成为VIP原标题:WordPress网站安全 – 如何保护WordPress网站?
了解如何通过一个有效的WordPress网站安全指南来保护WordPress网站的安全。
WordPress被认为是最安全的内容管理系统之一。然而,它是一个开源的平台。这就是为什么许多网络犯罪分子被吸引到它,希望利用其漏洞进行攻击。
Sucuri的一份报告说,83%的被攻击网站运行在WordPress上。因此,WordPress网站的安全对于大多数在其上运行的企业来说是最重要的问题。
人们对WordPress声称自己是最安全的平台提出了疑问。
因此,让我们谈谈这个平台是否值得选择。
WordPress真的安全吗?
WordPress是几乎42.9%的所有网站的家。在维护安全方面,每个用户的行为都不同。
一些人喜欢保持他们网站的更新,而另一些人则是依靠他们的运气。这就是为什么网络犯罪分子容易执行他们的计划。过时的软件为黑客入侵WP网站铺平了道路。
WordPress雇用了50多名高质量的专家开发人员,他们一直关注着网络空间的漏洞和变化。因此,如果一个人保持他们的安全协议不变,并定期更新他们的平台和密码,保护他们的网站就会容易得多。
但是,为什么你需要保护你的网站?
好吧,让我们看看今天普遍存在的一些突出威胁。
哪些是最重要的WordPress网站安全问题?
1. 暴力攻击
在暴力攻击中,黑客通过尝试输入机器人生成的用户名和密码组合来破坏网站,最终获得正确的凭证。
如果你的密码很弱,这些攻击可能是非常有效的。
2. 跨站脚本攻击
在XSS或跨站脚本攻击中,黑客向网站注入恶意代码以获取敏感数据。
这类代码可以通过用户联系表或在后台引导和注入,而后台的安全性并不那么强大。
3. SQL注入
与XSS很相似,SQL注入也是通过用户表单提交页面射出一系列代码,以便网站可以将其存储在数据库中。
一旦代码被存储,黑客就可以利用它们来收集用户数据并感染数据库。
4. 后门攻击
这些攻击绕过登录部分,通过文件访问进入网站。黑客可以感染一个文件,并将其作为一个后门,随时进入你的网站并破坏它。
Sucuri所做的知名研究之一,后门是一个严重的漏洞,黑客可以利用它。近71%的被利用或被感染的网站都面临后门的注入。
5. 分布式拒绝服务(DDOS)
DDoS攻击是通过黑客攻击多台计算机,用来自未知来源的流量压倒一个特定网站而进行的。
太多的流量使网站崩溃,并不允许所有者进入网站。
现在你知道了这些问题,让我们来看看保护WordPress网站的20个技巧。
如何保护你的WordPress网站?
1. 登录安全
登录安全可以进一步划分为两种类型。
密码强度
如果你想保护你的WP网站免受黑客攻击,一个强大的密码是必须的。确保你使用一个包含大、小写字母和特殊符号的14位数的密码。
双因素认证系统
创建一个双因素认证系统,用户必须在他们的密码旁边输入一个独特的4-6位数的OTP才能登录。
2. 明智地选择主机供应商。
一个理想的托管服务会保留你的数据备份,并在发生攻击时帮助你检索。他们必须有必要的安全协议,以防止黑客入侵。因此,明智地选择他们。
3. 通过SSL对你的数据进行加密
SSL或安全套接字层证书是一种已知的安全协议,用于加密数据,并通过SSL握手创建一个安全的网络连接。它对每个网站都是必不可少的,因为它能够隐藏敏感数据,如用户密码、银行信息、信用卡号码、地址等。
你可以购买普通证书(不提供子域保护的证书)或通配符SSL证书(同时保护一级和子域,最多250个域名/子域)。
4. 更新WordPress软件
WordPress的开发人员不断努力寻找可能有潜在危险的错误。一旦发现,就向用户发布安全补丁和错误修复。因此,每个人都必须将他们的WordPress更新到最新版本以保持保护。
5. 升级PHP版本
PHP的更新经常可以到达你的WP仪表板。你可以简单地前往你的主机服务,更新它以保护你的主机和网站。
6. 整合安全插件
安全插件通过不断的扫描帮助阻止黑客的企图和渗透。它们通过检测恶意活动来隔离威胁。有很多这样的插件,如青蛙数字安全等。
7. 安装一个符合要求的主题
通常,我们倾向于根据它们的外观来选择主题。但这是完全错误的,因为我们淡化了它的脆弱性、兼容性和合规性。
确保你的WP主题符合WP标准,以杜绝所有潜在的漏洞。
8. 使用WAF
WAF或Web Application Firewall是主机和第三方之间的一种安全技术,用于监控传入的流量。青蛙数字安全提供专业的价格便宜的WAF防火墙
WAF协议通过识别和通知你潜在的攻击来帮助防止黑客攻击。它避免了主机和第三方之间的直接连接。
9. 创建备份系统
在网站崩溃的情况下,备份是你唯一的选择。虽然大多数真正的主机服务在提供服务的同时提供备份系统,但你必须在云端创建单独的备份系统。
云备份帮助你从任何设备上访问你的网站数据。
10. 定期扫描你的WP网站。
为了确保你的WP网站顺利运行,你必须通过安全工具进行定期扫描。
有很多工具,如MalCare, WP Sec Scan, Sucuri Scan, Wordfence等。每月扫描一次你的网站可以帮助它保持良好的状态。
11. 不允许在用户输入字段中使用特殊字符
如果你在你的网站上接受用户评论、凭证和细节,你必须小心XSS攻击。
黑客可以输入特殊符号和字符来干扰你的数据库,并最终入侵你的网站。因此,不允许在输入字段中使用特殊字符作为用户回复。
12. 对用户权限施加约束
允许更多的用户访问你的管理区会使一个安全的WordPress网站面临风险。因此,你必须应用约束条件,比如限制他们对非管理页面的访问。
你将不太可能被黑客攻击,因为攻击者不会找到很多通过暴力或网络钓鱼攻击的漏洞。
13. 整合WP警报系统
如果你被入侵,最好是早知道,而不是晚知道。因此,当有人试图攻击你时,应该有一个监控系统来提醒你。
一旦你有了警觉,你就可以挽救你的网站的整体部分,使其不被进一步破坏。
14. 保持一个日志来跟踪用户的活动。
日志记录了用户在网站上的行为。通过不时地检查,你可以知道谁修改了密码,登录了管理面板,退出了管理面板,以及改变了插件等。
15. 保持登录URL的独立性
使用默认的WP登录URL,网站可能会成为黑客的一个简单目标。你必须使用WPS隐藏登录等插件,改变你的URL以避免这种情况。
16. 不允许在WP仪表板上编辑文件
作为管理员,你可以随意更改WP文件代码。问题是,这对WordPress的安全是致命的。
如果一个攻击者获得了对你网站的访问权,他们可以很容易地改变代码并入侵你的所有文件。因此,通过在你的wp.config.php中发布以下代码来禁止它。
// 不允许文件编辑
define (DISALLOW_FILE_EDIT, true );
17. 改变数据库文件的前缀
默认情况下,WordPress的文件名以wp_开头。黑客可以通过输入这个默认前缀并注入SQL来找到你的数据库。
因此,改变你的前缀为类似wptable_的东西,使黑客难以猜测。
18. 删除XML RPC
由于有了REST API,XML-RPC在WP用户中的使用并不突出。但如果你还在使用它,你的网站可能会受到怀疑。
要想停用它,请使用XML-RPC-API插件。甚至其他的WP安全插件也可以将其抹去。
19. 制作一个新的WP-admin账户。
如果你不确定你的WP管理账户是否安全,可以考虑删除它。你可以创建另一个账户并授予它同样的权限。这次要保持不同的、独特的凭证,以避免被发现。
20. 不要显示你的WP版本。
有时知道你的WP版本就是黑客所需要的一切。他们有现成的计划来突破旧版本的漏洞。
如果他们能看到你的WP版本,他们就可以运用他们的策略,破坏你的WP网站。因此,要不惜一切代价隐藏你的WP版本,这样黑客就无法知道他们的漏洞技术是否会在你的版本上发挥作用。
对WordPress网站安全的最后思考
说了这么多,你一定已经明白在当今世界维护一个WordPress网站是多么具有挑战性。
除了拥有像SSL证书这样的安全协议外,你还必须了解一两件关于技术世界的事情,以避免陷入危险的境地。
然而,这一揽子的20个提示涵盖了你需要知道的所有技术。如果你整合了这些技巧,你肯定可以维持一个安全和强大的WP网站。
责任编辑:
