- 💂 个人网站: 海拥 —— 一个乐于分享技术与快乐的博主
- 🤟 版权: 本文由【海拥】原创、在掘金首发、需要转载请联系博主
- 💬 如果文章对你有帮助、欢迎关注、点赞、收藏(一键三连)和订阅专栏哦
- 💅 想寻找共同摸鱼的小伙伴,请点击【摸鱼小游戏】
一起养成写作习惯!这是我参与「掘金日新计划 · 4 月更文挑战」的第 16 天,点击查看活动详情。
谈到 WordPress 网站安全,你可以做很多事情来防止你的网站或博客遭到黑客攻击。由于 WordPress 网站很容易被黑客入侵,因此 CMS 经常成为黑客进行恶意活动的目标。虽然没有万无一失的方法,但你仍然可以让自己熟悉 WordPress 强化方法,因为不使用它们的后果可能是有害的。
简单来说,强化 WordPress 网站可以定义为应用高效且有效的安全措施。虽然必须有一个 WordPress 安全插件来扫描和清理你的网站,但你还需要采取强化措施以使其更加健壮。
强化 WordPress 期间的错误
在深入探讨强化 WP 网站的方法之前,让我们首先讨论一下人们在强化 WordPress 网站时常犯的错误:
1.不备份你的网站
每天,在线威胁的数量都出现了大幅增长。此外,在线黑客使用越来越复杂的方法进行恶意活动。因此,你必须首先制定有效的 WordPress 数据库备份计划。你必须确保使用最好的 WordPress 备份:
- 首先,备份你的数据库以及包含插件、主题、wp-content 文件夹、.htaccess 文件和wp-config.php 文件等的文件。
- 备份的频率将完全取决于你在网站上进行更改的频率。假设你在一周内多次发布内容,那么在这种情况下,你应该进行每日备份而不是每周备份。
- 你还必须确保将备份保存在异地和多个不同位置。
- 最后,养成每天检查备份的习惯,以确保它们正常运行。
2.不应用更新
要确保的重要事项之一是保持你的网站更新。为了确保 WordPress 用户获得对新功能和高级功能的访问控制,最重要的是修复任何可能的 WordPress 安全问题,WordPress 背后的团队会定期推出更新。
次要更新往往包含安全修复和补丁,它们不会自动执行。另一方面,主要的 WordPress 核心会通过 WordPress 自动更新自动更新。此外,它们还在安全更新中提供了新的高级功能。
3 . 使用弱密码
如果你经常为所有在线帐户使用相同的用户名和密码,或者使用一些不容易猜到的东西,例如国家名称或你的出生日期,那么你的密码太弱了。你应该及时更改 WordPress 用户名,以防止黑客的恶意活动。
使用简单的密码,你可以让黑客更轻松。在确定电子邮件、管理区域和主机控制面板的密码之前,请确保你三思而后行。最重要的是养成每六个月更改一次密码并混合使用大小写以及数字和符号的习惯。
4. 让你的登录区域不受保护
如果你使用 WordPress 很长一段时间,那么你知道如何访问管理和登录页面。唉,正如你熟悉这些重要信息一样,黑客也是如此。因此,你需要强化你的 WordPress 登录区域。
幸运的是,这比从原木上掉下来更容易,而且这也有助于阻止黑客。按照下面提到的调整来限制对登录区域和登录凭据的访问:
确保在“用户”部分更改显示名称。显示名称往往与每个发布的帖子一起使用。这也意味着黑客只需猜测你的密码即可轻松访问。 尝试并限制你的登录尝试,它将帮助你避免 WordPress 暴力攻击。如果你遇到任何问题,可以联系 WordPress 专家。 借助双重身份验证插件,你可以选择使用 WordPress 双重身份验证。
5. 不使用安全的 Web 主机
如今,WordPress 托管从廉价的共享托管到更昂贵、更高效的托管 WordPress 托管和专用 Web 服务器。也就是说,并非所有托管服务提供商都是平等的。其中一些比其他更安全,这一特定元素反映在他们的定价计划中。
6. 使用编码不佳的主题和插件
在插件主题中使用编码不佳的命令行会显着增加网站被黑客入侵的几率。同样的事情也适用于在第三方网站上下载免费的流行高级主题。此类主题往往会减慢你的网站速度,有时它们与你的 WordPress 版本和插件不兼容。更糟糕的是,有时它们还可能包含恶意 PHP 代码。
始终建议使用信誉良好或官方网站的主题和插件。如果免费主题附带高级版本,请确保仅从开发人员的网站下载。既然你已经精通这些错误,让我们讨论一些在为时已晚之前强化你的 WordPress 网站的最佳可行方法。
提示:在继续进行任何更改之前,请确保备份你的网站,以防出现任何问题。
加强 WordPress 网站安全性的最佳方法
有多种方法可以强化 WordPress 网站。方法清单很长。在这里,我们试图涵盖保护 WordPress 免受黑客攻击所需的最重要步骤:
1.实施两因素身份验证
根据 WordPress 专家的说法,黑客使用登录页面来入侵网站。在蛮力攻击(也称为蛮力破解)的帮助下,黑客使用机器人来猜测你网站的重要凭据。如果你网站的重要数据从另一个网站泄露,那么这些黑客也可以轻松访问你的网站。我们都知道黑客很聪明,所以他们深知人们习惯于为多个帐户保留相同的用户名和密码。这就是使黑客更容易完成任务的原因,即破解你的 WordPress 网站。
最好的方法是为每个用户添加两个因素身份验证,无论他们是管理员、订阅者、编辑者、超级管理员还是作者。大多数网站为其用户提供两步验证以登录其帐户。为此,用户必须:
- 提供他们的登录详细信息。
- 输入密码(实时生成)。
这将有助于强化你的帐户,黑客将很难访问你的 WordPress 仪表板。你也可以在你的网站上应用相同的技术来保护它免受黑客攻击。你可以使用相同的应用程序 - Google Authenticator。这个特定的应用程序负责每 30 秒生成一个密码。也可以使用只有你知道的密码。
2.限制登录尝试
你可能已经注意到,你的银行只提供了 3 次尝试来确保你的用户名和密码正确无误。随后,你可以选择“忘记密码”。当你尝试使用错误的凭据登录时,你将收到以下消息:
3. 在不受信任的文件夹中阻止 PHP 执行
这有点技术性,但我们会尽可能简化。首先,你必须知道 PHP(超文本预处理器)是一种众所周知的通用脚本语言,它用于 Web 开发。
你的 WP 网站也由文件和文件夹组成,但并非所有文件和文件夹都使用 PHP 函数。如果黑客能够以某种方式访问你的网站,他将创建自己的文件夹并将他的 PHP 函数插入到你现有的文件夹中。阻止从未知文件夹执行 PHP 函数是防止此类黑客攻击的有效方法之一。
4.禁用文件编辑器
一旦黑客成功访问了 WordPress 管理员帐户,他就会接管你的网站。一旦他访问了你的仪表板,他将使用编辑器选项更改你的主题和插件的编码。此外,他还可以选择添加自己的脚本。这样,他将能够:
- 展示自己的内容
- 向你的用户发送垃圾邮件
- 破坏你的网站
SEO 垃圾邮件黑客和 SQL 注入是通过这些编辑器执行的一些常见黑客攻击。要找到编辑器,你需要转到 Appearance > Editor,和 Plugins > Plugin Editor 。
转到 wp-config 文件以禁用编辑器。此处可以使用与我们通过文件管理器或 FTP 访问网站文件的方法相同的方法。
对于下一部分,如果你对编码主题和插件的技术知识很差,那么它肯定会派上用场,但如果你不这样做,那么最好不要继续这样做。如果你想进一步使用手动方法,以下是你需要执行的详细步骤。
在文件管理器中找到你的 wp-config 文件,然后右键单击以选择“编辑”选项。
在这里,你将看到有关它的其他信息,你可以“禁用编码检查”。然后继续“编辑”。
在这个阶段,你的 wp-config 文件已打开,你需要向下滚动并找到该行
/*That's all, stop editing! Happy publishing. */
你需要在此上方粘贴以下代码
define( 'DISALLOW_FILE_EDIT', true );
现在保存你所做的更改并关闭编辑器。
回到仪表板,在这里你会看到你不再有编辑器的选项。
5. 更改 WordPress 安全密钥
WordPress 倾向于存储你的所有凭据,这样你就不必在每次登录时都输入它们。最好的部分是你的所有凭据都以加密形式存储。相反,如果数据以纯文本形式存储,黑客将更容易对其进行解读。另一方面,如果数据被加密,它看起来就像是随机文本,他将无法使用它。
WordPress 使用安全密钥和盐对数据进行加密。简单来说,密钥可以定义为对用户名和密码进行编码的随机变量。盐只是更进一步并改进了加密。
建议你定期更改旧密钥。要获得一组新密钥,你可以使用链接 - 密钥。你将拥有如下所示的页面:
6. 禁止插件安装
用户或客户端可能会在不知道其兼容性和可靠性的情况下无缘无故地安装插件。此操作可能会导致你的网站出现许多问题。如果你选择禁用插件和主题更新,你将能够保护自己免受这种情况的影响。
7.使用安全插件
你可以借助插件轻松启用和禁用此功能。这是必要的,尤其是当你不希望你的客户不合理地安装插件时。
8.自动注销非活动用户
你会发现此功能尤其适用于银行官方网站,他们会在特定时间段不活动后将你注销。这样,你的帐户将不会受到未经授权的访问。此外,如果非活动用户已登录但未在网站上执行任何任务,则会自动注销。
你可以使用名为 Bulletproof Security 的插件来做到这一点。该插件具有许多功能,其中之一是空闲会话注销。
9. 禁用 XML-RPC
最近,XML-RPC 已成为暴力攻击的主要目标之一。根据这种基于 XML 的协议的方法之一,system.multicall 方法可用于在单个请求中执行多个方法。这将很有帮助,因为你可以轻松地在一个 HTTP 请求中传递许多命令。
是的,有几个插件(例如 Jetpack)依赖于 XML-RPC,但是,大多数人不需要这样做,并且禁用对它的访问可能是有益的。
你可以通过 XML-RPC Validator 运行你的网站,以确定是否启用了 XML-RPC。如果不是,那么你将在屏幕上收到以下消息:
你还可以安装 Disable XML-RPC 插件以完全禁用它。
10.检查文件和服务器权限
不应忽视安装和 Web 服务器上的文件权限。确保你锁定了你的权限,否则黑客将更容易访问你的网站并执行恶意活动。另一方面,你必须确保它们不太严厉,否则可能会破坏你的 WP 网站的功能。因此,请确保你设置了正确的权限。
文件权限:
- 如果用户享有读取文件的权限,则分配读取权限。
- 如果用户享有对文件的写入或更改权限,则分配写入权限。
- 如果用户享有将其作为脚本运行或执行的权利,则分配执行权限。
目录权限:
- 如果用户享有访问所标识文件夹内容的权限,则分配读取权限。
- 如果拥有对所标识文件夹中文件的读取和删除权限,则分配写入权限。
- 如果用户享有访问实际文件夹的权限并且可以执行功能和命令,则分配执行权限。
11. 使用 SSL 确保数据安全
当你启用 SSL(Secure Sockets Layer)安全性时,你在确保网站安全方面迈出了一大步。SSL 对发送到和从你的网站发送的所有信息负责。这样,访问者共享的数据将保持安全。
使用 SSL 的最大好处是它可以确保黑客无法看到和拦截你的用户共享的数据。安全套接字层倾向于创建一个安全的隧道,它在保护信用卡详细信息、用户名和密码等关键信息方面发挥着重要作用。
SSL 认证网站的 URL 将以 HTTPS 开头,另一方面,未经 SSL 认证的网站将以 HTTP 开头。
总结
无论你的网站大小如何,你都必须采用有效的方法来加强 WordPress 网站的安全性。你的网站是虚拟世界的一部分,虚拟世界中充斥着来自我们现实世界的不良元素。
坏机器人和黑客一直在寻找易受攻击的猎物,一旦他们得到一个,他们就会利用它。安全是一个不断变化的环境,漏洞随着时间的推移而演变。黑客利用 WordPress 网站中的 WordPress Pharma Hack、WordPress XSS Attack、Japanese Keyword Hack 等 WordPress 漏洞利用。这就是为什么有必要遵循一些有效的方法来加强 WordPress 安全性。
但是你不必担心生病,请按照上面讨论的网站加固措施来保护你的网站免受黑客攻击。
