WordPress 安全性:如何保护您的网站免受黑客攻击

已发表: 2021-10-15

无论您是创建商业网站、在线商店还是爱好博客,WordPress 都提供了灵活性、易用性和高级功能,这将有助于取得巨大的成功。

但在您准备好上线之前,请花几分钟时间考虑一下安全性。 尽可能保护您的网站,使其免受黑客攻击,并始终为粉丝和客户服务。

为什么 WordPress 安全性很重要?

您的网站告诉您的访问者您是谁,您提供什么样的内容和服务,以及他们可以从您的品牌中得到什么。 这是一个给人留下良好第一印象并与现有粉丝建立信任和忠诚度的地方。

这就是为什么确保您的网站始终正常运行如此重要的原因。 如果它突然包含指向恶意软件的链接,在被黑客入侵后开始运行非常缓慢,或者完全离线,这将影响您的声誉。

如果您的网站遭到黑客入侵,您可能会因观看次数、销售额或广告展示次数减少而蒙受损失。 将其恢复到良好的工作状态可能会产生成本。 您还可能会失去在搜索引擎上的排名——有时是永久性的。 因此,为了省钱(并挽回面子!),请确保您的网站已锁定且安全。

WordPress网站是如何被黑客入侵的?

谷歌最近发布了黑客访问网站的主要方式列表。 让我们详细看看其中的一些:

泄露的密码

蛮力攻击是黑客潜入网站的最常见方式之一。 他们使用机器人尝试不同的用户名和密码——每秒数以千计的组合——直到找到正确的组合。

不安全的插件和主题

在插件和主题中发现的漏洞对于不良行为者来说是一种相对容易进入的方法。高质量主题的开发人员会在定期更新中针对这些漏洞发布补丁,但并非所有 WordPress 用户都会经常更新他们的网站。 无效的免费版本的高级插件和主题通常在其代码中嵌入后门——黑客远程登录您的网站并为所欲为的访问点。

安全策略薄弱

糟糕的安全做法,例如让不需要的人访问网站或允许不安全的密码使人们更容易进入您的网站。

为什么有人会入侵网站?

  1. 他们想偷钱。 他们可能希望收集客户信用卡信息或将访问者引导至旨在欺骗他人的恶意网站。
  2. 他们想要获取信息。 他们可能会将个人数据出售给第三方或扣押信息以换取金钱。
  3. 他们想拿下你的网站。 这通常有个人动机,很少对普通网站所有者构成威胁。
  4. 他们想破坏您的网站。 同样,这通常是个人的。 黑客可能会破坏他们不同意的人的网站以发表声明。
  5. 他们想攻击别人。 攻击者可以使用您的网站在互联网上传播恶意软件或勒索软件,或使用您的网络服务器恶意攻击其他人。
  6. 他们想学习。 黑客必须以某种方式练习,对吗? 他们可能会将您的网站用作未来更大、更有利可图的目标的训练场。

如何保护您的 WordPress 网站免受黑客攻击

1.选择优质主机

您的托管公司是您的安全合作伙伴,因此选择一家声誉良好的托管公司非常重要。 你得到你所支付的,而且许多折扣主机没有实施可靠的安全实践。

但是你怎么知道选择哪一个呢? 以下是安全托管服务提供商的一些迹象:

  • 定期备份,包含在您的计划中或额外收费。
  • SSL 证书,可保护您网站访问者的数据。
  • 24/7 全天候支持,以防您的网站遭到黑客入侵。
  • 内置防火墙,可保护服务器上的文件和数据库。
  • 安全扫描会提醒您网站上的可疑代码和活动。
  • 好名声。 评论和推荐通常是确定房东质量的最佳方式。

请记住,拥有良好知识和强大安全性的公司非常值得任何额外费用。 这是推荐的 WordPress 主机列表,可帮助您入门。

2.保持软件最新

确保您的网站安全的第一种方法是定期更新您的软件:WordPress、主题和插件。 新版本通常会修补安全漏洞,因此越早更新越好。

您还可以通过选择稳定且一次满足多个需求的受信任插件来最大程度地降低 WordPress 安全风险。 例如,Jetpack Security 在单个 Jetpack 插件中提供了一整套 WordPress 安全工具。 因此,您还可以从附加功能中受益,而无需安装数十个插件并增加您的网站受到攻击的风险。

3. 创建安全的用户名和密码

通过选择唯一的用户名和安全密码来让黑客猜测。 使用至少 20 个字符、大写字母、小写字母、数字和符号。

如果您正在构建一个包含其他用户的站点,请确保为每个用户设置正确的权限。 例如,您可能不希望新实习生访问核心文件或其他重要数据。 这是一篇关于 WooCommerce 用户权限的精彩文章,但其中大部分内容适用于任何类型的网站。

如果您为第三方(如开发人员、营销机构或支持人员)创建帐户,请确保在他们完成工作后删除访问权限。

4. 设置异地备份

备份对于保护您的内容、辛勤工作以及客户或访客数据至关重要。 无论您的站点存在什么问题,手头有完整备份意味着您可以快速启动并再次运行。

但是选择正确的备份类型很重要。 例如,确保您的备份存储在异地、云端而不是您的服务器上。 这意味着,即使您无法访问您的站点或您的服务器受到威胁,您仍然可以恢复一个干净的版本。

这就是 Jetpack Backup 大放异彩的地方。 他们不仅将所有备份存储在用于自己站点的同一安全服务器上,而且还保留多个加密备份以提供额外的保护。

恢复 Jetpack 备份

此外,您可以在两个选项之间进行选择:实时和每日。

实时备份是在线商店、会员论坛或定期更新的网站的最佳选择。 Jetpack 会在每次发生更改时保存您网站的副本:进行销售、更新页面或添加评论。 这意味着无论发生什么,您都不会丢失任何销售或信息。

每日备份非常适合不经常更新的静态站点。 Jetpack 每天保存一次文件和数据库,而不是在进行更改时保存。

最好的部分? 设置超级简单——无需复杂的服务器配置。 只需完成几个简单的步骤,如果您需要任何帮助,请联系 Jetpack 无与伦比的客户支持团队。

您可以使用最好的 WordPress 备份插件作为独立工具或作为完整安全套件的一部分。

5.增加暴力攻击保护

当黑客使用机器人每秒猜测数千个用户名/密码组合,直到他们最终获得对您网站的访问权限时,就会发生蛮力攻击。 这些攻击不仅会使您的站点信息处于危险之中,它们还可以通过使您的服务器超载来减慢速度。

虽然安全的登录信息肯定会有所帮助,但最好的预防措施是使用一种工具来阻止他们。 Jetpack 的免费暴力攻击保护功能甚至可以在可疑 IP 地址到达您的站点之前将其阻止!

站点上阻止的恶意攻击数量:14,989

设置再简单不过了——您所要做的就是打开该功能——您可以直接从仪表板查看被阻止的攻击数量。 提示:平均值为 5,193!

6. 扫描恶意软件

如果黑客确实设法进入,您想立即知道,以便进行故障排除。 毕竟,您的网站停机或不安全的时间越长,对您的声誉和数据的损害就越大。

但 Jetpack Scan 会自动搜索您的网站以查找恶意软件、不良行为者和可疑活动,并在发现任何内容时立即提醒您。 您甚至可以一键修复大多数已知的黑客攻击,从而节省您的时间和金钱。

在网站上运行的恶意软件扫描

您无需花费任何时间解读复杂的技术语言 - Jetpack Scan 仪表板以通俗易懂的方式解释所有内容,并引导您完成需要采取的每一个步骤。 您可以设置它并忘记它,知道您的网站受到 24/7 全天候监控,您可以轻松休息。

详细了解我们的 WordPress 恶意软件扫描工具。

7.实施停机监控

无论是恶意攻击的结果还是简单的错误,如果您的网站出现故障,您都需要立即采取行动。 但是您没有时间整天重新加载您的网站以确保它正常工作!

来自 Jetpack 的停机通知

Jetpack 的 WordPress 停机时间监控工具 24/7 全天候监视您的站点,并在它停止响应时通知您。 然后,您可以使用活动日志准确确定发生了什么问题以及何时出现问题,这样您就可以做出适当的响应,并在几分钟内(而不是几小时或几天)内恢复正常运行。

8.删除未使用的插件和主题

您在网站上安装的主题和插件越多,黑客利用它们的机会就越多。 虽然插件是添加附加功能的好方法,但请做一些整理并删除您不再使用的插件。

而且,除了在解决站点错误时可以使用的默认主题外,无需存储其他主题。

奖励:删除这些也可以提高您的网站速度!

9.为管理员开启双重身份验证

双重身份验证是保护您的登录页面的一种非常有效的方法,因为它要求黑客同时拥有您的密码实物——这是一种不太可能的组合。 当管理员登录您的网站时,他们必须输入一个一次性使用的代码,该代码会发送到他们的手机。

Jetpack 免费提供此功能,使其成为比强密码更进一步的简单方法。 你有多个用户吗? 轻松地要求对所有这些进行双重身份验证。

10.设置WordPress防火墙

WordPress 防火墙监控所有进入您网站的流量,充当抵御黑客的屏障。 虽然一个好的托管计划包括保护您的服务器的防火墙,但您还需要专门为 WordPress 安装一个。

一个好的防火墙插件有一个关于不良行为者的信息数据库——可疑的 IP 地址、恶意机器人和似乎“关闭”的流量——并在它们攻击你的网站之前阻止它们。 您可以在 WordPress 插件存储库中看到一些最受欢迎的选项。

11. 密切关注您的网站活动

当您拥有网站上发生的所有事情的日志时,您可以轻松地浏览它并识别任何可疑的东西。 如果您的网站被黑客入侵,您还可以确定它发生的时间,知道采取了哪些行动,并更容易找出哪些帐户遭到入侵。

在网站上发生的活动

Jetpack 的 WordPress 活动日志会跟踪发生的所有重大更改,从登录尝试和已发布的页面到已删除的插件、更新的主题和更改的设置。 对于每个事件,您可以看到时间戳、进行更改的用户以及他们所做的说明。 然后,您可以使用此信息进行故障排除或从问题发生前恢复备份。

如果我的 WordPress 网站不安全会怎样?

大多数攻击者并不是专门针对您,他们只是在寻找最容易访问的站点。 因此,如果您的 WordPress 网站没有得到适当的保护,它更有可能成为黑客攻击的受害者。 最终,这可能导致:

  • 名誉受损。 如果您的网站出现安全警告、出现故障或重定向到可疑网站,那么网站访问者会觉得它不好看。 他们可能会失去对您的博客或业务的信任,从而失去您的销售或广告收入。
  • 窃取客户数据。 如果黑客访问您的电子商务商店,他们可能会收集可以自己使用或出售给第三方的个人信息。
  • 损坏的网站文件。 您可能会失去部分或全部网站,可能是多年的辛勤工作!
  • 从搜索结果中删除。 如果您的网站被黑客入侵,它可能会被 Google 列入黑名单并从搜索结果中完全删除。
  • 失去网站流量。 在较低(或不存在)的搜索引擎排名和不想访问带有安全警告的网站的人之间,您的网站流量可能会显着减少。
  • 广告收入减少。 广告网络不希望他们客户的广告在不安全的网站上运行。 因此,如果您的网站被黑客入侵,它可能会从广告网络中删除,您可能会被完全禁止,从而减少或消除您从广告中获得的收入。 即使不删除,减少的流量也会对广告点击产生负面影响。

我如何知道我的 WordPress 网站是否被黑客入侵?

有时很难判断您的网站是否被黑客入侵或是否遇到其他类型的问题。 但是,这里有一些网站被黑的迹象:

  • 当您加载 URL 时,您的网站会出现安全警告。
  • 您的安全插件报告了一个问题。
  • 您的主机通过电子邮件向您发送问题。
  • 您的网站完全重定向到其他地方,而您还没有进行重定向。
  • 您会在网站页面上看到奇怪的代码行。
  • 您的网站已完全关闭,尽管这也可能是由于其他原因。
  • 您网站上的广告会重定向到可疑网站。
  • 您的网站突然加载非常缓慢或以其他方式表现异常。

如果我的 WordPress 网站被黑了怎么办?

如果您的 WordPress 网站被黑客入侵,您可以采取一些步骤来解决问题并恢复您的文件和数据库:

  1. 确定发生了什么。 如果您使用的是 Jetpack,请查看活动日志以了解登录者、登录时间和更改内容。 这可以帮助您识别受感染的帐户并确定哪些文件受到影响。
  2. 运行恶意软件扫描。 使用 Jetpack Scan 之类的工具在您的网站文件中搜索恶意软件或其他黑客攻击迹象。 如果您使用 Jetpack 的 WordPress 恶意软件扫描工具,您还可以一键修复大部分问题。
  3. 恢复备份。 如果您对您的网站进行定期备份,请从黑客攻击发生之前恢复一份。 如果您使用 Jetpack Backup,您的文件将与服务器分开存储,因此不应受到损害。
  4. 重置所有密码并删除可疑用户 重置您的 WordPress 网站和托管服务提供商的所有密码。 如果您看到任何不是您创建的可疑用户帐户,请将其删除。
  5. 聘请网站安全专家。 如果您无法自行删除恶意软件,或者只是想确保您的网站是安全的,请考虑聘请 Codeable 等服务的安全专家。
  6. 更新您的插件、主题和 WordPress 版本。 这将有助于保护黑客可能利用的任何漏洞。
  7. 将您的网站重新提交给 Google。 如果您的网站被列入黑名单,请使用 Google Search Console 请求审核并将其从列表中删除。

有关更多详细信息,请阅读我们的指南,其中介绍了如果您的 WordPress 网站被黑客入侵该怎么办。

准备发射

从一开始就将工作投入到适当的 WordPress 安全中,可以让您的网站取得成功,并帮助它在未来几年内安全有效地运行。 请记住,防止网站黑客攻击比在它们发生后修复它们要容易得多。

使用 Jetpack 安全包,您可以在几分钟内检查此列表中的大部分项目 - 无需开发人员或复杂的设置。

开始使用最好的 WordPress 安全插件。