適用於Layman的10可操作WordPress安全提示

文章撰寫者:
  • WordPress
  • 更新:Jun 06,2018

自二十多年前首次推出以來,WordPress已經成長(並且已經成長),現在已經被安全地命名為世界上最受歡迎的內容管理系統。 今天, 超過四分之一 存在的網站是在WordPress上運行的。

然而,自遠古以來,越流行的東西越多,人們就越想利用它來製造邪惡的手段。 只需看看Microsoft Windows和 大量惡意軟件,病毒和其他攻擊 旨在針對這一個特定的操作系統。

最易受攻擊的10 WordPress版本(來源)。 2017的研究在Alexa Top 74百萬網站中確定了1不同版本的WordPress; 這些版本的11無效 - 例如版本6.6.6(來源).

為什麼你的WordPress博客是一個有價值的目標?

如果您想知道為什麼黑客會想要控制您的WordPress博客,有幾個原因,包括:

  • 用它偷偷發送垃圾郵件
  • 竊取您的數據,如郵件列表或信用卡信息
  • 將您的站點添加到他們以後可以使用的殭屍網絡中

幸運的是,WordPress是一個為您提供多種機會來保護自己的平台。 自己幫助設置和管理多個網站和博客後,我想與您分享一些可以幫助保護WordPress網站的基本功能。

以下是您可以使用的10可操作安全提示。

提示#1。 選擇一個好的管理員用戶名

根據經驗,大多數網站黑客嘗試嘗試使用三個主要用戶名選擇登錄。 前兩個始終是“管理員”或“管理員”,而第三個通常基於您的域名。

例如,如果您的站點是crazymonkey33.com,則黑客可能會嘗試使用“crazymonkey33”登錄。

不是個好主意。

小費 #2。 確保使用強密碼

到目前為止,您可能會認為人們會知道使用強大而復雜的密碼來保護他們的帳戶,但仍有許多人認為“密碼”是一個很好的密碼。

強密碼將包含以下內容的混合:

  • 上限和下限大寫字符
  • 是字母數字(AZ和az)
  • 包括一個特殊字符(!,@,#,$等)
  • 至少8個字符的長度

密碼越隨機,它就越安全。 如果您遇到問題,請嘗試使用此隨機密碼生成器。 https://passwordsgenerator.net/

提示#3。 實施reCaptcha

從您的WP博客中取出壁挂機器人。

reCaptcha旨在阻止自動化工具在網站上工作。 當然,鑑於當今黑客工具的複雜性,這些可以很容易地被繞過,但至少還有增加的安全層。

一些reCaptcha插件 您可以使用幾乎可以開箱即用的安裝。

提示#4。 使用雙因素身份驗證(2FA)

2FA是一種身份驗證方法,需要對您的登錄進行驗證。 例如,一旦您使用您的用戶名和密碼登錄,系統可能會向您的手機發送短信或通過電子郵件向您發送您需要輸入的代碼以驗證您的身份。

這種認證方法提供了良好的保護,並且如今被許多銀行和金融機構使用。 同樣,這種需求可以很容易地滿足 2FA插件.

在下面的視頻中了解miniOrange(一個2FA插件)如何與WordPress登錄一起使用。

T

提示#5。 重命名您的登錄URL

大多數黑客都會嘗試通過默認的wordpress登錄頁面登錄,這通常類似於sample.com/wp-admin。

要添加另一層保護,請使用類似工具快速輕鬆地更改登錄頁面URL WPS隱藏登錄.

提示#6。 保護您的wp-admin目錄

為主機目錄添加額外的安全層。

wp-admin目錄是WordPress安裝的核心。 作為額外的安全措施,密碼保護此目錄。

為此,您需要登錄您的主機帳戶控制面板。 你是否正在使用 的cPanel or 的Plesk,你正在尋找的選項是'密碼保護目錄“。

小費 #7。 使用SSL加密數據

HTTP與HTTPS連接(來源: Sucuri)

除了網站本身,您還需要保護您與服務器之間的連接,這就是SSL加密您的通信的地方。 通過加密連接,當您與服務器通信時,黑客將無法攔截數據(例如您的密碼)。

除此之外,現在實施SSL也是一種很好的做法,因為搜索引擎越來越懲罰他們認為“非安全”的網站。

在我們的綜合信息中了解有關SSL的更 AZ指南SSL.

提示#8。 確保您的所有軟件都是最新的

無論軟件有多好或多貴,總會有新的弱點可能讓它們開放利用。 WordPress也不例外,該團隊不斷發布帶有修復和更新的新版本。

黑客幾乎總是試圖利用弱點,而一個未經修復的已知漏洞只是在尋找麻煩。 對於通常由資源較少的小公司創建的插件而言,這是兩倍。

如果您正在使用插件,請確保定期發布更新,或者考慮查找具有類似功能的更新。

說完這個,我不建議你使用 自動WordPress和插件更新,特別是如果你正在運行一個實時網站。 某些更新可能會導致問題,無論是內部還是與其他插件和設置衝突。

理想情況下,創建一個鏡像您的實時站點並在那裡測試更新的測試環境。 一旦你確定一切正常,那麼你可以將更新應用到實時網站。

Plesk等控制面板為您提供了為此目的創建站點克隆的選項。

提示#9。 利用內容分發網絡(CDN)

雖然這可能無法使您的網站免遭黑客攻擊,但它確實有助於減少針對它的惡意攻擊。 一些黑客的目標是打倒網站,使公眾無法訪問。 CDN將有助於緩解您網站上的分佈式拒絕服務攻擊。

除此之外,它還可以通過緩存一些內容來幫助您加快網站速度。 要探索此選項,請以CloudFlare為例。 CloudFlare以多層次的價格提供CDN服務,因此您甚至可以免費使用基本功能。 https://www.cloudflare.com

提示#10。 備份,備份和備份!

無論採取何種安全措施或謹慎,事故都會發生。 只需確保您有足夠的備份服務,就可以避免心碎和數百小時的工作。

通常,您的網絡主機至少會帶有一些基本的備份功能,但如果您像我一樣偏執,請始終確保您執行自己的獨立備份。 備份不僅僅是複制一些文件,還要考慮數據庫中的信息。

尋找經過驗證的備份解決方案。 即使是一筆小額投資也值得在緊急情況下挽救眼淚。 就像是 BackupBuddy 可以幫助您一次保存包括數據庫在內的所有內容。

額外提示:您的網站託管計數器!

雖然傳統上,網絡託管公司只是為我們提供了託管我們網站的空間,但時代已經發生了變化。 網絡託管服務提供商認識到提高安全性的迫切需求已經加強,許多提供增值服務以補充其網絡託管。

舉個例子 HostGator的,遊戲中比較知名的名字之一。 除了基本的Cloudflare功能,HostGator(價格為$ 10 + / mo)還附帶垃圾郵件免費保護,自動刪除惡意軟件,自動備份,域名隱私等。

託管WordPress託管服務提供商, Kinsta,構建硬件防火牆,並使用其定制系統主動監控其服務器是否存在惡意軟件和DDoS攻擊。

如果您還沒有想到這一點,我強烈建議您查看主機提供的安全功能,並將其與當前可用的功能進行比較。

如需全面的清單,您可以查看 WHSR在這裡彙編了Web主機.

怎麼辦?

在你狂奔之前,開始搜索互聯網,恐慌地尋找一百萬個安全解決方案 - 深呼吸。 與其他一切一樣,有人會幫助你恐慌並尋找解決方案。

即使您實施了盡可能多的安全解決方案,您也是 肯定 你安全了?

這是類似的地方 忍者安全 進來,這可以幫助您探索您的網站的弱點。

快速演示:安全忍者的工作原理。

有幾個令人信服的理由使用像Security Ninja這樣的東西,但我要說這是一個工具,我建議你在保護你的網站的過程中的多個階段使用它。

首先,在進行任何更改之前,按原樣在您的網站上運行它。 在給出結果之前,讓插件戳戳並刺激您的網站。

然後根據這些結果,努力保護您的網站。 安全忍者執行的不僅僅是50測試來探測你的防禦。 即使在您進行了更改後,再次運行它(以及每次有站點更改或插件更新)時只是為了測試您的站點。

如果這對你來說聽起來有點太多了,Security Ninja還附帶了許多額外的模塊(專業版,單個網站$ 29)它可以幫助您解決它發現的問題。

這些模塊中的一些其他主要功能包括:

  • 掃描WP核心文件以識別有問題的文件
  • 只需單擊一下即可恢復修改的文
  • 修復損壞的WP自動更新
  • 禁止從數百萬個受攻擊網站收集的600百萬個不良IP
  • 列出自動更新,無需任何維護或手動工作
  • 保護登錄表單免受暴力攻擊

最後的思考

雖然所有這些對於普通的WordPress用戶來說似乎有些過分,但我保證所有這些(以及更多)都是必要的。 忽略全球黑客統計數據等等,讓我與您分享一些我幫助管理的最不起眼的網站上的個人信息。

最初是作為一個簡單的傳記網站開始的,我創建了 www.timothyshim.com。 顯然,這只是我設置的東西,而且大部分時間都是單獨留下的,僅作為參考點。 在每個月的時間裡,這個網站當中 基本上什麼也不做,也沒有收集數據面對30攻擊 - 蠻力和復雜攻擊的結合。

它所需要的只是讓其中一個成功,而我將擁有一個 糟糕的一天。

關於Timothy Shim

Timothy Shim是一位作家,編輯和技術愛好者。 從信息技術領域開始他的職業生涯,他迅速進入印刷領域,並與國際,地區和國內媒體合作,包括ComputerWorld,PC.com,Business Today和The Asian Banker。 他的專長在於消費者和企業的技術領域。