Layman的WordPress安全提示:保護您的WordPress登錄名和其他安全做法

文章撰寫者:Timothy Shim
  • WordPress
  • 更新:Sep 02,2020

自二十多年前首次推出以來,WordPress已經成長(並且已經成長),現在已經被安全地命名為世界上最受歡迎的內容管理系統。 今天, 超過四分之一 存在的網站是在WordPress上運行的。

然而,自遠古以來,越流行的東西越多,人們就越想利用它來製造邪惡的手段。 只需看看Microsoft Windows和 大量惡意軟件,病毒和其他攻擊 旨在針對這一個特定的操作系統。

最易受攻擊的10 WordPress版本(來源)。 2017的研究在Alexa Top 74百萬網站中確定了1不同版本的WordPress; 這些版本的11無效 - 例如版本6.6.6(來源).

為什麼你的WordPress博客是一個有價值的目標?

如果您想知道為什麼黑客會想要控制您的WordPress博客,有幾個原因,包括:

  • 用它偷偷發送垃圾郵件
  • 竊取您的數據,如郵件列表或信用卡信息
  • 將您的站點添加到他們以後可以使用的殭屍網絡中

幸運的是,WordPress是一個為您提供多種機會來保護自己的平台。 自己幫助設置和管理多個網站和博客後,我想與您分享一些可以幫助保護WordPress網站的基本功能。

以下是您可以使用的10可操作安全提示。

保護您的WordPress登錄頁面

保護您的登錄頁面不能通過任何特定的技術來完成,但肯定有步驟和 免費安全插件 你可以採取任何攻擊成功的可能性更小。

您網站的登錄頁面肯定是您網站上最易受攻擊的網頁之一,因此讓我們開始讓您的WordPress網站登錄頁面更加安全。

1.選擇一個好的管理員用戶名

使用不尋常的用戶名。 以前使用WordPress,您必須以默認的管理員用戶名開始,但現在不再是這樣。 儘管如此,大多數新的Web管理員仍使用默認用戶名,並且需要更改其用戶名。 您可以使用 Admin Renamer擴展 更改您的管理員用戶名。

強制登錄頁面是您的網站可能會面臨的常見Web攻擊形式之一。 如果您有容易猜到的密碼或用戶名,那麼您的網站幾乎肯定不僅會成為目標,而且最終會成為受害者。 根據經驗,大多數站點黑客嘗試嘗試使用三種主要的用戶名登錄。 前兩個始終為“ admin”或“ administrator”,而第三個通常基於您的域名。

例如,如果您的站點是crazymonkey33.com,則黑客可能會嘗試使用“crazymonkey33”登錄。

不是個好主意。

2。 確保使用強密碼

到目前為止,您可能會認為人們會知道使用強大而復雜的密碼來保護他們的帳戶,但仍有許多人認為“密碼”是一個很好的密碼。

啟動數據 編制清單 2018年常用密碼。 密碼按使用等級排序。

  1. 123456
  2. 密碼
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. 陽光
  9. QWERTY
  10. ILOVEYOU

如果您使用其中一個密碼並且您的網站收到任何流量,您的網站遲早會被刪除。

強密碼將包含以下內容的混合:

  • 上限和下限大寫字符
  • 是字母數字(AZ和az)
  • 包括一個特殊字符(!,@,#,$等)
  • 至少8個字符的長度

密碼越隨機,它就越安全。 如果您遇到問題,請嘗試使用此隨機密碼生成器。 https://passwordsgenerator.net/

3.實施驗證碼

從您的WP博客中取出壁挂機器人。

reCaptcha旨在阻止自動化工具在網站上工作。 當然,鑑於當今黑客工具的複雜性,這些可以很容易地被繞過,但至少還有增加的安全層。

一些reCaptcha插件 您可以使用幾乎可以開箱即用的安裝。

4.使用兩因素身份驗證(2FA)

2FA是一種身份驗證方法,需要對您的登錄進行驗證。 例如,一旦您使用您的用戶名和密碼登錄,系統可能會向您的手機發送短信或通過電子郵件向您發送您需要輸入的代碼以驗證您的身份。

這種認證方法提供了良好的保護,並且如今被許多銀行和金融機構使用。 同樣,這種需求可以很容易地滿足 2FA插件.

在下面的視頻中了解miniOrange(一個2FA插件)如何與WordPress登錄一起使用。

T

5.重命名您的登錄URL

大多數黑客會嘗試通過默認的wordpress登錄頁面登錄,通常是這樣的

sample.com/wp-admin。

要添加另一層保護,請使用類似工具快速輕鬆地更改登錄頁面URL WPS隱藏登錄.

6.限制登錄嘗試次數

這是一種非常簡單的技術,可以直接阻止登錄頁面上的暴力攻擊。 通過反复嘗試多種組合來嘗試獲取您的用戶名和密碼,從而實施暴力攻擊。

如果跟踪進行攻擊的特定IP,則可以阻止重複的暴力強制嘗試並保持站點安全。 這也是為什麼全球DDOS攻擊發生在具有不同攻擊來源的多個IP地址,以使託管服務和網站安全措施措手不及的原因。

登錄鎖定 亦於 登錄安全解決方案 兩者都提供了很好的解決方案來保護您網站的登錄頁面。 他們跟踪IP地址並限制保護您網站的登錄嘗試次數。

加強站點安全牆

我們已經討論了保護WordPress登錄頁面的各種策略–上面提到的那些步驟是您可以做的基本操作。 您還應該知道,某些Web主機對其用戶強制執行某些安全措施。 您還可以在網站上實施許多其他安全措施。

7. 保護您的wp-admin目錄

為主機目錄添加額外的安全層。

wp-admin目錄是WordPress安裝的核心。 作為額外的安全措施,密碼保護此目錄。

為此,您需要登錄您的主機帳戶控制面板。 你是否正在使用 的cPanel or 的Plesk,你正在尋找的選項是'密碼保護目錄“。

或者,您可以通過調整.htaccess和.htpasswds文件來對目錄進行密碼保護。 可以從以下位置免費獲得詳細的分步指南和代碼生成器: 動態驅動器.

請注意,用密碼保護您的wp-admin文件夾將 打破WordPress的公共AJAX –您將需要允許通過.htaccess來管理ajax的權限,以避免任何站點錯誤。

8。 使用SSL加密數據

HTTP與HTTPS連接(來源: Sucuri)

除了網站本身,您還需要保護您與服務器之間的連接,這就是SSL加密您的通信的地方。 通過加密連接,當您與服務器通信時,黑客將無法攔截數據(例如您的密碼)。

除此之外,現在實施SSL也是一種很好的做法,因為搜索引擎越來越懲罰他們認為“非安全”的網站。

對於個人博客作者和小型企業,免費的共享SSL –通常可以從託管服務提供商處獲得, Let's Encrypt, 或者叫 的CloudFlare –通常綽綽有餘。 對於處理客戶付款的企業,最好是您 購買專用的SSL證書 來自您的Web主機或證書頒發機構(CA)。

在我們的綜合信息中了解有關SSL的更 AZ指南SSL.

9.利用內容分發網絡(CDN)

雖然這可能不會使您的網站免遭黑客攻擊,但確實有助於減輕針對它的惡意攻擊。 一些黑客旨在關閉網站,使公眾無法訪問它們。 CDN將有助於緩解 分佈式拒絕服務攻擊 攻擊您的網站。

除此之外,它還可以通過緩存某些內容來幫助您加快網站速度。 要探索此選項,請以Cloudflare為例。 的CloudFlare 以多層定價級別提供CDN服務,因此您甚至可以免費使用基本功能。

進一步了解 Cloudflare的工作方式以及使用服務的優勢.

10.確保所有軟件都是最新的

無論軟件有多好或多貴,總會有新的弱點可能讓它們開放利用。 WordPress也不例外,該團隊不斷發布帶有修復和更新的新版本。

黑客幾乎總是試圖利用弱點,而一個未經修復的已知漏洞只是在尋找麻煩。 對於通常由資源較少的小公司創建的插件而言,這是兩倍。

如果您使用的是插件,請確保定期發布更新,或考慮查找 具有相似功能的流行插件會不斷更新.

說完這個,我不建議你使用 自動WordPress和插件更新,特別是如果你正在運行一個實時網站。 某些更新可能會導致問題,無論是內部還是與其他插件和設置衝突。

理想情況下,創建一個鏡像您的實時站點並在那裡測試更新的測試環境。 一旦你確定一切正常,那麼你可以將更新應用到實時網站。

Plesk等控制面板為您提供了為此目的創建站點克隆的選項。

11.備份,備份和備份!

無論採取何種安全措施或謹慎,事故都會發生。 只需確保您有足夠的備份服務,就可以避免心碎和數百小時的工作。

通常,您的網絡主機至少會帶有一些基本的備份功能,但如果您像我一樣偏執,請始終確保您執行自己的獨立備份。 備份不僅僅是複制一些文件,還要考慮數據庫中的信息。

尋找經過驗證的備份解決方案。 即使是一筆小額投資也值得在緊急情況下挽救眼淚。 就像是 BackupBuddy 可以幫助您一次保存包括數據庫在內的所有內容。

12.您的虛擬主機很重要!

儘管傳統上,網絡託管公司只是為我們提供託管網站的空間,但時代已經改變。 虛擬主機提供商, 了解漏洞,已通過提供許多增值服務來補充其虛擬主機,從而提高了安全性。

舉個例子 HostGator的,遊戲中比較知名的名字之一。 除了基本的Cloudflare功能,HostGator(價格為$ 10 + / mo)還附帶垃圾郵件免費保護,自動刪除惡意軟件,自動備份,域名隱私等。

託管WordPress託管服務提供商, Kinsta,構建硬件防火牆,並使用其定制系統主動監控其服務器是否存在惡意軟件和DDoS攻擊。

如果您還沒有想到這一點,我強烈建議您查看主機提供的安全功能,並將其與當前可用的功能進行比較。

如需全面的清單,您可以查看 WHSR的最佳Web主機彙編在這裡.

怎麼辦?

在你狂奔之前,開始搜索互聯網,恐慌地尋找一百萬個安全解決方案 - 深呼吸。 與其他一切一樣,有人會幫助你恐慌並尋找解決方案。

即使您實施了盡可能多的安全解決方案,您也是 肯定 你安全了?

這是類似的地方 忍者安全 進來,這可以幫助您探索您的網站的弱點。

快速演示:安全忍者的工作原理。

有幾個令人信服的理由使用像Security Ninja這樣的東西,但我要說這是一個工具,我建議你在保護你的網站的過程中的多個階段使用它。

首先,在進行任何更改之前,按原樣在您的網站上運行它。 在給出結果之前,讓插件戳戳並刺激您的網站。

然後根據這些結果,努力保護您的網站。 安全忍者執行的不僅僅是50測試來探測你的防禦。 即使在您進行了更改後,再次運行它(以及每次有站點更改或插件更新)時只是為了測試您的站點。

如果這對你來說聽起來有點太多了,Security Ninja還附帶了許多額外的模塊(專業版,單個網站$ 29)它可以幫助您解決它發現的問題。

這些模塊中的一些其他主要功能包括:

  • 掃描WP核心文件以識別有問題的文件
  • 只需單擊一下即可恢復修改的文
  • 修復損壞的WP自動更新
  • 禁止從數百萬個受攻擊網站收集的600百萬個不良IP
  • 列出自動更新,無需任何維護或手動工作
  • 保護登錄表單免受暴力攻擊

最後。。。

雖然所有這些對於普通的WordPress用戶來說似乎有些過分,但我保證所有這些(以及更多)都是必要的。 忽略全球黑客統計數據等等,讓我與您分享一些我幫助管理的最不起眼的網站上的個人信息。

最初是作為一個簡單的傳記網站開始的,我創建了 www.timothyshim.com。 顯然,這只是我設置的東西,而且大部分時間都是單獨留下的,僅作為參考點。 在每個月的時間裡,這個網站當中 基本上什麼也不做,也沒有收集數據面對30攻擊 - 蠻力和復雜攻擊的結合。

它所需要的只是讓其中一個成功,而我將擁有一個 糟糕的一天。

關於Timothy Shim

Timothy Shim是一位作家,編輯和技術愛好者。 從信息技術領域開始他的職業生涯,他迅速進入印刷領域,並與國際,地區和國內媒體合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的專長在於消費者和企業的技術領域。