自二十多年前首次推出以来, WordPress 已经成长(和成长)现在安全地被命名为世界上最受欢迎的 内容管理系统。 今天, 超过四分之一 现有的网站运行于 WordPress.
然而,自远古以来,越流行的东西越多,人们就越想利用它来制造邪恶的手段。 只需看看Microsoft Windows和 大量恶意软件,病毒和其他攻击 旨在仅针对这个特定的 opera廷系统。
为什么你的 WordPress 博客是一个有价值的目标?
如果您想知道为什么黑客会想要控制您的 Wordpress 博客,有几个原因,包括;
- 用它偷偷发送垃圾邮件
- 窃取您的数据,如邮件列表或信用卡信息
- 将您的站点添加到他们以后可以使用的僵尸网络中
幸好, WordPress 是一个为您提供大量保护自己机会的平台。
在帮助设置和管理多个网站和博客之后,我想与您分享一些您可以做的更基本的事情来帮助保护您的 WordPress 网站。
以下是您可以使用的10可操作安全提示。
保护你的 WordPress 登录页面
保护您的登录页面无法通过任何一种特定技术来完成,但您肯定可以采取一些步骤和免费的安全插件来使任何攻击不太可能成功。
您网站的登录页面肯定是您网站上最易受攻击的页面之一,所以让我们开始制作您的 WordPress 站点登录页面更安全一点。
1.选择一个好的管理员用户名
使用不寻常的用户名。 Prev认真地与 WordPress,您必须从默认的管理员用户名开始,但现在不再如此。 尽管如此,大多数新的网络管理员仍使用默认用户名并且需要更改他们的用户名。 您可以使用 Admin Renamer扩展 更改您的管理员用户名。
暴力破解登录页面是您的网站可能面临的常见 Web 攻击形式之一。 如果您有一个容易猜到的密码或用户名,那么您的网站几乎肯定会不仅仅是目标,而且最终会成为受害者。 根据经验,大多数网站黑客尝试尝试使用三个主要的用户名选择登录。 前两个始终是“管理员”或“管理员”,而第三个通常基于您的 域名.
例如,如果您的站点是crazymonkey33.com,则黑客可能会尝试使用“crazymonkey33”登录。
2。 确保使用强密码
到目前为止,您可能会认为人们会知道使用强大而复杂的密码来保护他们的帐户,但仍有许多人认为“密码”是一个很好的密码。
Splash Data 编制了一份清单 2018年常用密码。 密码按使用等级排序。
- 123456
- 密码
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- 阳光
- QWERTY
- 我爱你
如果您使用其中一个密码并且您的网站收到任何流量,您的网站迟早会被删除。
强密码将包含以下内容的混合:
- 上限和下限大写字符
- 是字母数字(AZ和az)
- 包括一个特殊字符(!,@,#,$等)
- 至少8个字符的长度
您的密码越随机,它就越安全。 尝试使用密码管理器 如果您在想出一个密码时遇到问题,可以生成强随机密码。
3.实施验证码
reCaptcha旨在阻止自动化工具在网站上工作。 当然,鉴于当今黑客工具的复杂性,这些可以很容易地被绕过,但至少还有增加的安全层。
这里有 一些reCaptcha插件 您可以使用几乎可以开箱即用的安装。
4.使用两因素身份验证(2FA)
2FA是一种身份验证方法,需要对您的登录进行验证。 例如,一旦您使用您的用户名和密码登录,系统可能会向您的手机发送短信或通过电子邮件向您发送您需要输入的代码以验证您的身份。
这种认证方法提供了良好的保护,并且如今被许多银行和金融机构使用。 同样,这种需求可以很容易地满足 2FA插件.
查看 miniOrange(一个 2FA 插件)如何与 WordPress 在以下视频中登录。
T5.重命名您的登录URL
大多数黑客会尝试通过默认登录 wordpress 登录页面,通常类似于
sample.com/wp-admin.
要添加另一层保护,请快速轻松地更改登录页面 URLssl你用像这样的工具 WPS隐藏登录.
6.限制登录尝试次数
这是一种非常简单的技术,可以直接阻止登录页面上的暴力攻击。 通过反复尝试多种组合来尝试获取您的用户名和密码,从而实施暴力攻击。
如果跟踪到实施攻击的特定 IP,则您可以阻止重复的暴力破解尝试并确保您的网站安全。 这也是为什么全球 DDOS 攻击会发生在具有不同攻击来源的多个 IP 地址上,以抛出托管服务和 网站安全 措手不及。
登录锁定 和 登录安全解决方案 两者都提供了很好的解决方案来保护您网站的登录页面。 他们跟踪IP地址并限制保护您网站的登录尝试次数。
加强站点安全墙
我们讨论了保护您的安全的各种策略 WordPress 登录页面——上面提到的那些步骤是你可以做的基础。 您还应该知道,某些 Web 托管服务商强制要求其用户执行其中一些安全措施。 有许多 其他安全实践 您可以在您的网站上实施。
7. 保护你的 wp-admin 目录
wp-admin 目录是你的核心 WordPress 安装。 作为额外的保障,密码保护这个目录。
为此,您需要登录到您的托管帐户控制面板。 无论您使用的是 cPanel 还是 Plesk,您正在寻找的选项是 '密码保护目录“。
或者,您可以通过调整您的密码来保护目录 .htaccess 和 .htpasswds 文件。 详细的分步指南和代码生成器可免费获得 动态驱动器.
请注意,用密码保护您的wp-admin文件夹将 打破公共 AJAX 为 WordPress – 您需要通过以下方式允许管理 ajax 的权限 .htaccess 以避免任何网站错误。
8。 使用 SSL 加密数据
除了站点本身,您还需要保护您与服务器之间的连接,这就是 SSL 进来加密你的通讯。 通过加密连接,黑客将无法在您与服务器通信时拦截数据(例如您的密码)。
除此之外,实施也是一种很好的做法 SSL 现在,由于搜索引擎越来越多地惩罚他们认为“不安全”的网站。
对于个人博主和小型企业,一个免费的、共享的 SSL – 您通常可以从您的托管服务提供商处获得, Let's Encrypt或 Cloudflare –通常绰绰有余。 对于处理客户付款的企业,最好是您 买一个专用的 SSL 证书 来自您的Web主机或证书颁发机构(CA)。
进一步了解 SSL 在我们全面的 AZ指南 SSL.
9.利用内容分发网络(CDN)
虽然这可能不会使您的网站免遭黑客攻击,但确实有助于减轻针对它的恶意攻击。 一些黑客旨在关闭网站,使公众无法访问它们。 CDN将有助于缓解 分布式拒绝服务攻击 攻击您的网站。
除此之外,它还可以帮助您 加快您的网站 稍微缓存一些内容。 要探索此选项,请查看 Cloudflare 举个例子。 Cloudflare 以多层定价级别提供CDN服务,因此您甚至可以免费使用基本功能。
进一步了解 形成一种 Cloudflare 作品和使用该服务的优势.
10.确保所有软件都是最新的
无论软件多么好或多么昂贵,它们总会发现新的弱点,这些弱点可能会使它们容易被利用。 WordPress 也不例外,团队不断发布带有修复和更新的新版本。
黑客几乎总是试图利用弱点,而一个未经修复的已知漏洞只是在寻找麻烦。 对于通常由资源较少的小公司创建的插件而言,这是两倍。
如果您使用的是插件,请确保定期发布更新,或考虑查找 具有相似功能的流行插件会不断更新.
说完这个,我不建议你使用 自动 WordPress 和插件更新,特别是如果你正在运行一个实时网站。 某些更新可能会导致问题,无论是内部还是与其他插件和设置冲突。
理想情况下,创建一个镜像您的实时站点并在那里测试更新的测试环境。 一旦你确定一切正常,那么你可以将更新应用到实时网站。
控制面板(例如Plesk)使您可以选择 创建一个网站 为此克隆。
11.备份,备份和备份!
无论采取何种安全措施或谨慎,事故都会发生。 只需确保您有足够的备份服务,就可以避免心碎和数百小时的工作。
通常,您的网络主机至少会带有一些基本的备份功能,但如果您像我一样偏执,请始终确保您执行自己的独立备份。 备份不仅仅是复制一些文件,还要考虑数据库中的信息。
寻找经过验证的备份解决方案。 即使是一笔小额投资也值得在紧急情况下挽救眼泪。 就像是 BackupBuddy 可以帮助您一次保存包括数据库在内的所有内容。
12.您的虚拟主机很重要!
尽管传统上,网络托管公司只是为我们提供托管网站的空间,但时代已经改变。 虚拟主机提供商, 了解漏洞,已通过提供许多增值服务来补充其虚拟主机,从而提高了安全性。
举个例子 HostGator,游戏中较为成熟的名字之一。 除了基本款 Cloudflare 特征, HostGator (价格为 10 美元以上/月)还附带无垃圾邮件保护、自动恶意软件删除、自动备份、域隐私等。
托管 WordPress 托管 供应商, Kinsta,构建硬件防火墙,并使用其定制系统主动监控其服务器是否存在恶意软件和DDoS攻击。
如果您还没有想到这一点,我强烈建议您查看主机提供的安全功能,并将其与当前可用的功能进行比较。
如需全面的清单,您可以查看 WHSR的最佳Web主机汇编在这里.
怎么办?
在你狂奔之前,开始搜索互联网,恐慌地寻找一百万个安全解决方案 - 深呼吸。 与其他一切一样,有人会帮助你恐慌并寻找解决方案。
即使您实施了尽可能多的安全解决方案,您也是 肯定 你安全了?
这是类似的地方 安全忍者 进来,这可以帮助您探索您的网站的弱点。
有几个令人信服的理由使用像Security Ninja这样的东西,但我要说这是一个工具,我建议你在保护你的网站的过程中的多个阶段使用它。
首先,在进行任何更改之前,按原样在您的网站上运行它。 在给出结果之前,让插件戳戳并刺激您的网站。
然后根据这些结果,努力保护您的网站。 安全忍者执行的不仅仅是50测试来探测你的防御。 即使在您进行了更改之后,再次运行它(以及每次有站点更改或插件更新)时只是为了测试您的站点。
如果这对你来说听起来有点太多了,Security Ninja还附带了许多额外的模块(专业版,单个网站$ 29)它可以帮助您解决它发现的问题。
这些模块中的一些其他主要功能包括:
- 扫描WP核心文件以识别有问题的文件
- 一键还原修改的文件
- 修复损坏的WP自动更新
- 禁止从数百万个受攻击站点中收集的600亿个坏IP
- 列出自动更新,无需任何维护或手动工作
- 保护登录表单免受暴力攻击
最后的思考
虽然所有这一切对于一般人来说似乎有点过分 WordPress 用户,我向你保证,所有这些(以及更多)都是必要的。 暂时忽略全球黑客统计数据和诸如此类的东西,让我在我帮助管理的最不知名的网站之一上与您分享一些个人信息。
最初是作为一个简单的传记网站开始的,我创建了 www.timothyshim.com。 显然,这只是我设置的东西,而且大部分时间都是单独留下的,仅作为参考点。 在每个月的时间里,这个网站当中 基本上什么也不做,也没有收集数据面对30攻击 - 蛮力和复杂攻击的结合。
它所需要的只是让其中一个成功,而我将拥有一个 真 糟糕的一天。
