如何保护您的 WordPress 网站 [您永远需要的唯一指南]
已发表: 2021-08-05
WordPress 用户往往会在网站设计、内容和优化上花费大量时间,但往往忘记了一个重要因素:网站安全。 虽然对于非开发人员来说这似乎是一件乏味的事情,但保持 WordPress 的安全是经营业务的关键部分。
为什么可以问?
让我们一起探讨这个问题。
许多人忽略了这些信息,因为他们从未处理过被黑网站,所以他们根本无法想象解决它可能带来的麻烦、时间和精力。
首先,如果您经营在线业务,或者至少您通过网站管理部分业务,黑客攻击将不可避免地停止您的工作流程。 如果您拥有在线商店,您将无法销售; 如果您通过您的网站进行预约,您将无法这样做。
对于大批量的在线商店来说,这尤其糟糕——你不仅会在一段时间内无法销售,而且还可能会失去订单。 网站备份通常每天创建一次,如果您在完成后数小时内被黑客入侵,在此期间下的所有订单都将丢失。
如果您的网站正常运行,则可能仍然发生黑客攻击 - 例如,可以将链接注入代码并指向其他网站。
如果您通过广告从您的网站获利,您的广告可能会被其他人的广告所取代(因此您不会从中获得任何收入的展示广告)。
在很多情况下,您的网站可能会受到威胁,您需要几天甚至几周的时间才能意识到这一点。 在垃圾链接注入的情况下,这可能会影响您的 SEO(因为 Google 非常不喜欢垃圾链接)。 结果,您的 Google 排名可能会受到影响,并且您可能需要很长时间才能修复这种损坏。
还有客户信任问题; 当人们听到他们使用的网站被黑客入侵时,他们会非常担心。
SSL证书的使用避免了信用卡号码泄露等最严重的后果,但仍然可以获得一些数据。 用户可能会将您网站上的黑客攻击与安全性差相关联,并决定完全停止使用您的服务。
总体而言,如果您的网站被黑客入侵,您可以修复它,但首先保护您的 WordPress 是一种非常轻松的方式。
如果攻击已经发生,您可以使用插件扫描您的网站,但大多数可用插件只会指出最近修改了哪些文件,您仍然需要手动清理所有内容。
您可以尝试解决此问题的另一种方法是恢复网站的备份。 然而,这并不是 100% 保证的修复,特别是如果您不确定您的 WordPress 何时被黑客入侵(因此,哪个备份副本肯定是干净的)。
您还可以联系提供恶意软件清除和技术援助的专门机构; 他们会相对较快地采取行动并为您清理您的 WordPress,但这当然是有代价的。
您需要记住,即使您成功修复了损坏,如果您没有设置适当的保护,这种情况也可能(并且很可能会)再次发生。
您最好的办法是采取先发制人的行动并通过采取详细而全面的保护方法来保护您的网站。
但是,这是什么意思?
那么,您如何保护您的 WordPress 网站? 您可以采取哪些可行的步骤? 我们很高兴你问! 继续阅读。
通常选择网络托管的方式是通过朋友的推荐,通过建立网站的机构或通过在线研究。
没有经验的用户通常会寻找最便宜的价格。 然而,与生活中的大多数事情一样,可靠、高质量的托管会花费更多,而且它也会为您提供更多。 优秀的托管服务提供商提供了大量的安全功能,这可能意味着您是否必须处理被黑客入侵的网站。
另一方面,低成本的托管服务提供商会尽可能地偷工减料以弥补差异,不幸的是,安全性是一个受到很大影响的领域。
让我们举例说明我们为客户提供的一些功能。 除了 DDoS 保护、SSL 证书和 Web 应用程序防火墙等经典选项外,我们还有一些可以升级您的网站安全游戏的选项。
其中之一是 Patchman,该应用程序对不自动更新 WordPress 的用户非常有用。 Patchman 扫描您的安装并修复 WordPress 核心文件和众多流行插件中的任何已知漏洞。 Patchman 不会自动更新软件来修复漏洞,这可能会导致破坏站点的依赖问题,而是将安全修复程序应用于当前安装的版本。
您可以完全相信所应用的补丁会安全地发生并且不会损坏您的网站。
如果您要使用共享主机,则必须选择高性能、安全的主机。 许多公司还提供专门为 WordPress 配置的 WordPress 托管,您的网站通常会在其上表现得更好。
如果您有一个大容量网站并选择升级您的托管帐户,那么选择完全托管的专用服务器将保证更高级别的安全性,而不是更便宜(非托管)的服务器。
总而言之,对网络托管进行彻底的研究,不要让价格指导您做出选择。
发生这种情况的原因是由于黑客发现了漏洞。 如果您有兴趣阅读有关该主题的更多信息,我们推荐这篇文章,但总而言之,漏洞是您正在使用的应用程序代码中的“漏洞”。黑客和软件开发人员之间一直存在战斗,其中黑客发现并利用安全漏洞,开发人员寻求快速修补它们。
与其他 CMS 应用程序一样,WordPress 经历了更新周期,其中添加了新功能,开发人员致力于修复任何已知漏洞。 每年通常会有 1-3 次重大更新和许多次要更新,所有这些都对安全至关重要,因为它们几乎总是包含安全补丁。
但是等等——如果你有像 Patchman 这样的东西,为什么还需要更新?
Patchman 涵盖了 WordPress 核心文件和一些最流行的插件,但许多插件并未通过该应用程序进行修补。 这意味着所有这些插件,如果过时,很容易成为黑客在您的网站上为所欲为的切入点。
让您的 WordPress 保持更新非常容易。
首先,5.6(2020年12月发布)之后的所有版本都启用了自动更新,也就是说你不需要做任何事情。 如果由于某种原因不是这种情况(比如您的开发人员禁用了它们),您可以通过多种方式启用自动更新。
一种是通过 Softaculous,cPanel 用户经常使用该应用程序在其服务器上安装 WordPress。 Softaculous 的 WordPress 管理器允许您配置自动升级; 您可以选择仅自动升级次要更新或专业更新。
您还可以选择自动升级您的插件和主题。 最重要的是,它会在任何自动升级之前进行备份,以防万一需要恢复。
如果您在修改代码方面有些熟练,另一种选择是使用 WordPress 的本机自动更新配置 - 直接在 WordPress 的 KB 上找到更多相关信息。
许多人使用用户名“admin”,因为在使用 Softaculous 之类的软件应用程序安装 WordPress 时默认显示此用户名。
不要使用默认用户名,这会让黑客更容易 - 选择不同的用户名,例如您的电子邮件地址。 如果您已经获得了具有此用户名的已创建用户,请创建一个新管理员并删除现有管理员。
您的密码也是如此; 它越强越好。 选择一个包含数字和特殊字符的长密码,或者更好的是,生成一个随机密码。
如果您担心自己会忘记密码,请尝试想出一个可以帮助您记住密码的系统。 有些人喜欢使用字符+网站名称的静态组合作为区分(Jack1990Apple!),其他人则使用关联密码。
当然,您可以简单地保存您的登录详细信息,而不必担心是否会记住它们。 不要使用您的浏览器来存储您的登录详细信息! 这是一个非常不安全(且常用)的选项。
如果您想存储您的登录详细信息以便不必每次都输入,请使用 Lastpass 之类的密码管理器 - 他们有免费计划,您的登录详细信息将尽可能安全。 使用密码管理器,您只需记住 1 个密码(主密码)并存储信用卡详细信息。
Kualo 共享托管服务上的客户还可以自动免受暴力登录攻击 - 暴力尝试被限制和阻止。
这意味着即使黑客拥有您的确切登录详细信息,如果没有额外的身份验证,他们仍然无法登录。
您可以安装诸如 WP 2FA 之类的插件,并强制您网站上的其他用户也使用该插件(尤其是如果他们具有管理员或编辑权限)。 请记住始终下载备份代码并将其存储在安全的位置,以防您无法访问手机。
无论哪种方式,如果你这样离开它,你会让黑客更容易识别你的后端入口并开始暴力攻击。
使用诸如 ThemeMyLogin 之类的插件将 URL(slug)更改为您的登录页面,或者寻找一个包含我们列出的多项功能(2FA、限制登录尝试等)的安全插件。
WPBeginner 也有一篇关于如何手动更改登录 URL 的优秀文章,但如果您不习惯管理代码,最好不要去那里。
另一方面,您安装的每个插件都是需要注意(即更新)的另一段代码。 大量插件也增加了不兼容的风险——这是两个或多个插件不能一起工作的时候——所以你需要避免安装你可以不用的插件。
如上所述,一些最好的安全插件将结合多个功能,从而减少您必须安装的插件数量才能完成我们正在谈论的所有事情。 一些很好的例子是:
如果多个具有管理员权限的用户在您的网站上工作,这是记录所做工作的绝佳方式。
从安全角度来看,它可以向您显示各种非常方便的信息 - 从登录尝试失败到 WordPress 站点文件和设置的更改。 如果您是喜欢自己进行网站维护的人,那么此功能是必须的。
一个很棒的(免费的)选项是 WP Activity log,这个插件已经存在了多年,并且以其详细的日志和界面的简单性而闻名。
曾经,需要为特定交易(如支付)提供安全保障的网站需要 SSL。 但是,如今,您是否在网站上处理付款并不重要。 对于任何处理密码、姓名、地址等敏感信息的网站,SSL 都是强制性的。
其幕后机制如下:如果您的网站上没有 SSL,则在用户的 Web 浏览器和您的 Web 服务器之间传输的所有数据都以黑客可以阅读的纯文本形式提供。
安装 SSL 后,敏感信息在两方(用户的 Web 浏览器和您的服务器)之间传输之前会被加密,从而保护其免受第三方恶意攻击。
谷歌不久前认识到 SSL 证书的重要性,并开始在可以提供加密信息传输的网站上展示。
此外,在 2018 年,谷歌警告所有网站所有者,每个没有有效 SSL 的网站都将在 URL 中显示为“不安全”。 这使得 SSL 证书成为绝对必须的; 好消息是它很容易获得,而且,在一些托管公司(包括 Kualo!),SSL 是免费的。
很多时候,当安装新主题/插件或在您的网站上积极工作时,可能会出现问题,因此毫无疑问必须进行备份。
虽然大多数可靠的托管服务提供商都会为您设置这些每日备份,但学习如何手动进行备份或使用 UpdraftPlus 或 BackupBuddy 等备份插件并不是一个坏主意。 两者都可以选择将您的网站备份上传到亚马逊等云服务或在本地导出。
您还可以使用可在 cPanel 中轻松访问的 Softaculous 备份功能。 好消息是它提供了最大的简单性并且不收取额外费用。 坏消息是,与其他同类产品不同,它会将备份上传到您的主机帐户,因此它会使用磁盘空间,并且它也存储在与网站本身相同的位置。 如果您的帐户发生某些事情(例如,意外删除文件或手动黑客入侵),您的备份副本也可能会受到损害。
如果您打算在 WordPress 上工作并且不确定最终结果,请记住始终创建备份副本!
如果您正在运行一个高流量的电子商务网站,那么每小时备份可能是您的最佳选择。 如前所述,如果网站必须恢复几个小时前完成的备份,则生成大量订单的网站可能会遭受重大损失。
您可以通过在 wp-config.php 文件中添加一段代码来实现:
您可以通过打开像记事本这样的文本编辑器并粘贴以下代码来执行此操作:
<文件 *.php>
否认一切
</文件>
将此文件保存为.htaccess并使用 FTP 客户端或通过 cPanel 中的文件管理器将其上传到您网站上的 /wp-content/uploads/ 文件夹。
例如,如果黑客想在您的网站上尝试 1000 个不同的密码,他们将不得不进行 1000 次单独的登录尝试,这些尝试将被您的安全插件或防火墙捕获。 但是,如果您保持启用 XML-RPC,黑客可以使用 system.multicall 函数并尝试 1000 个不同的密码和 30-60 个请求。
这就是我们强烈建议禁用它的原因,您只需在 .htaccess 文件中添加代码即可:
在第 5 行,如果您想保留 XML-RPC 的唯一 IP,您应该插入您自己的 IP(否则,只需将其删除)。
注意:如果您是我们的用户之一,则无需执行此步骤,因为您的 XMLRPC 将受到 LiteSpeed 的蛮力保护功能的保护。
解决此问题的一个好方法是防止滥用机器人访问您的 WordPress。 将以下代码插入到 .htaccess 文件中。
为您的任何网站用户提供尽可能少的访问权限。 例如,如果您有内容作者,则无需为他们提供管理员帐户 - 编辑用户就可以了。 除非绝对必要,否则不要共享您的帐户,如果您这样做了 - 一旦您将密码提供给的人不再需要它,请立即更改您的密码。
除非绝对必要,否则不要共享您的托管详细信息。
不要使用无效(非法下载)的 WordPress 主题和插件
在某些时候,节省一些钱并下载未经许可的插件或主题可能会成为一种诱惑。 在这种情况下,您将以另一种方式付款 - 很可能是为您的 WordPress 设置后门。 黑客经常在未经许可的项目中隐藏垃圾链接或恶意代码,并提供免费下载。
不惜一切代价避免使用它们,如果您委托网站或功能,请确保与开发人员确认所有内容均已正确授权。
您是否发现所提供的任何建议难以遵循? 我们错过了什么重要的事情吗? 在评论中联系我们,我们很想听听您的想法!
或者,如果您准备好切换到 Kualo 的超安全 WordPress 主机,请在此处查看我们的计划。
为什么可以问?
让我们一起探讨这个问题。
为什么保护您的 WordPress 很重要?
就像生活中其他与安全相关的事情一样,网站安全是必不可少的。 通常,当您委托开发人员或代理商为您创建网站时,会弹出安全主题。 专家们直接了解网站被黑客入侵的频率——尤其是 WordPress 网站,因为该平台很受欢迎。 他们通常会建议您以多种方式保护您的网站,并可能会推荐一些众所周知的安全做法。许多人忽略了这些信息,因为他们从未处理过被黑网站,所以他们根本无法想象解决它可能带来的麻烦、时间和精力。
首先,如果您经营在线业务,或者至少您通过网站管理部分业务,黑客攻击将不可避免地停止您的工作流程。 如果您拥有在线商店,您将无法销售; 如果您通过您的网站进行预约,您将无法这样做。
对于大批量的在线商店来说,这尤其糟糕——你不仅会在一段时间内无法销售,而且还可能会失去订单。 网站备份通常每天创建一次,如果您在完成后数小时内被黑客入侵,在此期间下的所有订单都将丢失。
如果您的网站正常运行,则可能仍然发生黑客攻击 - 例如,可以将链接注入代码并指向其他网站。
如果您通过广告从您的网站获利,您的广告可能会被其他人的广告所取代(因此您不会从中获得任何收入的展示广告)。
在很多情况下,您的网站可能会受到威胁,您需要几天甚至几周的时间才能意识到这一点。 在垃圾链接注入的情况下,这可能会影响您的 SEO(因为 Google 非常不喜欢垃圾链接)。 结果,您的 Google 排名可能会受到影响,并且您可能需要很长时间才能修复这种损坏。
还有客户信任问题; 当人们听到他们使用的网站被黑客入侵时,他们会非常担心。
SSL证书的使用避免了信用卡号码泄露等最严重的后果,但仍然可以获得一些数据。 用户可能会将您网站上的黑客攻击与安全性差相关联,并决定完全停止使用您的服务。
总体而言,如果您的网站被黑客入侵,您可以修复它,但首先保护您的 WordPress 是一种非常轻松的方式。
你能修复被黑的 WordPress 吗?
如果您不熟悉该过程,修复被黑的 WordPress 网站可能会非常困难。 清除受感染的代码需要特定的知识。 与许多其他技术问题不同,由于黑客攻击的性质不同,谷歌很难快速修复。如果攻击已经发生,您可以使用插件扫描您的网站,但大多数可用插件只会指出最近修改了哪些文件,您仍然需要手动清理所有内容。
您可以尝试解决此问题的另一种方法是恢复网站的备份。 然而,这并不是 100% 保证的修复,特别是如果您不确定您的 WordPress 何时被黑客入侵(因此,哪个备份副本肯定是干净的)。
您还可以联系提供恶意软件清除和技术援助的专门机构; 他们会相对较快地采取行动并为您清理您的 WordPress,但这当然是有代价的。
您需要记住,即使您成功修复了损坏,如果您没有设置适当的保护,这种情况也可能(并且很可能会)再次发生。
您最好的办法是采取先发制人的行动并通过采取详细而全面的保护方法来保护您的网站。
但是,这是什么意思?
那么,您如何保护您的 WordPress 网站? 您可以采取哪些可行的步骤? 我们很高兴你问! 继续阅读。
保护您的 WordPress 网站的可行步骤
1.选择一个好的托管服务提供商
在关注任何其他安全步骤之前,为您的网站选择一个坚实的基础至关重要。 与可以为您提供多层安全性的优质托管服务提供商合作是保护您的网站免受未来网络攻击的最简单方法。 网络托管服务提供商的选择很少是人们精心计划的事情,尤其是如果他们多年没有经营在线业务的话。通常选择网络托管的方式是通过朋友的推荐,通过建立网站的机构或通过在线研究。
没有经验的用户通常会寻找最便宜的价格。 然而,与生活中的大多数事情一样,可靠、高质量的托管会花费更多,而且它也会为您提供更多。 优秀的托管服务提供商提供了大量的安全功能,这可能意味着您是否必须处理被黑客入侵的网站。
另一方面,低成本的托管服务提供商会尽可能地偷工减料以弥补差异,不幸的是,安全性是一个受到很大影响的领域。
让我们举例说明我们为客户提供的一些功能。 除了 DDoS 保护、SSL 证书和 Web 应用程序防火墙等经典选项外,我们还有一些可以升级您的网站安全游戏的选项。
其中之一是 Patchman,该应用程序对不自动更新 WordPress 的用户非常有用。 Patchman 扫描您的安装并修复 WordPress 核心文件和众多流行插件中的任何已知漏洞。 Patchman 不会自动更新软件来修复漏洞,这可能会导致破坏站点的依赖问题,而是将安全修复程序应用于当前安装的版本。
您可以完全相信所应用的补丁会安全地发生并且不会损坏您的网站。
如果您要使用共享主机,则必须选择高性能、安全的主机。 许多公司还提供专门为 WordPress 配置的 WordPress 托管,您的网站通常会在其上表现得更好。
如果您有一个大容量网站并选择升级您的托管帐户,那么选择完全托管的专用服务器将保证更高级别的安全性,而不是更便宜(非托管)的服务器。
总而言之,对网络托管进行彻底的研究,不要让价格指导您做出选择。
2.保持你的WordPress更新
这可能是您从 Web 开发人员那里听到的第一个建议——保持一切更新! 许多 WordPress 所有者无论是否有意识地都无视这一点,并成为恶意攻击的目标。发生这种情况的原因是由于黑客发现了漏洞。 如果您有兴趣阅读有关该主题的更多信息,我们推荐这篇文章,但总而言之,漏洞是您正在使用的应用程序代码中的“漏洞”。黑客和软件开发人员之间一直存在战斗,其中黑客发现并利用安全漏洞,开发人员寻求快速修补它们。
与其他 CMS 应用程序一样,WordPress 经历了更新周期,其中添加了新功能,开发人员致力于修复任何已知漏洞。 每年通常会有 1-3 次重大更新和许多次要更新,所有这些都对安全至关重要,因为它们几乎总是包含安全补丁。
但是等等——如果你有像 Patchman 这样的东西,为什么还需要更新?
Patchman 涵盖了 WordPress 核心文件和一些最流行的插件,但许多插件并未通过该应用程序进行修补。 这意味着所有这些插件,如果过时,很容易成为黑客在您的网站上为所欲为的切入点。
让您的 WordPress 保持更新非常容易。
首先,5.6(2020年12月发布)之后的所有版本都启用了自动更新,也就是说你不需要做任何事情。 如果由于某种原因不是这种情况(比如您的开发人员禁用了它们),您可以通过多种方式启用自动更新。
一种是通过 Softaculous,cPanel 用户经常使用该应用程序在其服务器上安装 WordPress。 Softaculous 的 WordPress 管理器允许您配置自动升级; 您可以选择仅自动升级次要更新或专业更新。
您还可以选择自动升级您的插件和主题。 最重要的是,它会在任何自动升级之前进行备份,以防万一需要恢复。
如果您在修改代码方面有些熟练,另一种选择是使用 WordPress 的本机自动更新配置 - 直接在 WordPress 的 KB 上找到更多相关信息。
3.选择一个强大的用户名和密码
最常见的 WordPress 黑客尝试包括使用被盗的登录详细信息。 我们谈论的是所谓的蛮力攻击——一种有效且直接的网络攻击类型,黑客让计算机尝试不同的用户名和密码组合,直到找到正确的组合。许多人使用用户名“admin”,因为在使用 Softaculous 之类的软件应用程序安装 WordPress 时默认显示此用户名。
不要使用默认用户名,这会让黑客更容易 - 选择不同的用户名,例如您的电子邮件地址。 如果您已经获得了具有此用户名的已创建用户,请创建一个新管理员并删除现有管理员。
您的密码也是如此; 它越强越好。 选择一个包含数字和特殊字符的长密码,或者更好的是,生成一个随机密码。
如果您担心自己会忘记密码,请尝试想出一个可以帮助您记住密码的系统。 有些人喜欢使用字符+网站名称的静态组合作为区分(Jack1990Apple!),其他人则使用关联密码。
当然,您可以简单地保存您的登录详细信息,而不必担心是否会记住它们。 不要使用您的浏览器来存储您的登录详细信息! 这是一个非常不安全(且常用)的选项。
如果您想存储您的登录详细信息以便不必每次都输入,请使用 Lastpass 之类的密码管理器 - 他们有免费计划,您的登录详细信息将尽可能安全。 使用密码管理器,您只需记住 1 个密码(主密码)并存储信用卡详细信息。
4.限制登录尝试
另一种防止暴力攻击的方法(同样,他们会通过猜测您的详细信息来尝试闯入)是简单地限制登录尝试的次数。 幸运的是,这是一件相当容易的事情。 只需安装一个插件,例如 Loginizer,或者,如果您使用的是安全插件,请检查它是否不提供此功能。Kualo 共享托管服务上的客户还可以自动免受暴力登录攻击 - 暴力尝试被限制和阻止。
5.使用2FA(双因素认证)
在过去的几年中,双重身份验证已成为某种黄金标准。 事实上,许多信誉良好的网站会强制其用户在其帐户上实施 2FA,作为最可靠的保护方法之一。 它的工作方式是每次您从无法识别的设备登录时都需要额外的身份验证(通常通过您的手机)。这意味着即使黑客拥有您的确切登录详细信息,如果没有额外的身份验证,他们仍然无法登录。
您可以安装诸如 WP 2FA 之类的插件,并强制您网站上的其他用户也使用该插件(尤其是如果他们具有管理员或编辑权限)。 请记住始终下载备份代码并将其存储在安全的位置,以防您无法访问手机。
6.更改登录页面的URL
就像“管理员”用户名一样,WordPress 在登录访问方面的另一个臭名昭著的细节是它的登录页面。 默认值为“www.yourwebsite.com/wp-login.php”或“www.yourwebsite.com/wp-admin”无论哪种方式,如果你这样离开它,你会让黑客更容易识别你的后端入口并开始暴力攻击。
使用诸如 ThemeMyLogin 之类的插件将 URL(slug)更改为您的登录页面,或者寻找一个包含我们列出的多项功能(2FA、限制登录尝试等)的安全插件。
WPBeginner 也有一篇关于如何手动更改登录 URL 的优秀文章,但如果您不习惯管理代码,最好不要去那里。
7. 安装安全插件
在撰写本文时,有超过 5000 万个插件可用,包括免费和付费的。 遗憾的是,不利用可以保护您的安装免受恶意攻击的大量插件。另一方面,您安装的每个插件都是需要注意(即更新)的另一段代码。 大量插件也增加了不兼容的风险——这是两个或多个插件不能一起工作的时候——所以你需要避免安装你可以不用的插件。
如上所述,一些最好的安全插件将结合多个功能,从而减少您必须安装的插件数量才能完成我们正在谈论的所有事情。 一些很好的例子是:
- Wordfence 安全性 - 另一个流行的选项,包含许多功能。 非常适合通过其 Wordfence 中心拥有多个网站的用户,该插件会检查 WordPress 是否存在多种安全风险,例如恶意代码、垃圾邮件注入甚至是错误的 URL
- WP Cerber Security - 一个很棒的插件,具有强大的选项组合,本文推荐其中的许多选项。 实际上,这可能是具有最全面的安全功能列表的插件之一。
- All in One WP Security - 这个插件在技术经验不足的用户中非常受欢迎,而且也没有付费版本,所以没有任何限制。 它需要更多的手动配置,但它的简单性确保了相对平坦的学习曲线。
8. 安装活动日志插件
这是一条简洁的建议,在许多场合都可能有用。 活动日志插件将记录并显示不同用户在您的网站上执行的任何活动的日志。 将其视为一种闭路电视摄像机,密切关注您网站上发生的一切(当然是文本格式!)如果多个具有管理员权限的用户在您的网站上工作,这是记录所做工作的绝佳方式。
从安全角度来看,它可以向您显示各种非常方便的信息 - 从登录尝试失败到 WordPress 站点文件和设置的更改。 如果您是喜欢自己进行网站维护的人,那么此功能是必须的。
一个很棒的(免费的)选项是 WP Activity log,这个插件已经存在了多年,并且以其详细的日志和界面的简单性而闻名。
9. 安装 SSL 证书
这应该是不言而喻的,但为了安全起见,让我们加入这个建议。曾经,需要为特定交易(如支付)提供安全保障的网站需要 SSL。 但是,如今,您是否在网站上处理付款并不重要。 对于任何处理密码、姓名、地址等敏感信息的网站,SSL 都是强制性的。
其幕后机制如下:如果您的网站上没有 SSL,则在用户的 Web 浏览器和您的 Web 服务器之间传输的所有数据都以黑客可以阅读的纯文本形式提供。
安装 SSL 后,敏感信息在两方(用户的 Web 浏览器和您的服务器)之间传输之前会被加密,从而保护其免受第三方恶意攻击。
谷歌不久前认识到 SSL 证书的重要性,并开始在可以提供加密信息传输的网站上展示。
此外,在 2018 年,谷歌警告所有网站所有者,每个没有有效 SSL 的网站都将在 URL 中显示为“不安全”。 这使得 SSL 证书成为绝对必须的; 好消息是它很容易获得,而且,在一些托管公司(包括 Kualo!),SSL 是免费的。
10. 设置备份
如果当您需要修复 WordPress 问题时,备份可能无法 100% 起作用,但它们是您的第一道防线。 网站备份不仅可以在出现黑客攻击时派上用场,在出现技术问题时也可以派上用场。很多时候,当安装新主题/插件或在您的网站上积极工作时,可能会出现问题,因此毫无疑问必须进行备份。
虽然大多数可靠的托管服务提供商都会为您设置这些每日备份,但学习如何手动进行备份或使用 UpdraftPlus 或 BackupBuddy 等备份插件并不是一个坏主意。 两者都可以选择将您的网站备份上传到亚马逊等云服务或在本地导出。
您还可以使用可在 cPanel 中轻松访问的 Softaculous 备份功能。 好消息是它提供了最大的简单性并且不收取额外费用。 坏消息是,与其他同类产品不同,它会将备份上传到您的主机帐户,因此它会使用磁盘空间,并且它也存储在与网站本身相同的位置。 如果您的帐户发生某些事情(例如,意外删除文件或手动黑客入侵),您的备份副本也可能会受到损害。
如果您打算在 WordPress 上工作并且不确定最终结果,请记住始终创建备份副本!
如果您正在运行一个高流量的电子商务网站,那么每小时备份可能是您的最佳选择。 如前所述,如果网站必须恢复几个小时前完成的备份,则生成大量订单的网站可能会遭受重大损失。
保护您的 WordPress 网站的更多可行步骤 [高级]
您将在本节中找到的提示需要更高级的知识来管理您的 WordPress,并有信心直接写入其代码。 如果您对执行这些步骤感到不舒服,建议咨询可以帮助您执行这些步骤的 WordPress 开发人员。11.禁用文件编辑
WordPress 带有一个内置的代码编辑器,它允许您从管理面板编辑您的主题和插件文件。 如果错误的人访问了您的管理面板,那可能是一个巨大的安全风险。 这就是为什么我们建议禁用此功能。您可以通过在 wp-config.php 文件中添加一段代码来实现:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12.禁用特定WordPress目录的PHP文件执行
通过在不需要的目录中禁用 PHP 文件执行来添加另一层保护。 您想要这样做的原因是因为黑客经常使用该功能将后门访问文件或恶意软件上传到您的 WordPress 网站。 如果您不知道自己在做什么,这是一个危险的步骤,因为您的网站可能会停止工作,所以请小心行事! 您要查找的目录是 /wp-content/uploads/您可以通过打开像记事本这样的文本编辑器并粘贴以下代码来执行此操作:
<文件 *.php>
否认一切
</文件>
将此文件保存为.htaccess并使用 FTP 客户端或通过 cPanel 中的文件管理器将其上传到您网站上的 /wp-content/uploads/ 文件夹。
13. 禁用 XML-RPC
曾经使用 XML-RPC 将您的 WordPress 站点与 Web 和移动应用程序连接起来,但由于 WordPress 发布了自己的 REST API,XML-RPC 变成了一种负担,而不是一个有用的功能。例如,如果黑客想在您的网站上尝试 1000 个不同的密码,他们将不得不进行 1000 次单独的登录尝试,这些尝试将被您的安全插件或防火墙捕获。 但是,如果您保持启用 XML-RPC,黑客可以使用 system.multicall 函数并尝试 1000 个不同的密码和 30-60 个请求。
这就是我们强烈建议禁用它的原因,您只需在 .htaccess 文件中添加代码即可:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>在第 5 行,如果您想保留 XML-RPC 的唯一 IP,您应该插入您自己的 IP(否则,只需将其删除)。
注意:如果您是我们的用户之一,则无需执行此步骤,因为您的 XMLRPC 将受到 LiteSpeed 的蛮力保护功能的保护。
14.限制机器人访问
虽然您的网站总是会被某些机器人抓取,但不良机器人会造成烦人的干扰。 它们可能会减慢您的工作流程和/或破坏 WordPress 网站的功能,从而导致用户流失。解决此问题的一个好方法是防止滥用机器人访问您的 WordPress。 将以下代码插入到 .htaccess 文件中。
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out确保 WordPress 安全的非技术提示
使用最小特权原则(POLP)为您的任何网站用户提供尽可能少的访问权限。 例如,如果您有内容作者,则无需为他们提供管理员帐户 - 编辑用户就可以了。 除非绝对必要,否则不要共享您的帐户,如果您这样做了 - 一旦您将密码提供给的人不再需要它,请立即更改您的密码。
除非绝对必要,否则不要共享您的托管详细信息。
不要使用无效(非法下载)的 WordPress 主题和插件
在某些时候,节省一些钱并下载未经许可的插件或主题可能会成为一种诱惑。 在这种情况下,您将以另一种方式付款 - 很可能是为您的 WordPress 设置后门。 黑客经常在未经许可的项目中隐藏垃圾链接或恶意代码,并提供免费下载。
不惜一切代价避免使用它们,如果您委托网站或功能,请确保与开发人员确认所有内容均已正确授权。
最后的想法
考虑一下您将花费的时间(和资金)来保护您的 WordPress 作为另一项关键业务投资。 修复一个被黑的网站会让你付出更多的代价——在最不幸的情况下,它甚至可能会让你的生意付出代价。 遵循本指南并不能保证 100% 防止恶意攻击,但会显着降低这种情况发生的可能性。您是否发现所提供的任何建议难以遵循? 我们错过了什么重要的事情吗? 在评论中联系我们,我们很想听听您的想法!
或者,如果您准备好切换到 Kualo 的超安全 WordPress 主机,请在此处查看我们的计划。