5个实时的提示来加固和保护WordPress网站 HTML标签

作者姚伟斌

一些最好的方法来保护和加固您的WordPress网站,以确保安全!

最新的SUCURI报告显示,90%的WordPress网站中存在一种或多种漏洞。

我每个月在Facebook Group和Stack Overflow上都能看到数百个关于website got hacked/malware-infected的问题/关注。我并不感到惊讶。

网站安全与您的内容和SEO同样重要,您应该尽一切可能来保护在线业务的安全。有多种方法可以加固您的WordPress;然而,以下是我使用的实用方法,希望对您有所帮助。

去除密码

Brute Force attack是一种旧的技术,不断尝试使用许多用户/密码组合登录WordPress管理员。通过去除密码,您不留给黑客任何尝试登录的选项。想知道它是如何工作的吗?

让我给您展示。

默认的WordPress登录窗口如下所示:

当您去除密码时,您将无法输入用户名和密码的选项;相反,您需要使用手机进行身份验证。这很简单和方便。

Trusona

Trusona提供无密码的2FA登录。

您可以使用手机扫描QR码,然后就可以登录了!

对于去除密码的解决方案还不满意吗?

别担心,试试双因素认证-比普通凭据更安全。

您可以使用免费解决方案,如Two-Factor plugin,或付费解决方案,如iThemes security

建立稳固的备份策略

备份就是您的朋友!

当一切出了问题,什么都不起作用时,备份就会派上用场。

以下是可能出现的问题。

  • 配置错误
  • 文件被删除
  • 网站被黑客攻击
  • 安装插件后网站破坏
  • 更新WordPress/主题/插件后网站崩溃

如果您无法修复问题或需要很长时间才能使您的在线业务运作正常,则可以考虑从备份中恢复您的网站。

大多数WP hosting platform每天都会提供备份,所以您没问题。然而,如果您使用其他的网络托管,那么您可能需要查看他们提供的备份。

如果您使用类似DIgitalOceanLinode的VPS,则备份默认情况下是不启用的,并且会收取额外的费用,约为VPS计划的20%。因此,如果您使用的是10美元的计划,您需要额外支付2美元作为备份费用。

相信我,这是值得的。有很多情况下,我别无选择,只能从备份中恢复Geekflare。

如果您使用像AWS、Google Cloud这样的云托管,那么您必须考虑使用taking snapshots regularly或使用第三方备份工具。如果您的网络托管提供备份服务,那么我不认为有任何理由使用备份插件,但如果您想要,这里有一些流行的免费备份和恢复插件供WordPress使用。

Updraft Plus

拥有超过200万的活跃安装量,这说明了很多。 Updraft Plus让您可以将网站数据备份到亚马逊S3、谷歌云端硬盘、Dropbox、FTP等云存储中。

每当需要恢复时,只需点击一下。

BlogVault

BlogVault是一个付费插件,受到超过400,000个网站所有者的信任。一些功能包括以下内容。

  • 365天的自动实时备份和归档
  • 一键创建临时站点和恢复
  • 用于迁移
  • 云备份选项

不要满足于低于每日备份的选择。

使用WAF/安全插件

默认的WordPress安装可能会暴露配置/信息,如果没有适当加固,可能会存在漏洞。有许多与安全相关的插件可供选择,因此选择您喜欢的,但请确保它涵盖以下内容。

  • 更改管理员URL – 默认情况下,WordPress管理员可以通过wp-login.php访问,全世界都知道这一点。

例如:example.com/wp-login.php

因此,如果您知道WordPress上的一个site is built,那么您可以尝试添加wp-login.php来访问管理员URL,并尝试进行恶意操作等。将管理员URL从wp-login.php更改为其他内容是一个好主意。

  • 垃圾邮件保护 – 不要让您的网站充满垃圾评论和电子邮件。
  • 阻止可疑请求 – 不要接受恶意请求和脚本执行。
  • 实施安全HTTP标头 – 通过在HTTP响应标头中注入必要的参数,保护免受点击劫持、安全cookie、XSS攻击等。

让我们来看看顶级安全插件。

Wordfence

Wordfence受到超过三百万个网站的喜爱,并具有以下许多功能。

  • WordPress防火墙
  • 阻止功能
  • 登录安全
  • 安全扫描
  • 监控
  • IPv6兼容

iThemes安全性

iThemes是一个优秀的安全解决方案。它可以帮助您保护网站免受30多种攻击。

配置简单,提供全面的安全保护。

Shield

Shield,又名WordPress Simple Firewall,非常棒,几乎为您提供了所有需要的功能,而且是免费的。

我使用过这个插件,并且喜欢它的仪表盘和全面的功能 – 值得一试。

使用基于云的安全性

WordPress插件提供的安全/防火墙功能很好,但它仍然局限于WordPress,保护工作是在请求到达WordPress时开始的。

如果您希望获得额外的保护,那么您必须考虑使用基于云的安全性。来自云端的安全性可以保护并阻止攻击者在网络边缘进行攻击。大多数基于云的安全性提供商还为您提供一个CDN(内容分发网络),以加快网站的加载速度。

一些受欢迎的CDN和安全性提供商包括:

SUCURI

作为提供网站安全和高性能CDN的行业领导者之一,SUCURI提供双重效益 – 安全性和性能,单一定价。提供对OWASP十大漏洞、DDoS、WordPress特定威胁、密码暴力攻击等的保护。

Cloudflare

如果不提到Cloudflare,这个列表就不完整。Cloudflare是最受欢迎的CDN和安全性提供商之一,可以使您的网站安全且速度快。

查看Cloudflare的计划详情 – Cloudflare的一些值得一提的功能。

  • 全球CDN
  • 免费SSL证书
  • HTTP/2、WebSockets、IPv6支持
  • DNSSEC、缓存清除、自定义规则
  • 评论垃圾邮件、内容抓取、OWASP WAF、DDoS防护

修补/保持最新

SUCURI称,55%的受感染网站使用的是过时的WordPress版本。

使用旧版本的WordPress、插件或主题可能存在漏洞,作为最佳实践,您应该关注这些容易受攻击的插件,并优先修补。您可以订阅WP Scan Vulnerability Database以接收电子邮件警报,以便您知道使用的插件/WordPress/主题是否存在漏洞。

结论

安全是一个持续的过程,而不是一次性的设置并忘记。有时将头疼的问题交给专家,选择付费解决方案会更好。如果您可以自己完成以上任务,那是很好的,否则您可以考虑选择像Kinsta这样的受管WordPress托管提供商。

姚伟斌

程序猿

我是姚伟斌,也被称为文景。我的专业领域涵盖了开放源代码的深度探索、网络编程和网络建站。我热衷于分享我的编程和建站实践经验,尤其擅长于Nginx和Proxy服务器的管理。此外,我还对Python和NodeJS这两种编程语言有着深刻的理解和独到的见解。

最近,我致力于爬虫技术的研究,探索如何通过高效的数据抓取为项目增添价值。我的目标是通过持续的学习和创新,为开放源代码社区贡献我的力量,并帮助那些对网络编程和网站建设感兴趣的人士。

类似文章