8个必不可少的WordPress安全秘密

IT资讯 2018-08-04 119 次浏览 0 条评论

使用这些必须知道的提示,防止,阻止和恢复对WordPress网站的攻击。

在过去的15年中,WordPress已成为世界上最受欢迎的内容管理系统。它易于上手,功能多样,是最好的博客平台之一 - 您的设计组合的理想之家,或更雄心勃勃的东西。

有各种各样的WordPress主题可供选择,而如果你不怕一些代码,你会发现大量的WordPress教程,它们将帮助你掌握更复杂的功能。

10个顶级WordPress资源
然而,WordPress流行的一大缺点是它是黑客的主要目标。如果您想避免失去对闪亮的新网站的控制,请遵循以下提示以确保其安全。

01.为用户帐户添加额外的安全性

锁定用户权限以防止未经授权访问管理区域

很多漏洞来自有意访问您网站的用户帐户,尤其是管理员和编辑角色。如果黑客获得对这些帐户之一的访问权限,对于网站上的任何用户而不仅仅是主要管理员的用户,那么他们可以在网站上随意进行更改。

始终确保帐户只具有所需的访问权限。例如,如果用户只打算撰写文章,请考虑只给予他们贡献者或编辑者访问权限,而不是管理。请记住用户的能力水平,确保具有管理员或编辑访问权限的任何人都经过全面培训,以使用所有帐户的功能来避免事故。

您可以添加功能以允许临时访问特定角色级别,即如果您有承包商在网站上工作并且他们需要临时管理员访问权限,您可以在设定的时间到期时将其提供给他们,这样您就不需要记得稍后撤销他们的访问权限。

如果某个角色级别不需要所有默认权限,则可以安装角色和权限插件以关闭永远不会使用的某些权限。您还可以创建仅具有特定访问权限的其他角色。限制用户仅使用他们所需的权限,以避免意外或故意滥用功能。

为了防止来自用户登录的攻击,请限制帐户在该用户名被锁定一段时间之前可以尝试登录失败的次数。这主要是抓住猜测密码的机器人,但是请记住警告用户他们不应该尝试登录超过您连续设置的次数。如果他们忘记了密码,并且忘记了密码,他们应该重置密码而不是猜测!

提醒用户使用安全密码(超过八位数,大写,小写,数字等)并且经常更改它们也是一种好习惯。提醒他们永远不要写下他们的密码,并在他们完成会话时注销,以避免未经授权访问他们的帐户。

双因素身份验证是可以添加到登录的额外安全级别。它们要求用户在登录时使用其身份验证器,以增加标准所需的凭据数量。用户需要额外的代码或引脚才能登录,通常是由应用随机生成或通过文本发送到手机。它可能会成为用户登录的额外障碍,但它也是黑客的额外障碍。

02.更改旧的默认值

更改管理员帐户的名称将使黑客的工作变得更加困难

新的WordPress安装让您为管理员帐户选择一个自定义用户名,但如果您刚刚安装了您的网站,您的管理员帐户可能会有默认名称“admin” - 这使得黑客更容易将您的登录凭据猜为一半他们的工作已经完成了。将默认管理员用户名更改为其他名称以提高安全性。您可以通过wp_users表中的数据库手动执行此操作,也可以创建新的管理员配置文件并通过“管理”面板删除旧配置文件(确保将所有旧帐户的帖子归属于新帐户)。

您还可以将默认数据库前缀更改为wp_以外的其他内容,以便为默认设置添加更多隐藏层。在现有安装上执行此操作的最简单方法是通过插件,但首先备份您的数据库。
03.保持WordPress更新

确保您正在运行WordPress的最新稳定版本

WordPress始终在更新和改进其内置安全性,因此请确保您的版本是最新的,以保持领先于旧漏洞和漏洞利用。大多数WordPress安装会自动更新,但如果您的安装没有,请密切注意管理面板或收件箱,以便在新的更新准备好安装时收到通知。黑客正在寻找尚未更新的网站,只有22%的WordPress网站正在运行最新版本。由于WordPress几乎占据了网络上所有网站的30%,这就是很多过时的网站!

如果您正在运行暂存站点,则可以在推送之前测试所有更新是否与当前主题和插件兼容。这是避免任何自动更新意外地与现有安装冲突的良好做法。它让您有机会在投入生产之前发现任何问题。不要忘记更新您的插件和主题。这不仅仅是旧的核心WordPress漏洞,可以让黑客入侵;您在WordPress网站上安装的任何内容也必须是安全的。下一个提示将告诉您更多关于选择值得信赖的插件的信息。

04.定期安装可信插件并清理房屋

不再使用旧插件了吗?摆脱它!

安装尽可能多的插件是一种诱惑,因为有太多的插件会导致膨胀,而一个不可靠的插件会导致安全风险。在安装之前,请务必检查插件是否值得信任。通过官方WordPress界面或网站下载,并始终查看星级评分和评论,以获得可能表明存在安全漏洞的负面反馈。

插件由具有不同能力水平的开发人员创建。尽管插件在添加到WordPress网站之前已经过审核,但您应该始终进行自己的研究,以确保您安装的代码是可靠的。

WordPress网站会告诉你一个插件的上次更新时间,最重要的是,它是否与你的WordPress版本兼容。一段时间没有更新的插件不一定是坏的,它可能只是意味着它不需要在那段时间内更新。检查最近的评论以确认插件仍然可行,并且它仍然与您的版本兼容。一个旧的插件与最近的低星评论和未知的兼容性值得避免。

定期删除未使用的主题和插件,因为如果发现并利用漏洞,即使停用的插件也可能存在安全风险。保持您的插件目录清洁。您应该只安装当前正在使用的插件。更新时检查旧插件,看它们是否仍然兼容。

定期检查您的插件,以确保您仍然拥有最适合的工作。可能有一个新的插件,它结合了您已经拥有的一些功能,可能会得到更好的支持,更安全,更易于维护。

05.考虑托管主机

托管主机将花费更多,但会防止跨服务器污染

您需要考虑的不仅仅是您自己网站的安全性。如果您在共享服务器上托管您的站点,则存在跨服务器污染的风险,黑客可以通过其他站点访问,并且可以破坏共享相同空间的其他站点。考虑托管托管或虚拟专用服务器(VPS)托管以消除此威胁,您的站点是单独托管的。

成本是一个明显的含义,但对于具有高负载和流量的站点,专用服务器可以提高性能和安全性。不同的主机有不同的解决方比较几个,以评估哪个最适合您的需求。
06.面具,锁定和隐藏

隐藏您的WordPress版本号并更改登录页面的名称

如果黑客不知道从哪里开始,他们的影响力就会降低。从您的代码中隐藏您的WordPress版本号,以便只有管理员知道您正在运行的WordPress版本。这样,黑客就不知道哪些漏洞可以利用。

将您的登录页面从/ wp-login移动到非默认值。这对DOS和暴力攻击机器人来说是一个巨大的绊脚石,这些机器人会搜索寻找登录表单的网站。它还增加了审美价值,因为您可以将URL更改为更适合用户的内容。

使用.htaccess文件中的以下代码拒绝外部访问wp-config.php和.htaccess:

<Files wp-config.php>
订单允许,否认
否认所有人
</文件>
<Files .htaccess>
订单允许,否认
否认所有人
</文件>
如果您知道您的主题仅通过FTP上的文件上传进行编辑,您还可以从“管理”面板禁用文件编辑。这可以防止任何有权访问管理面板的人直接编辑文件或者作为具有恶意意图的黑客。将以下内容插入到wp-config.php文件中:

define('DISALLOW_FILE_EDIT',true);
07.经常运行备份

永远不要忘记:如果它没有备份,那么它并不重要

如果您的网站遭到黑客攻击并且您需要回滚到早期的干净版本,请确保您的网站已备份。您应该多久运行一次备份取决于您的网站更新频率。

在托管您的站点的地方进行备份是不可或缺的,以避免WordPress主机上的任何恶意活动也感染备份。备份可以存储在您自己的计算机或基于云的服务上,例如Google Drive,Dropbox或Amazon S3。

如果您有无法解决的插件或主题冲突并且无法访问您的站点,或者如果发生灾难性的服务器故障并且您丢失了所有工作,则备份到不是您当前服务器的位置也会有所帮助。

存在专用的备份插件,可帮助您保持正常运行,大多数都带有计划备份或手动备份选项。免费版和高级版为您提供了各种选项,BackupBuddy是最受欢迎的付费服务,因为它们拥有自己的第三方存储文件,以及直接从备份恢复的功能。比较像UpdraftPlus和BackWPup这样的其他插件的免费和高级版本,看看哪些插件具有您最有价值的功能。

08.安装安全和反垃圾邮件插件

一套好的安全插件可以让您的网站更安全

许多安全功能都可以添加一个全面的安全插件,例如iThemes Security或Sucuri,它们都有免费版和高级版。安全插件附带了一套工具来锁定您网站上的漏洞,例如本文中已经提到的漏洞;从掩盖您的版本号到为登录安装双因素身份验证,功能列表通常很广泛。

这些类型的插件对于使您的WordPress站点更安全非常有用,并且大多数安全插件易于使用,单击安装可用于最重要的功能,可选安装用于更高级或复杂的功能。这使得它们非常适合WordPress初学者,因为在几分钟内就无需编码即可获得受到良好保护的网站。更高级的用户可以访问可以进一步保护您的站点的功能,例如关闭对XML-RPC等协议的不必要访问,以及更新编码中使用的WordPress salt。

此类插件将有助于保护您的站点免受暴力破解和DOS攻击,如果服务器上的负载过多,这可能会使您的站点脱机。他们还可以通过更高级别的安全性来确定登录过程,以防止您的用户帐户被用作攻击方法。恶意软件扫描和活动日志会记录任何可疑行为或损坏的文件以供审核,警告您正在进行的任何攻击,并让您了解网站的漏洞所在,以便您可以解决这些漏洞。

一些安全插件还附带备份选项,用于全包服务。通过一个插件组织所有安全需求意味着功能易于组织,类似插件之间的冲突风险较小。但是,请确保您进行研究,因为此插件会阻碍您的网站以及任何想要对其造成伤害的人。您将需要选择一个能够令人钦佩地完成工作的人。
此外,像Akismet这样的反垃圾邮件插件会阻止垃圾邮件发送者使用不相关的评论来阻止您的网站。如果您的安全插件尚未这样做,它可以通过使用验证工具(如CAPTCHA和其他反僵尸设备)为您的社区互动添加额外的安全层来帮助安全插件,以确保只有真正的人在评论。反垃圾邮件插件有助于保持您的网站清洁,以及幕后的数据库。筛选有价值的评论还有一个额外的好处,即只显示读者的正确参与,从而使您的内容更加重要。

每个插件都有自己不同的工具,因此请比较适合您需求的选项。考虑使用附加功能的插件的高级版本,因为这是您网站不可或缺的一部分,一般而言,付费插件将为您提供最全面的服务。理想情况下,您希望套件至少涵盖安全性的基础知识,例如本文中提到的其他提示。

0
小包子

【 飞龙网.com:小包子】为你推荐!我的文章如同我的名字,香甜可口,咸淡适宜,油而不腻,阅后令你回味无穷尽哦~

发表评论