此操作之前,我們建議您為WordPress安裝創建備份。由於編碼並不適合所有人,因此萬一出現問題,它可能會嚴重影響您站點的流程。因此,在嘗試此操作之前請保持警惕。
備份站點後,您所需要做的就是訪問.htaccess文件並添加以下代碼:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
同樣,您需要對.htaccess文件執行以下操作:
<Files .htaccess>
order allow,deny
deny from all
</Files>
即使該過程易於理解和實施,也必須進行備份,以防萬一您破壞了網站。同樣,編碼是留給編碼人員的。如果您有開發人員,則應該與他/她一起執行這些操作。
- 10.保持WordPress更新
除了定期更新插件和主題外,您還應該同時保持WordPress核心的更新。
與插件和主題相似,WordPress核心開發人員還會在每個新版本中發布新的安全更新。使用較新的更新,可以防止黑客利用公認的漏洞來入侵您的網站。
WordPress會自動安裝次要更新。但是,對於主要版本,您可以訪問管理控制台以手動安裝它們。
11.禁用XML-RPC
XML-RPC文件自3.5版開始提供默認的WordPress安裝,如果您希望將站點與Web和移動應用程序連接起來,則至關重要。
儘管這些文件很有用,但黑客已設法利用此文件來放大您網站上的暴力攻擊。
在您通過WordFence或其他安全插件安裝了蠻力保護的情況下,該插件將阻止通過多個IP地址進行的多次登錄嘗試。如果黑客嘗試入侵您的網站100次,則其IP地址將被阻止100次。
但是,XML-RPC改變了這種情況以支持它們。他們這樣做是通過訪問system.multicall函數來猜測20至50個請求的密碼,而不會使其IP被插件禁止。
因此,為了確保免受蠻力攻擊的安全,建議您禁用XML-RPC文件。請看文章:什麼是XML-RPC,為什麼以及如何禁用它?
12.註銷閒置時間過長的用戶
每當登錄用戶(可能是您或您的員工)長時間離開屏幕時,都會對您的網站造成安全風險。可能發生幾種方式:
- 您的WordPress會話可能被惡意軟件劫持。
- 有人可以更改您網站的密碼,從而禁用您的訪問權限。
- 他們擁有您的帳戶後,便可以對您的帳戶進行惡意更改。
建議您刪除網站上閒置時間過長的用戶,以防止此類入侵您的網站。
您可以使用名為Inactive Logout的插件來實現。安裝插件後,只需導航至“設置”>“非活動註銷”即可設置插件的時間。然後,單擊“ 保存更改”,就完成了。
13.在您的WordPress登錄上啟用安全問題
如果僅創建強密碼,用戶名和更改wp-admin登錄網址是不夠的,則可以通過引入安全問題來進一步提高WordPress網站的安全性。
WordPress插件為您的安全增添了價值。使用WP Security Question插件,您可以將安全問題添加到您的站點。
14.定期執行安全檢查
WordFence和相關的安全性插件會定期跟踪您的網站訪問量,並向您發送任何奇怪情況的報告(如果確實存在)。
如果您發現網站訪問量或SERP總體排名突然發生變化,建議您手動掃描您的網站以查找錯誤和可能的跡象,表明該網站已被黑客入侵。
有很多非WordPress解決方案可以幫助您檢測網站上的問題。就是說,其中最有效的是Sucuri Site Health Check和Virustotal。
進行這些掃描相對容易。您所要做的就是輸入網站的網址,然後等待掃描完成。這兩種掃描儀的搜索都非常徹底,並且會生成詳細的報告,以顯示您缺乏安全保護的地方以及與您的站點相關的重大問題是什麼。
建議您定期執行這些掃描,以在出現問題時保護自己。
15.在特定的WordPress目錄中禁用PHP執行
您可以用來確保後端安全性的另一種方法是禁用某些目錄的PHP文件的執行。在某些目錄中,例如/wp-content/uploads/,不需要執行php。
與您需要禁用XML-RPC和文件編輯的方式類似,您也可以執行此操作以防止黑客通過它們訪問您的網站。
您可以通過打開記事本文檔並將以下代碼粘貼到該文檔上來完成此操作:
<Files *.php>
deny from all
</Files>
將其另存為.htaccess並將其上傳到上述目錄/wp-content/uploads/。與上面提到的wp-config.php文件類似,最好在執行此操作之前先進行備份,因為更改可能會導致您的網站損壞。
總結
WordPress安全是必不可少的,您需要積極主動地為您的網站創建幾乎牢不可破的牆。完成此操作後,最好保持警惕並花點時間檢查網站的安全性。
否則,可能會以SERP黑名單的形式損害您的數字聲譽,或者更糟的是,黑客本身提出了贖金要求。
祝您好運,使WordPress網站免受黑客攻擊。保持安全,並保持警惕。
留言列表