适用于Layman的10可操作WordPress安全提示

文章撰写者:
  • WordPress
  • 更新:Jun 06,2018

自二十多年前首次推出以来,WordPress已经成长(并且已经成长),现在已经被安全地命名为世界上最受欢迎的内容管理系统。 今天, 超过四分之一 存在的网站是在WordPress上运行的。

然而,自远古以来,越流行的东西越多,人们就越想利用它来制造邪恶的手段。 只需看看Microsoft Windows和 大量恶意软件,病毒和其他攻击 旨在针对这一个特定的操作系统。

最易受攻击的10 WordPress版本(来源)。 2017的研究在Alexa Top 74百万网站中确定了1不同版本的WordPress; 这些版本的11无效 - 例如版本6.6.6(来源).

为什么你的WordPress博客是一个有价值的目标?

如果您想知道为什么黑客会想要控制您的WordPress博客,有几个原因,包括:

  • 用它偷偷发送垃圾邮件
  • 窃取您的数据,如邮件列表或信用卡信息
  • 将您的站点添加到他们以后可以使用的僵尸网络中

幸运的是,WordPress是一个为您提供多种机会来保护自己的平台。 自己帮助设置和管理多个网站和博客后,我想与您分享一些可以帮助保护WordPress网站的基本功能。

以下是您可以使用的10可操作安全提示。

提示#1。 选择一个好的管理员用户名

根据经验,大多数网站黑客尝试尝试使用三个主要用户名选择登录。 前两个始终是“管理员”或“管理员”,而第三个通常基于您的域名。

例如,如果您的站点是crazymonkey33.com,则黑客可能会尝试使用“crazymonkey33”登录。

不是个好主意。

小费 #2。 确保使用强密码

到目前为止,您可能会认为人们会知道使用强大而复杂的密码来保护他们的帐户,但仍有许多人认为“密码”是一个很好的密码。

强密码将包含以下内容的混合:

  • 上限和下限大写字符
  • 是字母数字(AZ和az)
  • 包括一个特殊字符(!,@,#,$等)
  • 至少8个字符的长度

密码越随机,它就越安全。 如果您遇到问题,请尝试使用此随机密码生成器。 https://passwordsgenerator.net/

提示#3。 实施reCaptcha

从您的WP博客中取出壁挂机器人。

reCaptcha旨在阻止自动化工具在网站上工作。 当然,鉴于当今黑客工具的复杂性,这些可以很容易地被绕过,但至少还有增加的安全层。

一些reCaptcha插件 您可以使用几乎可以开箱即用的安装。

提示#4。 使用双因素身份验证(2FA)

2FA是一种身份验证方法,需要对您的登录进行验证。 例如,一旦您使用您的用户名和密码登录,系统可能会向您的手机发送短信或通过电子邮件向您发送您需要输入的代码以验证您的身份。

这种认证方法提供了良好的保护,并且如今被许多银行和金融机构使用。 同样,这种需求可以很容易地满足 2FA插件.

在下面的视频中了解miniOrange(一个2FA插件)如何与WordPress登录一起使用。

T

提示#5。 重命名您的登录URL

大多数黑客都会尝试通过默认的wordpress登录页面登录,这通常类似于sample.com/wp-admin。

要添加另一层保护,请使用类似工具快速轻松地更改登录页面URL WPS隐藏登录.

提示#6。 保护您的wp-admin目录

为主机目录添加额外的安全层。

wp-admin目录是WordPress安装的核心。 作为额外的安全措施,密码保护此目录。

为此,您需要登录您的主机帐户控制面板。 你是否正在使用 的cPanel or 的Plesk,你正在寻找的选项是'密码保护目录“。

小费 #7。 使用SSL加密数据

HTTP与HTTPS连接(来源: Sucuri)

除了网站本身,您还需要保护您与服务器之间的连接,这就是SSL加密您的通信的地方。 通过加密连接,当您与服务器通信时,黑客将无法拦截数据(例如您的密码)。

除此之外,现在实施SSL也是一种很好的做法,因为搜索引擎越来越惩罚他们认为“非安全”的网站。

在我们的综合信息中了解有关SSL的更 AZ指南SSL.

提示#8。 确保您的所有软件都是最新的

无论软件有多好或多贵,总会有新的弱点可能让它们开放利用。 WordPress也不例外,该团队不断发布带有修复和更新的新版本。

黑客几乎总是试图利用弱点,而一个未经修复的已知漏洞只是在寻找麻烦。 对于通常由资源较少的小公司创建的插件而言,这是两倍。

如果您正在使用插件,请确保定期发布更新,或者考虑查找具有类似功能的更新。

说完这个,我不建议你使用 自动WordPress和插件更新,特别是如果你正在运行一个实时网站。 某些更新可能会导致问题,无论是内部还是与其他插件和设置冲突。

理想情况下,创建一个镜像您的实时站点并在那里测试更新的测试环境。 一旦你确定一切正常,那么你可以将更新应用到实时网站。

Plesk等控制面板为您提供了为此目的创建站点克隆的选项。

提示#9。 利用内容分发网络(CDN)

虽然这可能无法使您的网站免遭黑客攻击,但它确实有助于减少针对它的恶意攻击。 一些黑客的目标是打倒网站,使公众无法访问。 CDN将有助于缓解您网站上的分布式拒绝服务攻击。

除此之外,它还可以通过缓存一些内容来帮助您加快网站速度。 要探索此选项,请以CloudFlare为例。 CloudFlare以多层次的价格提供CDN服务,因此您甚至可以免费使用基本功能。 https://www.cloudflare.com

提示#10。 备份,备份和备份!

无论采取何种安全措施或谨慎,事故都会发生。 只需确保您有足够的备份服务,就可以避免心碎和数百小时的工作。

通常,您的网络主机至少会带有一些基本的备份功能,但如果您像我一样偏执,请始终确保您执行自己的独立备份。 备份不仅仅是复制一些文件,还要考虑数据库中的信息。

寻找经过验证的备份解决方案。 即使是一笔小额投资也值得在紧急情况下挽救眼泪。 就像是 BackupBuddy 可以帮助您一次保存包括数据库在内的所有内容。

额外提示:您的网站托管计数器!

虽然传统上,网络托管公司只是为我们提供了托管我们网站的空间,但时代已经发生了变化。 网络托管服务提供商认识到提高安全性的迫切需求已经加强,许多提供增值服务以补充其网络托管。

举个例子 HostGator的,游戏中比较知名的名字之一。 除了基本的Cloudflare功能,HostGator(价格为$ 10 + / mo)还附带垃圾邮件免费保护,自动删除恶意软件,自动备份,域名隐私等。

托管WordPress托管服务提供商, Kinsta,构建硬件防火墙,并使用其定制系统主动监控其服务器是否存在恶意软件和DDoS攻击。

如果您还没有想到这一点,我强烈建议您查看主机提供的安全功能,并将其与当前可用的功能进行比较。

如需全面的清单,您可以查看 WHSR在这里汇编了网络主机.

怎么办?

在你狂奔之前,开始搜索互联网,恐慌地寻找一百万个安全解决方案 - 深呼吸。 与其他一切一样,有人会帮助你恐慌并寻找解决方案。

即使您实施了尽可能多的安全解决方案,您也是 肯定 你安全了?

这是类似的地方 安全忍者 进来,这可以帮助您探索您的网站的弱点。

快速演示:安全忍者的工作原理。

有几个令人信服的理由使用像Security Ninja这样的东西,但我要说这是一个工具,我建议你在保护你的网站的过程中的多个阶段使用它。

首先,在进行任何更改之前,按原样在您的网站上运行它。 在给出结果之前,让插件戳戳并刺激您的网站。

然后根据这些结果,努力保护您的网站。 安全忍者执行的不仅仅是50测试来探测你的防御。 即使在您进行了更改之后,再次运行它(以及每次有站点更改或插件更新)时只是为了测试您的站点。

如果这对你来说听起来有点太多了,Security Ninja还附带了许多额外的模块(专业版,单个网站$ 29)它可以帮助您解决它发现的问题。

这些模块中的一些其他主要功能包括:

  • 扫描WP核心文件以识别有问题的文件
  • 只需单击一下即可恢复修改的文
  • 修复损坏的WP自动更新
  • 禁止从数百万个受攻击网站收集的600百万个不良IP
  • 列出自动更新,无需任何维护或手动工作
  • 保护登录表单免受暴力攻击

最后的思考

虽然所有这些对于普通的WordPress用户来说似乎有些过分,但我保证所有这些(以及更多)都是必要的。 忽略全球黑客统计数据等等,让我与您分享一些我帮助管理的最不起眼的网站上的个人信息。

最初是作为一个简单的传记网站开始的,我创建了 www.timothyshim.com。 显然,这只是我设置的东西,而且大部分时间都是单独留下的,仅作为参考点。 在每个月的时间里,这个网站当中 基本上什么也不做,也没有收集数据面对30攻击 - 蛮力和复杂攻击的结合。

它所需要的只是让其中一个成功,而我将拥有一个 糟糕的一天。

Timothy Shim的文章

Timothy Shim是一位作家,编辑和技术爱好者。 从信息技术领域开始他的职业生涯,他迅速进入印刷领域,并与国际,地区和国内媒体合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的专长在于消费者和企业的技术领域。

连接: