Layman的WordPress安全提示:保护您的WordPress登录名和其他安全做法

文章撰写者:
  • WordPress
  • 更新:Sep 02,2020

自二十多年前首次推出以来,WordPress已经成长(并且已经成长),现在已经被安全地命名为世界上最受欢迎的内容管理系统。 今天, 超过四分之一 存在的网站是在WordPress上运行的。

然而,自远古以来,越流行的东西越多,人们就越想利用它来制造邪恶的手段。 只需看看Microsoft Windows和 大量恶意软件,病毒和其他攻击 旨在针对这一个特定的操作系统。

最易受攻击的10 WordPress版本(来源)。 2017的研究在Alexa Top 74百万网站中确定了1不同版本的WordPress; 这些版本的11无效 - 例如版本6.6.6(来源).

为什么你的WordPress博客是一个有价值的目标?

如果您想知道为什么黑客会想要控制您的WordPress博客,有几个原因,包括:

  • 用它偷偷发送垃圾邮件
  • 窃取您的数据,如邮件列表或信用卡信息
  • 将您的站点添加到他们以后可以使用的僵尸网络中

幸运的是,WordPress是一个为您提供多种机会来保护自己的平台。 自己帮助设置和管理多个网站和博客后,我想与您分享一些可以帮助保护WordPress网站的基本功能。

以下是您可以使用的10可操作安全提示。

保护您的WordPress登录页面

保护您的登录页面不能通过任何特定的技术来完成,但肯定有步骤和 免费安全插件 你可以采取任何攻击成功的可能性更小。

您网站的登录页面肯定是您网站上最易受攻击的网页之一,因此让我们开始让您的WordPress网站登录页面更加安全。

1.选择一个好的管理员用户名

使用不寻常的用户名。 以前使用WordPress,您必须以默认的管理员用户名开始,但现在不再是这样。 尽管如此,大多数新的Web管理员仍使用默认用户名,并且需要更改其用户名。 您可以使用 Admin Renamer扩展 更改您的管理员用户名。

强制登录页面是您的网站可能会面临的常见Web攻击形式之一。 如果您拥有容易猜到的密码或用户名,那么您的网站几乎肯定不仅会成为目标,而且最终会成为受害者。 根据经验,大多数站点黑客尝试尝试使用三种主要的用户名登录。 前两个始终为“ admin”或“ administrator”,而第三个通常基于您的域名。

例如,如果您的站点是crazymonkey33.com,则黑客可能会尝试使用“crazymonkey33”登录。

不是个好主意。

2。 确保使用强密码

到目前为止,您可能会认为人们会知道使用强大而复杂的密码来保护他们的帐户,但仍有许多人认为“密码”是一个很好的密码。

启动数据 编制清单 2018年常用密码。 密码按使用等级排序。

  1. 123456
  2. 密码
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. 阳光
  9. QWERTY
  10. 我爱你

如果您使用其中一个密码并且您的网站收到任何流量,您的网站迟早会被删除。

强密码将包含以下内容的混合:

  • 上限和下限大写字符
  • 是字母数字(AZ和az)
  • 包括一个特殊字符(!,@,#,$等)
  • 至少8个字符的长度

密码越随机,它就越安全。 如果您遇到问题,请尝试使用此随机密码生成器。 https://passwordsgenerator.net/

3.实施验证码

从您的WP博客中取出壁挂机器人。

reCaptcha旨在阻止自动化工具在网站上工作。 当然,鉴于当今黑客工具的复杂性,这些可以很容易地被绕过,但至少还有增加的安全层。

一些reCaptcha插件 您可以使用几乎可以开箱即用的安装。

4.使用两因素身份验证(2FA)

2FA是一种身份验证方法,需要对您的登录进行验证。 例如,一旦您使用您的用户名和密码登录,系统可能会向您的手机发送短信或通过电子邮件向您发送您需要输入的代码以验证您的身份。

这种认证方法提供了良好的保护,并且如今被许多银行和金融机构使用。 同样,这种需求可以很容易地满足 2FA插件.

在下面的视频中了解miniOrange(一个2FA插件)如何与WordPress登录一起使用。

T

5.重命名您的登录URL

大多数黑客会尝试通过默认的wordpress登录页面登录,通常是这样的

sample.com/wp-admin。

要添加另一层保护,请使用类似工具快速轻松地更改登录页面URL WPS隐藏登录.

6.限制登录尝试次数

这是一种非常简单的技术,可以直接阻止登录页面上的暴力攻击。 通过反复尝试多种组合来尝试获取您的用户名和密码,从而实施暴力攻击。

如果跟踪进行攻击的特定IP,则可以阻止重复的暴力强制尝试并保持站点安全。 这也是为什么全球DDOS攻击发生在具有不同攻击来源的多个IP地址,以使托管服务和网站安全措施措手不及的原因。

登录锁定登录安全解决方案 两者都提供了很好的解决方案来保护您网站的登录页面。 他们跟踪IP地址并限制保护您网站的登录尝试次数。

加强站点安全墙

我们已经讨论了保护WordPress登录页面的各种策略–上面提到的那些步骤是您可以做的基本操作。 您还应该知道,某些Web主机对其用户强制执行某些安全措施。 您可以在站点上实施许多其他安全措施。

7. 保护您的wp-admin目录

为主机目录添加额外的安全层。

wp-admin目录是WordPress安装的核心。 作为额外的安全措施,密码保护此目录。

为此,您需要登录您的主机帐户控制面板。 你是否正在使用 的cPanel or 的Plesk,你正在寻找的选项是'密码保护目录“。

另外,您可以通过调整.htaccess和.htpasswds文件来对目录进行密码保护。 可以从以下位置免费获得详细的分步指南和代码生成器: 动态驱动器.

请注意,用密码保护您的wp-admin文件夹将 打破WordPress的公共AJAX –您将需要允许通过.htaccess来管理ajax的权限,以避免任何站点错误。

8。 使用SSL加密数据

HTTP与HTTPS连接(来源: Sucuri)

除了网站本身,您还需要保护您与服务器之间的连接,这就是SSL加密您的通信的地方。 通过加密连接,当您与服务器通信时,黑客将无法拦截数据(例如您的密码)。

除此之外,现在实施SSL也是一种很好的做法,因为搜索引擎越来越惩罚他们认为“非安全”的网站。

对于个人博客作者和小型企业,免费的共享SSL –通常可以从托管服务提供商处获得, Let's Encrypt, 或 CloudFlare的 –通常绰绰有余。 对于处理客户付款的企业,最好是您 购买专用的SSL证书 来自您的Web主机或证书颁发机构(CA)。

在我们的综合信息中了解有关SSL的更 AZ指南SSL.

9.利用内容分发网络(CDN)

虽然这可能不会使您的网站免遭黑客攻击,但确实有助于减轻针对它的恶意攻击。 一些黑客旨在关闭网站,使公众无法访问它们。 CDN将有助于缓解 分布式拒绝服务攻击 攻击您的网站。

除此之外,它还可以通过缓存某些内容来帮助您加快网站速度。 要探索此选项,请以Cloudflare为例。 CloudFlare的 以多层定价级别提供CDN服务,因此您甚至可以免费使用基本功能。

进一步了解 Cloudflare的工作方式以及使用服务的优势.

10.确保所有软件都是最新的

无论软件有多好或多贵,总会有新的弱点可能让它们开放利用。 WordPress也不例外,该团队不断发布带有修复和更新的新版本。

黑客几乎总是试图利用弱点,而一个未经修复的已知漏洞只是在寻找麻烦。 对于通常由资源较少的小公司创建的插件而言,这是两倍。

如果您使用的是插件,请确保定期发布更新,或考虑查找 具有相似功能的流行插件会不断更新.

说完这个,我不建议你使用 自动WordPress和插件更新,特别是如果你正在运行一个实时网站。 某些更新可能会导致问题,无论是内部还是与其他插件和设置冲突。

理想情况下,创建一个镜像您的实时站点并在那里测试更新的测试环境。 一旦你确定一切正常,那么你可以将更新应用到实时网站。

Plesk等控制面板为您提供了为此目的创建站点克隆的选项。

11.备份,备份和备份!

无论采取何种安全措施或谨慎,事故都会发生。 只需确保您有足够的备份服务,就可以避免心碎和数百小时的工作。

通常,您的网络主机至少会带有一些基本的备份功能,但如果您像我一样偏执,请始终确保您执行自己的独立备份。 备份不仅仅是复制一些文件,还要考虑数据库中的信息。

寻找经过验证的备份解决方案。 即使是一笔小额投资也值得在紧急情况下挽救眼泪。 就像是 BackupBuddy 可以帮助您一次保存包括数据库在内的所有内容。

12.您的虚拟主机很重要!

尽管传统上,网络托管公司只是为我们提供托管网站的空间,但时代已经改变。 虚拟主机提供商, 了解漏洞,已通过提供许多增值服务来补充其虚拟主机,从而提高了安全性。

举个例子 HostGator的,游戏中比较知名的名字之一。 除了基本的Cloudflare功能,HostGator(价格为$ 10 + / mo)还附带垃圾邮件免费保护,自动删除恶意软件,自动备份,域名隐私等。

托管WordPress托管服务提供商, Kinsta,构建硬件防火墙,并使用其定制系统主动监控其服务器是否存在恶意软件和DDoS攻击。

如果您还没有想到这一点,我强烈建议您查看主机提供的安全功能,并将其与当前可用的功能进行比较。

如需全面的清单,您可以查看 WHSR的最佳Web主机汇编在这里.

怎么办?

在你狂奔之前,开始搜索互联网,恐慌地寻找一百万个安全解决方案 - 深呼吸。 与其他一切一样,有人会帮助你恐慌并寻找解决方案。

即使您实施了尽可能多的安全解决方案,您也是 肯定 你安全了?

这是类似的地方 安全忍者 进来,这可以帮助您探索您的网站的弱点。

快速演示:安全忍者的工作原理。

有几个令人信服的理由使用像Security Ninja这样的东西,但我要说这是一个工具,我建议你在保护你的网站的过程中的多个阶段使用它。

首先,在进行任何更改之前,按原样在您的网站上运行它。 在给出结果之前,让插件戳戳并刺激您的网站。

然后根据这些结果,努力保护您的网站。 安全忍者执行的不仅仅是50测试来探测你的防御。 即使在您进行了更改之后,再次运行它(以及每次有站点更改或插件更新)时只是为了测试您的站点。

如果这对你来说听起来有点太多了,Security Ninja还附带了许多额外的模块(专业版,单个网站$ 29)它可以帮助您解决它发现的问题。

这些模块中的一些其他主要功能包括:

  • 扫描WP核心文件以识别有问题的文件
  • 只需单击一下即可恢复修改的文
  • 修复损坏的WP自动更新
  • 禁止从数百万个受攻击网站收集的600百万个不良IP
  • 列出自动更新,无需任何维护或手动工作
  • 保护登录表单免受暴力攻击

最后的思考

虽然所有这些对于普通的WordPress用户来说似乎有些过分,但我保证所有这些(以及更多)都是必要的。 忽略全球黑客统计数据等等,让我与您分享一些我帮助管理的最不起眼的网站上的个人信息。

最初是作为一个简单的传记网站开始的,我创建了 www.timothyshim.com。 显然,这只是我设置的东西,而且大部分时间都是单独留下的,仅作为参考点。 在每个月的时间里,这个网站当中 基本上什么也不做,也没有收集数据面对30攻击 - 蛮力和复杂攻击的结合。

它所需要的只是让其中一个成功,而我将拥有一个 糟糕的一天。

关于Timothy Shim

Timothy Shim是一位作家,编辑和技术爱好者。 从信息技术领域开始他的职业生涯,他迅速进入印刷领域,并与国际,地区和国内媒体合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的专长在于消费者和企业的技术领域。