如何保護您的 WordPress 網站 [您永遠需要的唯一指南]
已發表: 2021-08-05
WordPress 用戶往往會在網站設計、內容和優化上花費大量時間,但往往忘記了一個重要因素:網站安全。 雖然對於非開發人員來說這似乎是一件乏味的事情,但保持 WordPress 的安全是經營業務的關鍵部分。
為什麼可以問?
讓我們一起探討這個問題。
許多人忽略了這些信息,因為他們從未處理過被黑網站,所以他們根本無法想像解決它可能帶來的麻煩、時間和精力。
首先,如果您經營在線業務,或者至少您通過網站管理部分業務,黑客攻擊將不可避免地停止您的工作流程。 如果您擁有在線商店,您將無法銷售; 如果您通過您的網站進行預約,您將無法這樣做。
對於大批量的在線商店來說,這尤其糟糕——你不僅會在一段時間內無法銷售,而且還可能會失去訂單。 網站備份通常每天創建一次,如果您在完成後數小時內被黑客入侵,在此期間下的所有訂單都將丟失。
如果您的網站正常運行,則可能仍然發生黑客攻擊 - 例如,可以將鏈接注入代碼並指向其他網站。
如果您通過廣告從您的網站獲利,您的廣告可能會被其他人的廣告所取代(因此您不會從中獲得任何收入的展示廣告)。
在很多情況下,您的網站可能會受到威脅,您需要幾天甚至幾週的時間才能意識到這一點。 在垃圾鏈接注入的情況下,這可能會影響您的 SEO(因為 Google 非常不喜歡垃圾鏈接)。 結果,您的 Google 排名可能會受到影響,並且您可能需要很長時間才能修復這種損壞。
還有客戶信任問題; 當人們聽到他們使用的網站被黑客入侵時,他們會非常擔心。
SSL證書的使用避免了信用卡號碼洩露等最嚴重的後果,但仍然可以獲得一些數據。 用戶可能會將您網站上的黑客攻擊與安全性差相關聯,並決定完全停止使用您的服務。
總體而言,如果您的網站被黑客入侵,您可以修復它,但首先保護您的 WordPress 是一種非常輕鬆的方式。
如果攻擊已經發生,您可以使用插件掃描您的網站,但大多數可用插件只會指出最近修改了哪些文件,您仍然需要手動清理所有內容。
您可以嘗試解決此問題的另一種方法是恢復網站的備份。 然而,這並不是 100% 保證的修復,特別是如果您不確定您的 WordPress 何時被黑客入侵(因此,哪個備份副本肯定是乾淨的)。
您還可以聯繫提供惡意軟件清除和技術援助的專門機構; 他們會相對較快地採取行動並為您清理您的 WordPress,但這當然是有代價的。
您需要記住,即使您成功修復了損壞,如果您沒有設置適當的保護,這種情況也可能(並且很可能會)再次發生。
您最好的辦法是採取先發製人的行動並通過採取詳細而全面的保護方法來保護您的網站。
但是,這是什麼意思?
那麼,您如何保護您的 WordPress 網站? 您可以採取哪些可行的步驟? 我們很高興你問! 繼續閱讀。
通常選擇網絡託管的方式是通過朋友的推薦,通過建立網站的機構或通過在線研究。
沒有經驗的用戶通常會尋找最便宜的價格。 然而,與生活中的大多數事情一樣,可靠、高質量的託管會花費更多,而且它也會為您提供更多。 優秀的託管服務提供商提供了大量的安全功能,這可能意味著您是否必須處理被黑客入侵的網站。
另一方面,低成本的託管服務提供商會盡可能地偷工減料以彌補差異,不幸的是,安全性是一個受到很大影響的領域。
讓我們舉例說明我們為客戶提供的一些功能。 除了 DDoS 保護、SSL 證書和 Web 應用程序防火牆等經典選項外,我們還有一些可以升級您的網站安全遊戲的選項。
其中之一是 Patchman,該應用程序對不自動更新 WordPress 的用戶非常有用。 Patchman 掃描您的安裝並修復 WordPress 核心文件和眾多流行插件中的任何已知漏洞。 Patchman 不會自動更新軟件來修復漏洞,這可能會導致破壞站點的依賴問題,而是將安全修復程序應用於當前安裝的版本。
您可以完全相信所應用的補丁會安全地發生並且不會損壞您的網站。
如果您要使用共享主機,則必須選擇高性能、安全的主機。 許多公司還提供專門為 WordPress 配置的 WordPress 託管,您的網站通常會在其上表現得更好。
如果您有一個大容量網站並選擇升級您的託管帳戶,那麼選擇完全託管的專用服務器將保證更高級別的安全性,而不是更便宜(非託管)的服務器。
總而言之,對網絡託管進行徹底的研究,不要讓價格指導您做出選擇。
發生這種情況的原因是由於黑客發現了漏洞。 如果您有興趣閱讀有關該主題的更多信息,我們推薦這篇文章,但總而言之,漏洞是您正在使用的應用程序代碼中的“漏洞”。黑客和軟件開發人員之間一直存在戰鬥,其中黑客發現並利用安全漏洞,開發人員尋求快速修補它們。
與其他 CMS 應用程序一樣,WordPress 經歷了更新周期,其中添加了新功能,開發人員致力於修復任何已知漏洞。 每年通常會有 1-3 次重大更新和許多次要更新,所有這些都對安全至關重要,因為它們幾乎總是包含安全補丁。
但是等等——如果你有像 Patchman 這樣的東西,為什麼還需要更新?
Patchman 涵蓋了 WordPress 核心文件和一些最流行的插件,但許多插件並未通過該應用程序進行修補。 這意味著所有這些插件,如果過時,很容易成為黑客在您的網站上為所欲為的切入點。
讓您的 WordPress 保持更新非常容易。
首先,5.6(2020年12月發布)之後的所有版本都啟用了自動更新,也就是說你不需要做任何事情。 如果由於某種原因不是這種情況(比如您的開發人員禁用了它們),有幾種方法可以啟用您的自動更新。
一種是通過 Softaculous,cPanel 用戶經常使用該應用程序在其服務器上安裝 WordPress。 Softaculous 的 WordPress 管理器允許您配置自動升級; 您可以選擇僅自動升級次要更新或專業更新。
您還可以選擇自動升級您的插件和主題。 最重要的是,它會在任何自動升級之前進行備份,以防萬一需要恢復。
如果您在修改代碼方面有些熟練,另一種選擇是使用 WordPress 的本機自動更新配置 - 直接在 WordPress 的 KB 上找到更多相關信息。
許多人使用用戶名“admin”,因為在使用 Softaculous 之類的軟件應用程序安裝 WordPress 時默認顯示此用戶名。
不要使用默認用戶名,這會讓黑客更容易 - 選擇不同的用戶名,例如您的電子郵件地址。 如果您已經獲得了具有此用戶名的已創建用戶,請創建一個新管理員並刪除現有管理員。
您的密碼也是如此; 它越強越好。 選擇一個包含數字和特殊字符的長密碼,或者更好的是,生成一個隨機密碼。
如果您擔心自己會忘記密碼,請嘗試想出一個可以幫助您記住密碼的系統。 有些人喜歡使用字符+網站名稱的靜態組合作為區分(Jack1990Apple!),其他人則使用關聯密碼。
當然,您可以簡單地保存您的登錄詳細信息,而不必擔心是否會記住它們。 不要使用您的瀏覽器來存儲您的登錄詳細信息! 這是一個非常不安全(且常用)的選項。
如果您想存儲您的登錄詳細信息以便不必每次都輸入,請使用 Lastpass 之類的密碼管理器 - 他們有免費計劃,您的登錄詳細信息將盡可能安全。 使用密碼管理器,您只需記住 1 個密碼(主密碼)並存儲信用卡詳細信息。
Kualo 共享託管服務上的客戶還可以自動免受暴力登錄攻擊 - 暴力嘗試被限制和阻止。
這意味著即使黑客擁有您的確切登錄詳細信息,如果沒有額外的身份驗證,他們仍然無法登錄。
您可以安裝諸如 WP 2FA 之類的插件,並強制您網站上的其他用戶也使用該插件(尤其是如果他們具有管理員或編輯權限)。 請記住始終下載備份代碼並將其存儲在安全的位置,以防您無法訪問手機。
無論哪種方式,如果你這樣離開它,你會讓黑客更容易識別你的後端入口並開始暴力攻擊。
使用諸如 ThemeMyLogin 之類的插件將 URL(slug)更改為您的登錄頁面,或者尋找一個包含我們列出的多項功能(2FA、限制登錄嘗試等)的安全插件。
WPBeginner 也有一篇關於如何手動更改登錄 URL 的優秀文章,但如果您不習慣管理代碼,最好不要去那裡。
另一方面,您安裝的每個插件都是需要注意(即更新)的另一段代碼。 大量插件也增加了不兼容的風險——這是兩個或多個插件不能一起工作的時候——所以你需要避免安裝你可以不用的插件。
如上所述,一些最好的安全插件將結合多個功能,從而減少您必須安裝的插件數量才能完成我們正在談論的所有事情。 一些很好的例子是:
如果多個具有管理員權限的用戶在您的網站上工作,這是記錄所做工作的絕佳方式。
從安全角度來看,它可以向您顯示各種非常方便的信息 - 從登錄嘗試失敗到 WordPress 站點文件和設置的更改。 如果您是喜歡自己進行網站維護的人,那麼此功能是必須的。
一個很棒的(免費的)選項是 WP Activity log,這個插件已經存在了多年,並且以其詳細的日誌和界面的簡單性而聞名。
曾經,需要為特定交易(如支付)提供安全保障的網站需要 SSL。 但是,如今,您是否在網站上處理付款並不重要。 對於任何處理密碼、姓名、地址等敏感信息的網站,SSL 都是強制性的。
其幕後機制如下:如果您的網站上沒有 SSL,則在用戶的 Web 瀏覽器和您的 Web 服務器之間傳輸的所有數據都以黑客可以閱讀的純文本形式提供。
安裝 SSL 後,敏感信息在兩方(用戶的 Web 瀏覽器和您的服務器)之間傳輸之前會被加密,從而保護其免受第三方惡意攻擊。
谷歌不久前認識到 SSL 證書的重要性,並開始在可以提供加密信息傳輸的網站上展示。
此外,在 2018 年,谷歌警告所有網站所有者,每個沒有有效 SSL 的網站都將在 URL 中顯示為“不安全”。 這使得 SSL 證書成為絕對必須的; 好消息是它很容易獲得,而且,在一些託管公司(包括 Kualo!),SSL 是免費的。
很多時候,當安裝新主題/插件或在您的網站上積極工作時,可能會出現問題,因此毫無疑問必須進行備份。
雖然大多數可靠的託管服務提供商都會為您設置這些每日備份,但學習如何手動進行備份或使用 UpdraftPlus 或 BackupBuddy 等備份插件並不是一個壞主意。 兩者都可以選擇將您的網站備份上傳到亞馬遜等雲服務或在本地導出。
您還可以使用可在 cPanel 中輕鬆訪問的 Softaculous 備份功能。 好消息是它提供了最大的簡單性並且不收取額外費用。 壞消息是,與其他同類產品不同,它會將備份上傳到您的主機帳戶,因此它會使用磁盤空間,並且它也存儲在與網站本身相同的位置。 如果您的帳戶發生某些事情(例如,意外刪除文件或手動黑客入侵),您的備份副本也可能會受到損害。
如果您打算在 WordPress 上工作並且不確定最終結果,請記住始終創建備份副本!
如果您正在運行一個高流量的電子商務網站,那麼每小時備份可能是您的最佳選擇。 如前所述,如果網站必須恢復幾個小時前完成的備份,則生成大量訂單的網站可能會遭受重大損失。
您可以通過在 wp-config.php 文件中添加一段代碼來實現:
您可以通過打開像記事本這樣的文本編輯器並粘貼以下代碼來執行此操作:
<文件 *.php>
否認一切
</文件>
將此文件保存為.htaccess並使用 FTP 客戶端或通過 cPanel 中的文件管理器將其上傳到您網站上的 /wp-content/uploads/ 文件夾。
例如,如果黑客想在您的網站上嘗試 1000 個不同的密碼,他們將不得不進行 1000 次單獨的登錄嘗試,這些嘗試將被您的安全插件或防火牆捕獲。 但是,如果您保持啟用 XML-RPC,黑客可以使用 system.multicall 函數並嘗試 1000 個不同的密碼和 30-60 個請求。
這就是我們強烈建議禁用它的原因,您只需在 .htaccess 文件中添加代碼即可:
在第 5 行,如果您想保留 XML-RPC 的唯一 IP,您應該插入您自己的 IP(否則,只需將其刪除)。
注意:如果您是我們的用戶之一,則無需執行此步驟,因為您的 XMLRPC 將受到 LiteSpeed 的蠻力保護功能的保護。
解決此問題的一個好方法是防止濫用機器人訪問您的 WordPress。 將以下代碼插入到 .htaccess 文件中。
為您的任何網站用戶提供盡可能少的訪問權限。 例如,如果您有內容作者,則無需為他們提供管理員帳戶 - 編輯用戶就可以了。 除非絕對必要,否則不要共享您的帳戶,如果您這樣做了 - 一旦您將密碼提供給的人不再需要它,請立即更改您的密碼。
除非絕對必要,否則不要共享您的託管詳細信息。
不要使用無效(非法下載)的 WordPress 主題和插件
在某些時候,節省一些錢並下載未經許可的插件或主題可能會成為一種誘惑。 在這種情況下,您將以另一種方式付款 - 很可能是為您的 WordPress 設置後門。 黑客經常在未經許可的項目中隱藏垃圾鏈接或惡意代碼,並提供免費下載。
不惜一切代價避免使用它們,如果您委託網站或功能,請確保與開發人員確認所有內容均已正確許可。
您是否發現所提供的任何建議難以遵循? 我們錯過了什麼重要的事情嗎? 在評論中聯繫我們,我們很想听聽您的想法!
或者,如果您準備好切換到 Kualo 的超安全 WordPress 主機,請在此處查看我們的計劃。
為什麼可以問?
讓我們一起探討這個問題。
為什麼保護您的 WordPress 很重要?
就像生活中其他與安全相關的事情一樣,網站安全是必不可少的。 通常,當您委託開發人員或代理商為您創建網站時,會彈出安全主題。 專家們直接了解網站被黑客入侵的頻率——尤其是 WordPress 網站,因為該平台很受歡迎。 他們通常會建議您以多種方式保護您的網站,並可能會推荐一些眾所周知的安全做法。許多人忽略了這些信息,因為他們從未處理過被黑網站,所以他們根本無法想像解決它可能帶來的麻煩、時間和精力。
首先,如果您經營在線業務,或者至少您通過網站管理部分業務,黑客攻擊將不可避免地停止您的工作流程。 如果您擁有在線商店,您將無法銷售; 如果您通過您的網站進行預約,您將無法這樣做。
對於大批量的在線商店來說,這尤其糟糕——你不僅會在一段時間內無法銷售,而且還可能會失去訂單。 網站備份通常每天創建一次,如果您在完成後數小時內被黑客入侵,在此期間下的所有訂單都將丟失。
如果您的網站正常運行,則可能仍然發生黑客攻擊 - 例如,可以將鏈接注入代碼並指向其他網站。
如果您通過廣告從您的網站獲利,您的廣告可能會被其他人的廣告所取代(因此您不會從中獲得任何收入的展示廣告)。
在很多情況下,您的網站可能會受到威脅,您需要幾天甚至幾週的時間才能意識到這一點。 在垃圾鏈接注入的情況下,這可能會影響您的 SEO(因為 Google 非常不喜歡垃圾鏈接)。 結果,您的 Google 排名可能會受到影響,並且您可能需要很長時間才能修復這種損壞。
還有客戶信任問題; 當人們聽到他們使用的網站被黑客入侵時,他們會非常擔心。
SSL證書的使用避免了信用卡號碼洩露等最嚴重的後果,但仍然可以獲得一些數據。 用戶可能會將您網站上的黑客攻擊與安全性差相關聯,並決定完全停止使用您的服務。
總體而言,如果您的網站被黑客入侵,您可以修復它,但首先保護您的 WordPress 是一種非常輕鬆的方式。
你能修復被黑的 WordPress 嗎?
如果您不熟悉該過程,修復被黑的 WordPress 網站可能會非常困難。 清除受感染的代碼需要特定的知識。 與許多其他技術問題不同,由於黑客攻擊的性質不同,谷歌很難快速修復。如果攻擊已經發生,您可以使用插件掃描您的網站,但大多數可用插件只會指出最近修改了哪些文件,您仍然需要手動清理所有內容。
您可以嘗試解決此問題的另一種方法是恢復網站的備份。 然而,這並不是 100% 保證的修復,特別是如果您不確定您的 WordPress 何時被黑客入侵(因此,哪個備份副本肯定是乾淨的)。
您還可以聯繫提供惡意軟件清除和技術援助的專門機構; 他們會相對較快地採取行動並為您清理您的 WordPress,但這當然是有代價的。
您需要記住,即使您成功修復了損壞,如果您沒有設置適當的保護,這種情況也可能(並且很可能會)再次發生。
您最好的辦法是採取先發製人的行動並通過採取詳細而全面的保護方法來保護您的網站。
但是,這是什麼意思?
那麼,您如何保護您的 WordPress 網站? 您可以採取哪些可行的步驟? 我們很高興你問! 繼續閱讀。
保護您的 WordPress 網站的可行步驟
1.選擇一個好的託管服務提供商
在關注任何其他安全步驟之前,為您的網站選擇一個堅實的基礎至關重要。 與可以為您提供多層安全性的優質託管服務提供商合作是保護您的網站免受未來網絡攻擊的最簡單方法。 網絡託管服務提供商的選擇很少是人們精心計劃的事情,尤其是如果他們多年沒有經營在線業務的話。通常選擇網絡託管的方式是通過朋友的推薦,通過建立網站的機構或通過在線研究。
沒有經驗的用戶通常會尋找最便宜的價格。 然而,與生活中的大多數事情一樣,可靠、高質量的託管會花費更多,而且它也會為您提供更多。 優秀的託管服務提供商提供了大量的安全功能,這可能意味著您是否必須處理被黑客入侵的網站。
另一方面,低成本的託管服務提供商會盡可能地偷工減料以彌補差異,不幸的是,安全性是一個受到很大影響的領域。
讓我們舉例說明我們為客戶提供的一些功能。 除了 DDoS 保護、SSL 證書和 Web 應用程序防火牆等經典選項外,我們還有一些可以升級您的網站安全遊戲的選項。
其中之一是 Patchman,該應用程序對不自動更新 WordPress 的用戶非常有用。 Patchman 掃描您的安裝並修復 WordPress 核心文件和眾多流行插件中的任何已知漏洞。 Patchman 不會自動更新軟件來修復漏洞,這可能會導致破壞站點的依賴問題,而是將安全修復程序應用於當前安裝的版本。
您可以完全相信所應用的補丁會安全地發生並且不會損壞您的網站。
如果您要使用共享主機,則必須選擇高性能、安全的主機。 許多公司還提供專門為 WordPress 配置的 WordPress 託管,您的網站通常會在其上表現得更好。
如果您有一個大容量網站並選擇升級您的託管帳戶,那麼選擇完全託管的專用服務器將保證更高級別的安全性,而不是更便宜(非託管)的服務器。
總而言之,對網絡託管進行徹底的研究,不要讓價格指導您做出選擇。
2.保持你的WordPress更新
這可能是您從 Web 開發人員那裡聽到的第一個建議——保持一切更新! 許多 WordPress 所有者無論是否有意識地都無視這一點,並成為惡意攻擊的目標。發生這種情況的原因是由於黑客發現了漏洞。 如果您有興趣閱讀有關該主題的更多信息,我們推薦這篇文章,但總而言之,漏洞是您正在使用的應用程序代碼中的“漏洞”。黑客和軟件開發人員之間一直存在戰鬥,其中黑客發現並利用安全漏洞,開發人員尋求快速修補它們。
與其他 CMS 應用程序一樣,WordPress 經歷了更新周期,其中添加了新功能,開發人員致力於修復任何已知漏洞。 每年通常會有 1-3 次重大更新和許多次要更新,所有這些都對安全至關重要,因為它們幾乎總是包含安全補丁。
但是等等——如果你有像 Patchman 這樣的東西,為什麼還需要更新?
Patchman 涵蓋了 WordPress 核心文件和一些最流行的插件,但許多插件並未通過該應用程序進行修補。 這意味著所有這些插件,如果過時,很容易成為黑客在您的網站上為所欲為的切入點。
讓您的 WordPress 保持更新非常容易。
首先,5.6(2020年12月發布)之後的所有版本都啟用了自動更新,也就是說你不需要做任何事情。 如果由於某種原因不是這種情況(比如您的開發人員禁用了它們),有幾種方法可以啟用您的自動更新。
一種是通過 Softaculous,cPanel 用戶經常使用該應用程序在其服務器上安裝 WordPress。 Softaculous 的 WordPress 管理器允許您配置自動升級; 您可以選擇僅自動升級次要更新或專業更新。
您還可以選擇自動升級您的插件和主題。 最重要的是,它會在任何自動升級之前進行備份,以防萬一需要恢復。
如果您在修改代碼方面有些熟練,另一種選擇是使用 WordPress 的本機自動更新配置 - 直接在 WordPress 的 KB 上找到更多相關信息。
3.選擇一個強大的用戶名和密碼
最常見的 WordPress 黑客嘗試包括使用被盜的登錄詳細信息。 我們談論的是所謂的蠻力攻擊——一種有效且直接的網絡攻擊類型,黑客讓計算機嘗試不同的用戶名和密碼組合,直到找到正確的組合。許多人使用用戶名“admin”,因為在使用 Softaculous 之類的軟件應用程序安裝 WordPress 時默認顯示此用戶名。
不要使用默認用戶名,這會讓黑客更容易 - 選擇不同的用戶名,例如您的電子郵件地址。 如果您已經獲得了具有此用戶名的已創建用戶,請創建一個新管理員並刪除現有管理員。
您的密碼也是如此; 它越強越好。 選擇一個包含數字和特殊字符的長密碼,或者更好的是,生成一個隨機密碼。
如果您擔心自己會忘記密碼,請嘗試想出一個可以幫助您記住密碼的系統。 有些人喜歡使用字符+網站名稱的靜態組合作為區分(Jack1990Apple!),其他人則使用關聯密碼。
當然,您可以簡單地保存您的登錄詳細信息,而不必擔心是否會記住它們。 不要使用您的瀏覽器來存儲您的登錄詳細信息! 這是一個非常不安全(且常用)的選項。
如果您想存儲您的登錄詳細信息以便不必每次都輸入,請使用 Lastpass 之類的密碼管理器 - 他們有免費計劃,您的登錄詳細信息將盡可能安全。 使用密碼管理器,您只需記住 1 個密碼(主密碼)並存儲信用卡詳細信息。
4.限制登錄嘗試
另一種防止暴力攻擊的方法(同樣,他們會通過猜測您的詳細信息來嘗試闖入)是簡單地限制登錄嘗試的次數。 幸運的是,這是一件相當容易的事情。 只需安裝一個插件,例如 Loginizer,或者,如果您使用的是安全插件,請檢查它是否不提供此功能。Kualo 共享託管服務上的客戶還可以自動免受暴力登錄攻擊 - 暴力嘗試被限制和阻止。
5.使用2FA(雙因素認證)
在過去的幾年中,雙重身份驗證已成為某種黃金標準。 事實上,許多信譽良好的網站會強制其用戶在其帳戶上實施 2FA,作為最可靠的保護方法之一。 它的工作方式是每次您從無法識別的設備登錄時都需要額外的身份驗證(通常通過您的手機)。這意味著即使黑客擁有您的確切登錄詳細信息,如果沒有額外的身份驗證,他們仍然無法登錄。
您可以安裝諸如 WP 2FA 之類的插件,並強制您網站上的其他用戶也使用該插件(尤其是如果他們具有管理員或編輯權限)。 請記住始終下載備份代碼並將其存儲在安全的位置,以防您無法訪問手機。
6.更改登錄頁面的URL
就像“管理員”用戶名一樣,WordPress 在登錄訪問方面的另一個臭名昭著的細節是它的登錄頁面。 默認值為“www.yourwebsite.com/wp-login.php”或“www.yourwebsite.com/wp-admin”無論哪種方式,如果你這樣離開它,你會讓黑客更容易識別你的後端入口並開始暴力攻擊。
使用諸如 ThemeMyLogin 之類的插件將 URL(slug)更改為您的登錄頁面,或者尋找一個包含我們列出的多項功能(2FA、限制登錄嘗試等)的安全插件。
WPBeginner 也有一篇關於如何手動更改登錄 URL 的優秀文章,但如果您不習慣管理代碼,最好不要去那裡。
7. 安裝安全插件
在撰寫本文時,有超過 5000 萬個插件可用,包括免費和付費的。 遺憾的是,不利用可以保護您的安裝免受惡意攻擊的大量插件。另一方面,您安裝的每個插件都是需要注意(即更新)的另一段代碼。 大量插件也增加了不兼容的風險——這是兩個或多個插件不能一起工作的時候——所以你需要避免安裝你可以不用的插件。
如上所述,一些最好的安全插件將結合多個功能,從而減少您必須安裝的插件數量才能完成我們正在談論的所有事情。 一些很好的例子是:
- Wordfence 安全性 - 另一個流行的選項,包含許多功能。 非常適合通過其 Wordfence 中心擁有多個網站的用戶,該插件會檢查 WordPress 是否存在多種安全風險,例如惡意代碼、垃圾郵件注入甚至是錯誤的 URL
- WP Cerber Security - 一個很棒的插件,具有強大的選項組合,本文推薦其中的許多選項。 實際上,這可能是具有最全面的安全功能列表的插件之一。
- All in One WP Security - 這個插件在技術經驗不足的用戶中非常受歡迎,而且也沒有付費版本,所以沒有任何限制。 它需要更多的手動配置,但它的簡單性確保了相對平坦的學習曲線。
8. 安裝活動日誌插件
這是一條簡潔的建議,在許多場合都可能有用。 活動日誌插件將記錄並顯示不同用戶在您的網站上執行的任何活動的日誌。 將其視為一種閉路電視攝像機,密切關注您網站上發生的一切(當然是文本格式!)如果多個具有管理員權限的用戶在您的網站上工作,這是記錄所做工作的絕佳方式。
從安全角度來看,它可以向您顯示各種非常方便的信息 - 從登錄嘗試失敗到 WordPress 站點文件和設置的更改。 如果您是喜歡自己進行網站維護的人,那麼此功能是必須的。
一個很棒的(免費的)選項是 WP Activity log,這個插件已經存在了多年,並且以其詳細的日誌和界面的簡單性而聞名。
9. 安裝 SSL 證書
這應該是不言而喻的,但為了安全起見,讓我們加入這個建議。曾經,需要為特定交易(如支付)提供安全保障的網站需要 SSL。 但是,如今,您是否在網站上處理付款並不重要。 對於任何處理密碼、姓名、地址等敏感信息的網站,SSL 都是強制性的。
其幕後機制如下:如果您的網站上沒有 SSL,則在用戶的 Web 瀏覽器和您的 Web 服務器之間傳輸的所有數據都以黑客可以閱讀的純文本形式提供。
安裝 SSL 後,敏感信息在兩方(用戶的 Web 瀏覽器和您的服務器)之間傳輸之前會被加密,從而保護其免受第三方惡意攻擊。
谷歌不久前認識到 SSL 證書的重要性,並開始在可以提供加密信息傳輸的網站上展示。
此外,在 2018 年,谷歌警告所有網站所有者,每個沒有有效 SSL 的網站都將在 URL 中顯示為“不安全”。 這使得 SSL 證書成為絕對必須的; 好消息是它很容易獲得,而且,在一些託管公司(包括 Kualo!),SSL 是免費的。
10. 設置備份
如果當您需要修復 WordPress 問題時,備份可能無法 100% 起作用,但它們是您的第一道防線。 網站備份不僅可以在出現黑客攻擊時派上用場,在出現技術問題時也可以派上用場。很多時候,當安裝新主題/插件或在您的網站上積極工作時,可能會出現問題,因此毫無疑問必須進行備份。
雖然大多數可靠的託管服務提供商都會為您設置這些每日備份,但學習如何手動進行備份或使用 UpdraftPlus 或 BackupBuddy 等備份插件並不是一個壞主意。 兩者都可以選擇將您的網站備份上傳到亞馬遜等雲服務或在本地導出。
您還可以使用可在 cPanel 中輕鬆訪問的 Softaculous 備份功能。 好消息是它提供了最大的簡單性並且不收取額外費用。 壞消息是,與其他同類產品不同,它會將備份上傳到您的主機帳戶,因此它會使用磁盤空間,並且它也存儲在與網站本身相同的位置。 如果您的帳戶發生某些事情(例如,意外刪除文件或手動黑客入侵),您的備份副本也可能會受到損害。
如果您打算在 WordPress 上工作並且不確定最終結果,請記住始終創建備份副本!
如果您正在運行一個高流量的電子商務網站,那麼每小時備份可能是您的最佳選擇。 如前所述,如果網站必須恢復幾個小時前完成的備份,則生成大量訂單的網站可能會遭受重大損失。
保護您的 WordPress 網站的更多可行步驟 [高級]
您將在本節中找到的提示需要更高級的知識來管理您的 WordPress,並有信心直接寫入其代碼。 如果您對執行這些步驟感到不舒服,建議諮詢可以幫助您執行這些步驟的 WordPress 開發人員。11.禁用文件編輯
WordPress 帶有一個內置的代碼編輯器,它允許您從管理面板編輯您的主題和插件文件。 如果錯誤的人訪問了您的管理面板,那可能是一個巨大的安全風險。 這就是為什麼我們建議禁用此功能。您可以通過在 wp-config.php 文件中添加一段代碼來實現:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12.禁用特定WordPress目錄的PHP文件執行
通過在不需要的目錄中禁用 PHP 文件執行來添加另一層保護。 您想要這樣做的原因是因為黑客經常使用該功能將後門訪問文件或惡意軟件上傳到您的 WordPress 網站。 如果您不知道自己在做什麼,這是一個危險的步驟,因為您的網站可能會停止工作,所以請小心行事! 您要查找的目錄是 /wp-content/uploads/您可以通過打開像記事本這樣的文本編輯器並粘貼以下代碼來執行此操作:
<文件 *.php>
否認一切
</文件>
將此文件保存為.htaccess並使用 FTP 客戶端或通過 cPanel 中的文件管理器將其上傳到您網站上的 /wp-content/uploads/ 文件夾。
13. 禁用 XML-RPC
曾經使用 XML-RPC 將您的 WordPress 站點與 Web 和移動應用程序連接起來,但由於 WordPress 發布了自己的 REST API,XML-RPC 變成了一種負擔,而不是一個有用的功能。例如,如果黑客想在您的網站上嘗試 1000 個不同的密碼,他們將不得不進行 1000 次單獨的登錄嘗試,這些嘗試將被您的安全插件或防火牆捕獲。 但是,如果您保持啟用 XML-RPC,黑客可以使用 system.multicall 函數並嘗試 1000 個不同的密碼和 30-60 個請求。
這就是我們強烈建議禁用它的原因,您只需在 .htaccess 文件中添加代碼即可:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>在第 5 行,如果您想保留 XML-RPC 的唯一 IP,您應該插入您自己的 IP(否則,只需將其刪除)。
注意:如果您是我們的用戶之一,則無需執行此步驟,因為您的 XMLRPC 將受到 LiteSpeed 的蠻力保護功能的保護。
14.限制機器人訪問
雖然您的網站總是會被某些機器人抓取,但不良機器人會造成煩人的干擾。 它們可能會減慢您的工作流程和/或破壞 WordPress 網站的功能,從而導致用戶流失。解決此問題的一個好方法是防止濫用機器人訪問您的 WordPress。 將以下代碼插入到 .htaccess 文件中。
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out確保 WordPress 安全的非技術提示
使用最小特權原則(POLP)為您的任何網站用戶提供盡可能少的訪問權限。 例如,如果您有內容作者,則無需為他們提供管理員帳戶 - 編輯用戶就可以了。 除非絕對必要,否則不要共享您的帳戶,如果您這樣做了 - 一旦您將密碼提供給的人不再需要它,請立即更改您的密碼。
除非絕對必要,否則不要共享您的託管詳細信息。
不要使用無效(非法下載)的 WordPress 主題和插件
在某些時候,節省一些錢並下載未經許可的插件或主題可能會成為一種誘惑。 在這種情況下,您將以另一種方式付款 - 很可能是為您的 WordPress 設置後門。 黑客經常在未經許可的項目中隱藏垃圾鏈接或惡意代碼,並提供免費下載。
不惜一切代價避免使用它們,如果您委託網站或功能,請確保與開發人員確認所有內容均已正確許可。
最後的想法
考慮一下您將花費的時間(和資金)來保護您的 WordPress 作為另一項關鍵業務投資。 修復一個被黑的網站會讓你付出更多的代價——在最不幸的情況下,它甚至可能會讓你的生意付出代價。 遵循本指南並不能保證 100% 防止惡意攻擊,但會顯著降低這種情況發生的可能性。您是否發現所提供的任何建議難以遵循? 我們錯過了什麼重要的事情嗎? 在評論中聯繫我們,我們很想听聽您的想法!
或者,如果您準備好切換到 Kualo 的超安全 WordPress 主機,請在此處查看我們的計劃。