如何使 WordPress 網站安全

已發表: 2020-10-27

如今,啟動您自己的 WordPress 網站非常容易。 不幸的是,黑客很快就會開始瞄準您的網站。

確保 WordPress 網站安全的最佳方法是了解運行 WordPress 網站的每個漏洞點。 然後安裝適當的安全措施以在每個點上阻止黑客。

目錄

    在本文中,您將學習如何更好地保護您的域、您的 WordPress 登錄以及可用於保護您的 WordPress 站點的工具和插件。

    創建私有域

    現在很容易找到一個可用的域並以非常便宜的價格購買它。 大多數人從不為其域購買任何域插件。 但是,您應該始終考慮的一個附加組件是隱私保護。

    GoDaddy 提供三個基本級別的隱私保護,但這些也與大多數域名提供商的產品相匹配。

    • 基本:從 WHOIS 目錄中隱藏您的姓名和聯繫信息。 這僅在您的政府允許您隱藏域聯繫信息時可用。
    • 完整:將您自己的信息替換為備用電子郵件地址和聯繫信息,以掩蓋您的實際身份。
    • Ultimate :阻止惡意域掃描的附加安全性,並包括對您的實際站點的網站安全監控。

    通常,將您的域升級到這些安全級別之一隻需要從域列表頁面上的下拉列表中選擇升級。

    基本的域保護相當便宜(通常每年 9.99 美元左右),而更高級別的安全性也不會貴很多。

    這是阻止垃圾郵件發送者從 WHOIS 數據庫中抓取您的聯繫信息或其他惡意想要訪問您的聯繫信息的人的絕佳方法。

    隱藏 wp-config.php 和 .htaccess 文件

    首次安裝 WordPress 時,您需要在 wp-config.php 文件中包含 WordPress SQL 數據庫的管理 ID 和密碼。

    該數據在安裝後會被加密,但您還希望阻止黑客編輯此文件並破壞您的網站。 為此,請在站點的根文件夾中找到並編輯 .htaccess 文件,然後在文件底部添加以下代碼。

     # 保護 wpconfig.php
     <文件 wp-config.php>
     命令允許,拒絕
    否認一切
    </文件>

    要防止更改 .htaccess 本身,請將以下內容添加到文件底部。

     # 保護 .htaccess 文件
    <文件 .htaccess>
     命令允許,拒絕
    否認一切
    </文件>

    保存文件並退出文件編輯器。

    您還可以考慮右鍵單擊每個文件並更改權限以完全刪除每個人的寫入權限。

    雖然對 wp-config.php 文件執行此操作不會導致任何問題,但對 .htaccess 執行此操作可能會導致問題。 特別是如果您正在運行任何可能需要為您編輯 .htaccess 文件的安全 WordPress 插件。

    如果您確實從 WordPress 收到任何錯誤,您可以隨時更新權限以再次允許對 .htaccess 文件進行寫入訪問。

    更改您的 WordPress 登錄 URL

    由於每個 WordPress 站點的默認登錄頁面是 yourdomain/wp-admin.php,因此黑客將使用此 URL 嘗試入侵您的站點。

    他們將通過所謂的“蠻力”攻擊來做到這一點,他們將發送許多人常用的典型用戶名和密碼的變體。 黑客希望他們能走運並找到正確的組合。

    您可以通過將 WordPress 登錄 URL 更改為非標準的內容來完全阻止這些攻擊。

    有很多 WordPress 插件可以幫助您做到這一點。 最常見的一種是 WPS 隱藏登錄。

    此插件在 WordPress設置下的常規選項卡中添加了一個部分。

    在那裡,您可以輸入任何您想要的登錄 URL,然後選擇保存更改以激活它。 下次您想登錄 WordPress 網站時,請使用這個新 URL。

    如果有人試圖訪問您的舊 wp-admin URL,他們將被重定向到您網站的 404 頁面。

    注意:如果您使用緩存插件,請確保將您的新登錄 URL 添加到緩存的站點列表中。 然後確保在再次登錄 WordPress 站點之前清除緩存。

    安裝 WordPress 安全插件

    有很多 WordPress 安全插件可供選擇。 在所有這些軟件中,Wordfence 是最常下載的軟件,這是有充分理由的。

    Wordfence 的免費版本包括一個強大的掃描引擎,可以查找後門威脅、插件或站點中的惡意代碼、MySQL 注入威脅等。 它還包括一個防火牆來阻止 DDOS 攻擊等主動威脅。

    它還可以讓您通過限制登錄嘗試並鎖定進行過多錯誤登錄嘗試的用戶來阻止暴力攻擊。

    免費版中有很多設置可用。 足以保護中小型網站免受大多數攻擊。

    您還可以查看一個有用的儀表板頁面來監控最近被阻止的威脅和攻擊。

    使用 WordPress 密碼生成器和 2FA

    您最不想要的就是讓黑客輕鬆猜出您的密碼。 不幸的是,太多人使用很容易猜到的非常簡單的密碼。 一些示例包括使用網站名稱或用戶自己的名稱作為密碼的一部分,或者不使用任何特殊字符。

    如果您已升級到最新版本的 WordPress,您可以使用強大的密碼安全工具來保護您的 WordPress 網站。

    提高密碼安全性的第一步是轉到您網站的每個用戶,向下滾動到“帳戶管理”部分,然後選擇“生成密碼”按鈕。

    這將生成一個包含字母、數字和特殊字符的長且非常安全的密碼。 將此密碼保存在安全的地方,最好保存在外部驅動器上的文檔中,您可以在在線時斷開與計算機的連接。

    選擇在其他地方註銷以確保所有活動會話都已關閉。

    最後,如果您安裝了 Wordfence 安全插件,您將看到一個激活 2FA按鈕。 選擇此項可為您的用戶登錄啟用雙重身份驗證。

    如果您不使用 Wordfence,則需要安裝這些流行的 2FA 插件中的任何一個。

    • 谷歌身份驗證器
    • 兩因素身份驗證
    • Rublon 兩因素身份驗證
    • 雙重雙重身份驗證

    其他重要的安全注意事項

    您還可以採取更多措施來完全保護您的 WordPress 網站。

    WordPress 插件和 WordPress 本身的版本都應該隨時更新。 黑客經常試圖利用您網站上舊版本代碼中的漏洞。 如果您不更新這兩項,您的網站將面臨風險。

    1. 定期在您的 WordPress 管理面板中選擇插件已安裝的插件。 查看所有插件是否有新版本可用的狀態。

    當您確實看到一個已過期的內容時,請選擇立即更新。 您也可以考慮為您的插件選擇啟用自動更新。

    但是,有些人對此持謹慎態度,因為插件更新有時會破壞您的網站或主題。 因此,在您的實時站點上啟用它們之前,在本地 WordPress 測試站點上測試插件更新總是一個好主意。

    2. 當您登錄 WordPress 儀表板時,如果您運行的是舊版本,您會看到 WordPress 已過期的通知。

    再次,備份站點並將其加載到您自己 PC 上的本地測試站點,以測試 WordPress 更新不會破壞您的站點,然後再在您的實時網站上更新它。

    3. 利用您的虛擬主機的免費安全功能。 大多數網絡主機為您在其中託管的網站提供各種免費的安全服務。 他們這樣做是因為它不僅可以保護您的站點,還可以保證整個服務器的安全。 當您使用其他客戶端在同一服務器上擁有網站的共享主機帳戶時,這一點尤其重要。

    這些通常包括為您的站點安裝免費的 SSL 安全、免費備份、阻止惡意 IP 地址的能力,甚至是一個免費的站點掃描程序,它會定期掃描您的站點以查找任何惡意代碼或漏洞。

    運行網站絕不僅僅是安裝 WordPress 並發佈內容那麼簡單。 讓您的 WordPress 網站盡可能安全非常重要。 以上所有提示都可以幫助您輕鬆做到這一點。