13个保护WordPress网站的最佳安全实践
什么比一个精心构建的网站更好?一个具有健壮安全性的精心构建的网站。
跟着我,我将揭示一些适用于WordPress网站的最佳安全实践。这些实践不仅适合初学者,而且在成本上非常实惠,甚至可能是免费的。
通过本文的结束,你将有一个行动计划,来保护你的网站免受各种网络威胁。所以,系好安全带,让我们开始吧!
你的WordPress网站安全吗?
虽然WordPress被认为是迄今为止最受欢迎的CMS,但这个声誉也带来了一些后果。WordPress被超过35% of websites的网站使用,在网络上成为了最受欢迎的恶意软件攻击目标。仅在2018年,Sucuri报告称大约有23000个WordPress网站遭受了安全漏洞。
这是否意味着WordPress的安全系统很糟糕?
完全不是!相反,网站安全漏洞的主要原因是用户缺乏安全意识。
作为一个声誉良好的CMS,WordPress定期发布安全补丁和软件更新,尽到了自己的责任。但是,除非你知道如何利用它们,否则这些升级将起不到太大的作用。
简而言之,你在保护你的网站中扮演着重要的角色。
现在,你已经了解了作为网站管理员的角色和责任,是时候探索一下你可以做些什么来提高网站的安全性了。请查看下方的最佳安全实践,并尝试在你的网站上实施它们。
使用强密码和用户名
创建强密码和用户名可能是任何人都能执行的最简单的安全实践,然而许多用户仍然做不到。信不信由你,23.2 million accounts仍然使用“123456”作为他们的密码。同样的问题也适用于用户名,许多用户使用标准的用户名,比如“admin”和“administrator”。
如果你需要帮助创建强密码,有很多免费的password generators可以使用。至于用户名,你可以在关键词中加入数字和特殊字符,使它们更独特。
使用弱登录凭证将使你的网站容易受到brute force attacks的攻击。这种类型的网络攻击使用试错法猜测你的登录凭证。因此,最好避免使用常见的关键词作为你的登录信息。
如果你有记不住密码的习惯,你可以考虑使用LastPass来记住并一键使用它。至于用户名,你可以在关键词中加入数字和特殊字符,使它们更独特。
隐藏WordPress登录
这个简单的技巧可以保护你的WP网站免受针对暴力破解攻击的攻击。使用WPS Hide Login免费插件将登录URL更改为独特的内容。
启用双因素身份验证
一旦你保护好管理员登录凭证,你可以通过启用双因素身份验证进一步改进登录过程。这个安全过程创建了一个额外的保护层,要求用户从身份验证应用程序获取一个唯一的代码。通过在你的网站上实施它,只有拥有正确的登录凭证和代码的用户才能登录他们的账户。
WordPress有很多双因素身份验证插件可供选择。其中一些最好的包括Google Authenticator,Two Factor Authentication和Two-Factor。
更改WordPress数据库前缀
网站的数据库是SQL注入攻击最受欢迎的目标。这种类型的网络攻击强迫数据库执行恶意代码,使黑客可以自由地修改或删除其中的数据。由于每月约有80% of hacking attempts次SQL注入攻击,你不应该轻视这种威胁。
使您的数据库容易受到SQL注入攻击的因素之一是使用wp_
默认数据库前缀。使用可预测的数据库前缀使黑客可以猜测您的表名并对数据库造成严重破坏。因此,我强烈建议您尽快更改它。
以下是有关如何更改WordPress数据库前缀的详细链接:guide。您还可以尝试以下链接:Change Table Prefix plugin。
禁用PHP错误报告
PHP错误报告功能可以帮助您更快地定位PHP文件中的错误。然而,它也允许其他人看到您网站的漏洞。因此,我建议您完全禁用此功能。
WordPress默认禁用错误报告功能。如果由于某种原因启用了错误报告功能,则应通过以下方式手动禁用它:modifying the wp-config.php file。根据您的网络托管服务,一些托管提供商还允许您从其控制面板中管理此设置。
保持WordPress最新
为了跟上日益增长的各种网络攻击类型,WordPress定期发布更新以及最新的安全补丁。这种改进不仅适用于WordPress核心,还适用于插件和主题。也就是说,使用过时的软件是灾难的源头。
尽管WordPress会自动实施次要软件更新,但您仍然需要手动执行主要更新。因此,请务必定期查看您的WordPress管理面板中的“更新”部分,以避免您的站点存在安全漏洞。
还有一个免费插件可以使用:Easy Updates Manager,您可以使用它来控制如何更新WordPress核心、主题和插件。
禁用目录浏览
目录浏览可以快速访问网站的结构和单个目录。然而,如果其他人也能访问它,它可能会变成一把双刃剑。黑客经常使用它来查找易受攻击的文件、插件和主题,然后利用它们获取对您的网站的访问权限。
如果您将WP站点托管在premium platform上,则可能不需要担心,因为他们将负责这些优化。但是,如果您是自托管或需要手动禁用它,请查看此链接:article,了解如何在WordPress中禁用目录浏览。
删除WordPress版本号
WordPress不断发布更新来修补先前版本的安全漏洞。旧版本通常存在更多的漏洞。因此,将您的WordPress版本公开不是您的网站安全系统的最佳选择。
默认情况下,您的WordPress版本显示在管理员面板和页面源的右下角。它还出现在不太明显的地方,如网站的RSS、CSS和脚本中。有一个很好的链接提供了逐步指南,说明如何从这些位置删除WordPress版本:article。
禁用文件编辑
WordPress内置的文件编辑器可以让您更轻松地修改插件和主题脚本。尽管如此,如果它落入错误的手中,这个功能可能危及您的网站。因此,最好完全禁用文件编辑。您可以通过将以下内容添加到wp-config.php
文件中来实现。
define('DISALLOW_FILE_EDIT', true);
定期备份
创建备份与保护网站一样重要。在最坏的情况下,备份可以避免您不得不从头开始重建网站。
该过程可能看起来繁琐,但有许多备份插件,如VaultPress和BlogVaul,可以使其变得轻松。专业技巧是使用具有自动备份功能的插件,以节省时间并避免过时的备份堵塞您的系统。
如果您不喜欢使用太多插件,那么您可以考虑使用iThemes Security Pro,它可以处理以上所有问题以及更多。
阻止垃圾邮件和负面SEO
垃圾邮件无处不在,没有人喜欢它。
如果您运营一个受欢迎的网站,但没有适当的垃圾邮件预防系统,那么您可能每天吸引数千个垃圾邮件发送者。拥有太多垃圾邮件会影响用户体验。想象一下,在一篇博客文章上有数百条无关的评论。
使用bad for SEO解决方案,拒绝垃圾邮件。
使用WAF
保护您的网站的最佳投资之一是使用WAF(Web应用程序防火墙)。它有助于保护您的网站免受OWASP十大漏洞、已知和未知的安全漏洞、恶意代码、DDoS攻击等。
有几个选择 – SUCURI,Malcare,Cloudflare。
管理主题和插件
使用WordPress的最大优势之一是它庞大的插件和主题库。具有讽刺意味的是,WordPress插件和主题可能成为可能使您的网站面临风险的因素。因此,您应该明智地进行选择并仔细管理已安装的插件和主题。
防止黑客通过有缺陷的软件访问您的网站的最简单方法是使用在评价和评级方面出色的插件和主题。这些是很好的指标,可以告诉您它们是否得到良好维护并正常运行。此外,请定期检查更新以提高其性能。
总结
由于全球范围内的网络威胁不打算很快撤退,因此保护您的WordPress网站免受潜在威胁非常重要。幸运的是,有许多简单而有效的安全实践可供您执行,以提高网站的整体安全性。
本文证明,您无需有大预算或先进的技术知识即可执行一些最佳安全实践。问题是,您是否对此感兴趣?
想要通过您的网站接受付款吗?这里有一些best plugins to accept payment on WordPress sites。
相关: