如何使 WordPress 网站安全

已发表: 2020-10-27

如今,启动您自己的 WordPress 网站非常容易。 不幸的是,黑客很快就会开始瞄准您的网站。

确保 WordPress 网站安全的最佳方法是了解运行 WordPress 网站的每个漏洞点。 然后安装适当的安全措施以在每个点上阻止黑客。

目录

    在本文中,您将学习如何更好地保护您的域、您的 WordPress 登录以及可用于保护您的 WordPress 站点的工具和插件。

    创建私有域

    现在很容易找到一个可用的域并以非常便宜的价格购买它。 大多数人从不为其域购买任何域插件。 但是,您应该始终考虑的一个附加组件是隐私保护。

    GoDaddy 提供三个基本级别的隐私保护,但这些也与大多数域名提供商的产品相匹配。

    • 基本:从 WHOIS 目录中隐藏您的姓名和联系信息。 这仅在您的政府允许您隐藏域联系信息时可用。
    • 完整:将您自己的信息替换为备用电子邮件地址和联系信息,以掩盖您的实际身份。
    • Ultimate :阻止恶意域扫描的附加安全性,并包括对您的实际站点的网站安全监控。

    通常,将您的域升级到这些安全级别之一只需要从域列表页面上的下拉列表中选择升级。

    基本的域保护相当便宜(通常每年 9.99 美元左右),而更高级别的安全性也不会贵很多。

    这是阻止垃圾邮件发送者从 WHOIS 数据库中抓取您的联系信息或其他恶意想要访问您的联系信息的人的绝佳方法。

    隐藏 wp-config.php 和 .htaccess 文件

    首次安装 WordPress 时,您需要在 wp-config.php 文件中包含 WordPress SQL 数据库的管理 ID 和密码。

    该数据在安装后会被加密,但您还希望阻止黑客编辑此文件并破坏您的网站。 为此,请在站点的根文件夹中找到并编辑 .htaccess 文件,然后在文件底部添加以下代码。

     # 保护 wpconfig.php
     <文件 wp-config.php>
     命令允许,拒绝
    否认一切
    </文件>

    要防止更改 .htaccess 本身,请将以下内容添加到文件底部。

     # 保护 .htaccess 文件
    <文件 .htaccess>
     命令允许,拒绝
    否认一切
    </文件>

    保存文件并退出文件编辑器。

    您还可以考虑右键单击每个文件并更改权限以完全删除每个人的写入权限。

    虽然对 wp-config.php 文件执行此操作不会导致任何问题,但对 .htaccess 执行此操作可能会导致问题。 特别是如果您正在运行任何可能需要为您编辑 .htaccess 文件的安全 WordPress 插件。

    如果您确实从 WordPress 收到任何错误,您可以随时更新权限以再次允许对 .htaccess 文件进行写入访问。

    更改您的 WordPress 登录 URL

    由于每个 WordPress 站点的默认登录页面是 yourdomain/wp-admin.php,因此黑客将使用此 URL 尝试入侵您的站点。

    他们将通过所谓的“蛮力”攻击来做到这一点,他们将发送许多人常用的典型用户名和密码的变体。 黑客希望他们能走运并找到正确的组合。

    您可以通过将 WordPress 登录 URL 更改为非标准的内容来完全阻止这些攻击。

    有很多 WordPress 插件可以帮助您做到这一点。 最常见的一种是 WPS 隐藏登录。

    此插件在 WordPress设置下的常规选项卡中添加了一个部分。

    在那里,您可以输入任何您想要的登录 URL,然后选择保存更改以激活它。 下次您想登录 WordPress 网站时,请使用这个新 URL。

    如果有人试图访问您的旧 wp-admin URL,他们将被重定向到您网站的 404 页面。

    注意:如果您使用缓存插件,请确保将您的新登录 URL 添加到缓存的站点列表中。 然后确保在再次登录 WordPress 站点之前清除缓存。

    安装 WordPress 安全插件

    有很多 WordPress 安全插件可供选择。 在所有这些软件中,Wordfence 是最常下载的软件,这是有充分理由的。

    Wordfence 的免费版本包括一个强大的扫描引擎,可以查找后门威胁、插件或站点中的恶意代码、MySQL 注入威胁等。 它还包括一个防火墙来阻止 DDOS 攻击等主动威胁。

    它还可以让您通过限制登录尝试并锁定进行过多错误登录尝试的用户来阻止暴力攻击。

    免费版中有很多设置可用。 足以保护中小型网站免受大多数攻击。

    您还可以查看一个有用的仪表板页面来监控最近被阻止的威胁和攻击。

    使用 WordPress 密码生成器和 2FA

    您最不想要的就是让黑客轻松猜出您的密码。 不幸的是,太多人使用很容易猜到的非常简单的密码。 一些示例包括使用网站名称或用户自己的名称作为密码的一部分,或者不使用任何特殊字符。

    如果您已升级到最新版本的 WordPress,您可以使用强大的密码安全工具来保护您的 WordPress 网站。

    提高密码安全性的第一步是转到您网站的每个用户,向下滚动到“帐户管理”部分,然后选择“生成密码”按钮。

    这将生成一个包含字母、数字和特殊字符的长且非常安全的密码。 将此密码保存在安全的地方,最好保存在外部驱动器上的文档中,您可以在在线时断开与计算机的连接。

    选择在其他地方注销以确保所有活动会话都已关闭。

    最后,如果您安装了 Wordfence 安全插件,您将看到一个激活 2FA按钮。 选择此项可为您的用户登录启用双重身份验证。

    如果您不使用 Wordfence,则需要安装这些流行的 2FA 插件中的任何一个。

    • 谷歌身份验证器
    • 两因素身份验证
    • Rublon 两因素身份验证
    • 双重双重身份验证

    其他重要的安全注意事项

    您还可以采取更多措施来完全保护您的 WordPress 网站。

    WordPress 插件和 WordPress 本身的版本都应该随时更新。 黑客经常试图利用您网站上旧版本代码中的漏洞。 如果您不更新这两项,您的网站将面临风险。

    1. 定期在您的 WordPress 管理面板中选择插件已安装的插件。 查看所有插件是否有新版本可用的状态。

    当您确实看到一个已过期的内容时,请选择立即更新。 您也可以考虑为您的插件选择启用自动更新。

    但是,有些人对此持谨慎态度,因为插件更新有时会破坏您的网站或主题。 因此,在您的实时站点上启用它们之前,在本地 WordPress 测试站点上测试插件更新总是一个好主意。

    2. 当您登录 WordPress 仪表板时,如果您运行的是旧版本,您会看到 WordPress 已过期的通知。

    同样,备份站点并将其加载到您自己 PC 上的本地测试站点,以测试 WordPress 更新不会破坏您的站点,然后再在您的实时网站上更新它。

    3. 利用您的虚拟主机的免费安全功能。 大多数网络主机为您在其中托管的网站提供各种免费的安全服务。 他们这样做是因为它不仅可以保护您的站点,还可以保证整个服务器的安全。 当您使用其他客户端在同一服务器上拥有网站的共享主机帐户时,这一点尤其重要。

    这些通常包括为您的站点安装免费的 SSL 安全、免费备份、阻止恶意 IP 地址的能力,甚至是一个免费的站点扫描程序,它会定期扫描您的站点以查找任何恶意代码或漏洞。

    运行网站绝不仅仅是安装 WordPress 并发布内容那么简单。 让您的 WordPress 网站尽可能安全非常重要。 以上所有提示都可以帮助您轻松做到这一点。