您是否知道WordPress网站上每分钟有超过90,978次攻击?幸运的是,尽管这个数字听起来很大,但如果您遵循基本的安全规则,则可以防止大多数潜在攻击并使您的网站免受攻击。
或者至少让它很难闯入,以至于黑客宁愿瞄准数千个安全性差的人之一。这并不难做到,特别是如果您考虑到许多攻击是在自动漏洞扫描程序找到潜在途径后执行的。那么,如何飙升您的WordPress网站安全性?以下是 6 个基本提示。
1.保持WP安装,主题和插件更新
一个不费吹灰之力但经常被忽视的。根据 WordPress.org 的说法,所有WordPress网站的1/3尚未更新到最新版本。最重要的是,几乎 2/3 的 Web 主机使用早于 7.0 的 PHP。过时的WordPress安装和服务器框架对您的网站构成了巨大威胁,并增加了成功违规的风险,因为黑客会尝试使用未修补的漏洞访问您的网站。
事实上,如果你保持所有的主题、插件和WordPress都是最新的,你将比75%的合法网站更安全——因为据估计,四分之三的网站包含未修补的漏洞。幸运的是,获取最新版本的 WP 插件、主题和 WP 本身非常简单——您只需单击几下按钮即可。
同时,确保您的服务器运行最新的 PHP 版本可能会更耗时。这就是为什么最好联系您的托管支持并要求他们为您指出如何自己升级它的指南,甚至要求他们为您升级它。
2.安装恶意软件扫描程序和防火墙
如果您认为只有您的 PC 会受到恶意软件、病毒和暴力攻击的影响,那么您大错特错了。WordPress不仅会受到影响,而且实际上是受感染最严重的网站CMS,这很可能与其受欢迎程度有很大关系。
好消息是,WordPress有许多免费和付费的防火墙和恶意软件扫描程序。
3.获得VPS并将其变成堡垒
与共享主机相比,VPS允许您控制其配置的各个方面。因此,您不仅可以使您的网站更快,还可以确保其托管环境(服务器)得到适当的保护。
在非托管 VPS 上,您可以选择操作系统(例如,与 Ubuntu 相比,CentOS 被认为更安全)、防火墙和您安装的其他软件,例如恶意软件扫描程序(您应该同时安装在 WordPress 和服务器本身上)。
此外,通过在具有root访问权限的VPS上安装WordPress,可以轻松更改MySQL密码或重命名WordPress文件夹并重新配置其文件以减少潜在攻击的机会。尽管其中一些也可以使用安全插件来完成
当然,为了获得虚拟专用服务器的所有好处(速度、灵活性和可扩展性等等),您应该从提供不同定价包的公司租用服务器,如果您需要更多资源,这些套餐易于升级。您可以在此处看到此类优惠的一个很好的例子 。
4. 隐藏 /wp-admin 和你的 WordPress 安装
为什么要告诉世界你首先在WordPress上运行?虽然它是一个很棒的内容管理系统,但您不必吹嘘运行它。特别是它为潜在的入侵者提供了有价值的信息。例如,除非您隐藏WordPress,否则诸如What WordPress主题之类的网站? 不仅要披露有关您使用的主题的信息,还要披露有关某些插件的信息。这就像告诉黑客嘿,这就是你可以进入的方式
那么,您如何隐藏您的WP站点信息免受潜在入侵者的窥探?幸运的是,您根本不需要任何技术技能。在有需求的地方,有WordPress插件,您可以使用它们来做到这一点。
5.更改您的WP用户名并将其隐藏
就像您不应该使用单词密码作为实际密码一样,保留默认的WordPress用户名管理员可能会产生可怕的后果。最后,这可能是任何潜在入侵者尝试猜测的第一件事,因此通过使用它,您可以让他们非常轻松地找出您的管理员帐户的详细信息。
如何改变它?有两种方法可以做到这一点。您可以寻找一个可以为您完成或手动方式的插件。就个人而言,我更喜欢后者——因为它同样快速和简单,任何人都可以做到这一点。但是,由于WordPress没有为您提供开箱即用的选项来更改它,因此您需要使用一个小的解决方法。首先,登录您的网站并转到用户>添加新。
在那里,插入新管理员帐户的用户名,并确保将用户角色设置为管理员。 完成后,单击显示密码并更改或复制默认(安全)密码。
创建用户后,注销站点,然后使用新用户登录。转到“所有用户”>“用户”,然后删除旧的WordPress管理员帐户。但是,这还不是全部。您需要一个帐户才能发布帖子,对吗?与其使用管理员发布它们,由于永久链接,管理员使其用户名易于猜测(除非您使用它们),请继续创建一个单独的帐户。这一次,不是将其角色设置为管理员,而是将其设置为没有管理员功能(例如作者或编辑者)的角色。
完成后,继续将所有现有帖子的作者设置为新用户(您可以在每篇文章下的“所有帖子”>“快速编辑”中执行此操作)。
6. 保护现有的WordPress用户帐户
您是否与虚拟助手合作或有可以访问您的WordPress网站的员工?在这种情况下,最好不要让他们访问所有插件和数据。最后,他们可能不必能够配置您网站上的所有插件。而且,除非他们是受信任的开发人员,否则他们绝对不应该访问主题编辑器。如何限制他们的访问?一种方法是创建他们的帐户并将其角色设置为贡献者、作者或编辑者的默认角色之一。
但是,如果您想阻止他们访问超过这些角色限制,同时允许他们访问默认设置未提供给他们的网站部分,该怎么办?在这种情况下,您可以使用免费的插件。
7. 通过审核日志监控活动
如果您不能限制用户访问您网站上的大多数易受攻击的元素,而是至少想知道谁更改或编辑了什么,以防出现任何问题,该怎么办?要以综合审核日志的形式获取概述,您可以安装一些插件。它让您方便地了解员工和 VA 的活动:
8.使用谷歌身份验证器使登录更安全
说到用户,您还可以做一件事来使您的网站更加安全。想象一下,您的WordPress凭据(或您的员工的凭据)被盗。在这种情况下,根据员工的用户角色,入侵者可以访问整个WP网站。为防止这种情况发生,请考虑在登录时添加双因素身份验证。最简单的方法是谷歌身份验证器插件。完成后,即使有人获得了您的用户名和密码,如果没有Google身份验证器应用程序提供的代码,他们也无法登录。
如果您遵循上述提示,请在向他人授予对您网站的访问权限时保持谨慎,并使您的网站元素保持最新,您的网站以及使用它,您的业务将免受任何潜在入侵者的侵害。更不用说您可以节省多少只能防止安全漏洞。