自二十多年前首次推出以來, WordPress 已經成長(和成長)現在安全地被命名為世界上最受歡迎的 內容管理系統。 今天, 超過四分之一 現有的網站運行於 WordPress.
然而,自遠古以來,越流行的東西越多,人們就越想利用它來製造邪惡的手段。 只需看看Microsoft Windows和 大量惡意軟件,病毒和其他攻擊 旨在針對這一個特定的操作系統。
為什麼你的 WordPress 博客是一個有價值的目標?
如果您想知道為什麼黑客會想要控制您的 Wordpress 博客,有幾個原因,包括;
- 用它偷偷發送垃圾郵件
- 竊取您的數據,如郵件列表或信用卡信息
- 將您的站點添加到他們以後可以使用的殭屍網絡中
幸運的是, WordPress 是一個為您提供大量保護自己機會的平台。
在幫助設置和管理多個網站和博客之後,我想與您分享一些您可以做的更基本的事情來幫助保護您的 WordPress 網站。
以下是您可以使用的10可操作安全提示。
保護你的 WordPress 登錄頁面
保護您的登錄頁面無法通過任何一種特定技術來完成,但您肯定可以採取一些步驟和免費的安全插件來使任何攻擊不太可能成功。
您網站的登錄頁面肯定是您網站上最易受攻擊的頁面之一,所以讓我們開始製作您的 WordPress 站點登錄頁面更安全一點。
1.選擇一個好的管理員用戶名
使用不尋常的用戶名。 以前與 WordPress,您必須從默認的管理員用戶名開始,但現在不再如此。 儘管如此,大多數新的網絡管理員仍使用默認用戶名並且需要更改他們的用戶名。 您可以使用 Admin Renamer擴展 更改您的管理員用戶名。
蠻力登錄頁面是您的網站可能面臨的常見 Web 攻擊形式之一。 如果您有一個容易猜到的密碼或用戶名,那麼您的網站幾乎肯定會不僅僅是目標,而且最終會成為受害者。 根據經驗,大多數網站黑客嘗試嘗試使用三個主要的用戶名選擇登錄。 前兩個始終是“管理員”或“管理員”,而第三個通常基於您的 域名.
例如,如果您的站點是crazymonkey33.com,則黑客可能會嘗試使用“crazymonkey33”登錄。
2。 確保使用強密碼
到目前為止,您可能會認為人們會知道使用強大而復雜的密碼來保護他們的帳戶,但仍有許多人認為“密碼”是一個很好的密碼。
Splash Data 編制了一份清單 2018年常用密碼。 密碼按使用等級排序。
- 123456
- 密碼
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- 陽光
- QWERTY
- ILOVEYOU
如果您使用其中一個密碼並且您的網站收到任何流量,您的網站遲早會被刪除。
強密碼將包含以下內容的混合:
- 上限和下限大寫字符
- 是字母數字(AZ和az)
- 包括一個特殊字符(!,@,#,$等)
- 至少8個字符的長度
您的密碼越隨機,它就越安全。 嘗試使用密碼管理器 如果您在想出一個密碼時遇到問題,可以生成強隨機密碼。
3.實施驗證碼
reCaptcha旨在阻止自動化工具在網站上工作。 當然,鑑於當今黑客工具的複雜性,這些可以很容易地被繞過,但至少還有增加的安全層。
雖然 一些reCaptcha插件 您可以使用幾乎可以開箱即用的安裝。
4.使用兩因素身份驗證(2FA)
2FA是一種身份驗證方法,需要對您的登錄進行驗證。 例如,一旦您使用您的用戶名和密碼登錄,系統可能會向您的手機發送短信或通過電子郵件向您發送您需要輸入的代碼以驗證您的身份。
這種認證方法提供了良好的保護,並且如今被許多銀行和金融機構使用。 同樣,這種需求可以很容易地滿足 2FA插件.
查看 miniOrange(一個 2FA 插件)如何與 WordPress 在以下視頻中登錄。
T5.重命名您的登錄URL
大多數黑客會嘗試通過默認登錄 wordpress 登錄頁面,通常類似於
sample.com/wp-admin.
要添加另一層保護,請使用類似工具快速輕鬆地更改登錄頁面URL WPS隱藏登錄.
6.限制登錄嘗試次數
這是一種非常簡單的技術,可以直接阻止登錄頁面上的暴力攻擊。 通過反复嘗試多種組合來嘗試獲取您的用戶名和密碼,從而實施暴力攻擊。
如果跟踪到實施攻擊的特定 IP,則您可以阻止重複的暴力破解嘗試並確保您的網站安全。 這也是為什麼全球 DDOS 攻擊會發生在具有不同攻擊來源的多個 IP 地址上,以拋出託管服務和 網站安全 措手不及。
登錄鎖定 及 登錄安全解決方案 兩者都提供了很好的解決方案來保護您網站的登錄頁面。 他們跟踪IP地址並限制保護您網站的登錄嘗試次數。
加強站點安全牆
我們討論了保護您的安全的各種策略 WordPress 登錄頁面——上面提到的那些步驟是你可以做的基礎。 您還應該知道,某些 Web 託管服務商強制要求其用戶執行其中一些安全措施。 有許多 其他安全實踐 您可以在您的網站上實施。
7. 保護你的 wp-admin 目錄
wp-admin 目錄是你的核心 WordPress 安裝。 作為額外的保障,密碼保護這個目錄。
為此,您需要登錄到您的託管帳戶控制面板。 無論您使用的是 cPanel 還是 Plesk,您正在尋找的選項是 '密碼保護目錄“。
或者,您可以通過調整您的密碼來保護目錄 .htaccess 和 .htpasswds 文件。 詳細的分步指南和代碼生成器可免費獲得 動態驅動器.
請注意,用密碼保護您的wp-admin文件夾將 打破公共 AJAX 為 WordPress – 您需要通過以下方式允許管理 ajax 的權限 .htaccess 以避免任何網站錯誤。
8。 使用SSL加密數據
除了網站本身,您還需要保護您與服務器之間的連接,這就是SSL加密您的通信的地方。 通過加密連接,當您與服務器通信時,黑客將無法攔截數據(例如您的密碼)。
除此之外,現在實施SSL也是一種很好的做法,因為搜索引擎越來越懲罰他們認為“非安全”的網站。
對於個人博客作者和小型企業,免費的共享SSL –通常可以從託管服務提供商處獲得, Let's Encrypt, 或者 Cloudflare –通常綽綽有餘。 對於處理客戶付款的企業,最好是您 購買專用的SSL證書 來自您的Web主機或證書頒發機構(CA)。
在我們的綜合信息中了解有關SSL的更 AZ指南SSL.
9.利用內容分發網絡(CDN)
雖然這可能不會使您的網站免遭黑客攻擊,但確實有助於減輕針對它的惡意攻擊。 一些黑客旨在關閉網站,使公眾無法訪問它們。 CDN將有助於緩解 分佈式拒絕服務攻擊 攻擊您的網站。
除此之外,它還可以幫助您 加快您的網站 稍微緩存一些內容。 要探索此選項,請查看 Cloudflare 舉個例子。 Cloudflare 以多層定價級別提供CDN服務,因此您甚至可以免費使用基本功能。
進一步了解 如何 Cloudflare 作品和使用該服務的優勢.
10.確保所有軟件都是最新的
無論軟件多麼好或多麼昂貴,它們總會發現新的弱點,這些弱點可能會使它們容易被利用。 WordPress 也不例外,團隊不斷發布帶有修復和更新的新版本。
黑客幾乎總是試圖利用弱點,而一個未經修復的已知漏洞只是在尋找麻煩。 對於通常由資源較少的小公司創建的插件而言,這是兩倍。
如果您使用的是插件,請確保定期發布更新,或考慮查找 具有相似功能的流行插件會不斷更新.
說完這個,我不建議你使用 自動 WordPress 和插件更新,特別是如果你正在運行一個實時網站。 某些更新可能會導致問題,無論是內部還是與其他插件和設置衝突。
理想情況下,創建一個鏡像您的實時站點並在那裡測試更新的測試環境。 一旦你確定一切正常,那麼你可以將更新應用到實時網站。
控制面板(例如Plesk)使您可以選擇 創建一個網站 為此克隆。
11.備份,備份和備份!
無論採取何種安全措施或謹慎,事故都會發生。 只需確保您有足夠的備份服務,就可以避免心碎和數百小時的工作。
通常,您的網絡主機至少會帶有一些基本的備份功能,但如果您像我一樣偏執,請始終確保您執行自己的獨立備份。 備份不僅僅是複制一些文件,還要考慮數據庫中的信息。
尋找經過驗證的備份解決方案。 即使是一筆小額投資也值得在緊急情況下挽救眼淚。 就像是 BackupBuddy 可以幫助您一次保存包括數據庫在內的所有內容。
12.您的虛擬主機很重要!
儘管傳統上,網絡託管公司只是為我們提供託管網站的空間,但時代已經改變。 虛擬主機提供商, 了解漏洞,已通過提供許多增值服務來補充其虛擬主機,從而提高了安全性。
舉個例子 HostGator的,遊戲中較為成熟的名字之一。 除了基本款 Cloudflare 功能,HostGator(價格為 10 美元以上/月)還附帶無垃圾郵件保護、自動惡意軟件刪除、自動備份、域隱私等。
管理 WordPress 託管 提供者, Kinsta,構建硬件防火牆,並使用其定制系統主動監控其服務器是否存在惡意軟件和DDoS攻擊。
如果您還沒有想到這一點,我強烈建議您查看主機提供的安全功能,並將其與當前可用的功能進行比較。
如需全面的清單,您可以查看 WHSR的最佳Web主機彙編在這裡.
怎麼辦?
在你狂奔之前,開始搜索互聯網,恐慌地尋找一百萬個安全解決方案 - 深呼吸。 與其他一切一樣,有人會幫助你恐慌並尋找解決方案。
即使您實施了盡可能多的安全解決方案,您也是 肯定 你安全了?
這是類似的地方 忍者安全 進來,這可以幫助您探索您的網站的弱點。
有幾個令人信服的理由使用像Security Ninja這樣的東西,但我要說這是一個工具,我建議你在保護你的網站的過程中的多個階段使用它。
首先,在進行任何更改之前,按原樣在您的網站上運行它。 在給出結果之前,讓插件戳戳並刺激您的網站。
然後根據這些結果,努力保護您的網站。 安全忍者執行的不僅僅是50測試來探測你的防禦。 即使在您進行了更改後,再次運行它(以及每次有站點更改或插件更新)時只是為了測試您的站點。
如果這對你來說聽起來有點太多了,Security Ninja還附帶了許多額外的模塊(專業版,單個網站$ 29)它可以幫助您解決它發現的問題。
這些模塊中的一些其他主要功能包括:
- 掃描WP核心文件以識別有問題的文件
- 一鍵還原修改的文件
- 修復損壞的WP自動更新
- 禁止從數百萬個受攻擊站點中收集的600億個壞IP
- 列出自動更新,無需任何維護或手動工作
- 保護登錄表單免受暴力攻擊
最後。。。
雖然所有這一切對於一般人來說似乎有點過分 WordPress 用戶,我向你保證,所有這些(以及更多)都是必要的。 暫時忽略全球黑客統計數據和諸如此類的東西,讓我在我幫助管理的最不知名的網站之一上與您分享一些個人信息。
最初是作為一個簡單的傳記網站開始的,我創建了 www.timothyshim.com。 顯然,這只是我設置的東西,而且大部分時間都是單獨留下的,僅作為參考點。 在每個月的時間裡,這個網站當中 基本上什麼也不做,也沒有收集數據面對30攻擊 - 蠻力和復雜攻擊的結合。
它所需要的只是讓其中一個成功,而我將擁有一個 真 糟糕的一天。
