如何使用iThemes Security Pro保护您的WordPress网站
这里是对iThemes Security Pro的简要评论,以确保最受喜爱且频繁受到威胁的CMS-WordPress的安全。
WordPress使得即使是非计算机专业人士也可以在几分钟内搭建起一个网站。想象一下一个经过凶残训练的黑客可以如何利用这种简单性。
请注意,WordPress核心本身非常安全-仅占整体的一部分。但正是主题和插件才破坏了任何网站的安全方程。
同时,正是这些插件使得WordPress如此易于使用。
想要一个订阅表单-安装一个插件。
想要一个悬浮社交分享-有几个插件可供选择。
想要实现深色模式-也有一个插件。
简而言之,这些插件使我们在使用WordPress时变得非常简单。
然而,插件也是WordPress问题的根源,占据了97.1%的时间。而剩下的2.4%则归功于我们离不开的无尽美丽的WordPress主题。
因此,总是好事在适当的位置采取适当的安全措施,特别是当您知道每天有30,000个网站被黑客入侵。
不要犯一个错误,认为您不够重要成为一个有利可图的目标。事实上,小型和中小型企业比大企业更容易成为受害者。最常见的原因是缺乏有效的安全基础设施。
因此,让我们详细了解一下iThemes Security Pro,看看它如何保护我们。
入门
入门计划每年售价80美元,所有计划均提供30天退款保证。首先创建一个iThemes账户,支付订阅费用,并下载插件。
接下来,转到WordPress管理后台,在插件部分上传并激活iThemes Security Pro。
随后,点击设置开始入门流程。
设置非常详细,提供了让您调整几乎所有内容的选项。或者,您可以跳过设置以强制执行默认保护。
iThemes Security Pro功能
以下部分突出显示了一些值得注意的功能,可以帮助保护WordPress网站。
登录安全
这是一个经常被利用的主要安全漏洞。您可以执行严格的注册策略,如双因素身份验证、强密码、无密码登录等。
虽然您可以为WordPress上发生的每件事情都找到单独的插件,但我们的目标是使用一个插件来最小化攻击面。
最近添加的Passkeys功能帮助您完全避免使用密码。这是关于使用您已经与苹果(Touch ID,Face ID)、Windows(Windows Hello)和Android(指纹、PIN、图案)使用的本地身份验证登录到您的WordPress网站。
了解如何使用iThemes Security Pro的链接进行操作。
iThemes还保护您免受暴力破解(稍后讨论)的攻击。这些攻击通常利用用户设置容易猜测的用户名和密码。
但是仅仅设置一个强密码并不总是足够的。在任何人猜出正确密码之前,这些事件的规模就足以使大多数网站对实际用户而言毫无用处。
当攻击机器人不断加载您的wp-admin时,有限的资源开始喘不过气来。
因此,最好的办法是限制密码登录尝试。
但是,iThemes Security Pro更进一步,通过其Network Brute Force功能帮助共享这些不良行为者。此外,您还可以启用reCAPTCHA来保护网站免受垃圾邮件的侵扰。
最后,Magic Links将帮助您在其他选项在攻击期间被锁定时进入。
群组
这是一个很好的功能,可以对某些用户进行特殊条件的应用。例如,您可以创建一个编辑组,并要求他们在注册时使用最强的密码。
此外,还有许多其他方法可以跟踪和监控特定组的用户。
同样地,可以豁免特权员工的双重验证限制。
虽然添加默认的WordPress组(编辑、作者、订阅者等)很容易,但您还可以从手动选择的用户中创建自定义类别,为他们设置特殊权限。
然后还有这个功能,可以添加授权主机,以避免被锁定在自己的网站之外。请记住,只有当您拥有专用的IP address时才使用此选项。
强制注销和更改密码
iThemes Security Pro仪表板对于在遭受攻击时保护您的网站非常有用。
您可以查看活动用户,强制立即重置密码,并强制注销所有用户或选择性注销。
您还可以利用此功能来确保网站的最佳安全实践。此外,还可以设置自定义密码过期时间,之后用户必须更改密码。
在同一面板上,您可以找到通过移动应用程序、电子邮件或身份验证代码设置双因素验证的选项。
这适用于具有TOTP(基于时间的一次性密码)功能的任何身份验证应用程序,如Google Authenticator、Authy等。
暴力破解保护
iThemes Security Pro在这个领域表现出色。如果您面临反复登录尝试的问题,您有多种方式来支持您的网站。
首先,您可以在自定义的登录失败次数后封锁不良操作者。此外,您可以设置封锁期以防止黑客频繁尝试。
然而,只是在特定的时间间隔内禁止不良操作者是不够的。因此,您还可以在定义的封锁次数后永久限制重复违规者。
此外,iThemes还可以在登录尝试失败后阻止IP或主机。您可以使用非常低的阈值来确保最大的安全性。
类似地,还有一个选项可以设置reCAPTCHA的错误输入次数和封锁间隔。
更新和网站检查
WordPress网站的另一个令人担忧的领域是过时的插件和主题。
虽然您可以从WordPress管理区域启用自动更新,但iThemes Security将所有这些功能集中在一个工具中。
因此,您可以从版本管理部分管理主题、WordPress核心和插件的更新。
它还支持延迟更新插件的设置,主题也是如此。然而,通常建议立即获取更新,而不要等待。
此外,您可以打开网站检查,在WordPress数据库发生重要变化时提醒您。
您可以在文件更改扫描中包括/排除特定文件路径。此外,还可以选择自动扫描,每天两次。
结论
这就是对iThemes Security Pro的简要概述。这些功能使得它易于推荐个人和专业使用。
但是,如果您正在寻找替代方案,请尝试SUCURI或Malcare
然而,并非所有事情都掌握在网站所有者手中。一些重要事项需要网站主机的关注。您可以检查这些hosting security measures并验证您的网站主机是否为最坏的情况做好准备。
