强化 WordPress:如何确保您的 WordPress 网站安全

已发表: 2022-06-30

如果您曾经被黑客入侵,您就会知道这可能是一场噩梦。 很难理解哪些 WordPress 安全步骤将有助于确保您的 WordPress 网站安全。

继续阅读以了解如何确保您的 WordPress 网站安全。 了解强化 WordPress 的正确步骤,并获取 WordPress 网站安全检查表。

什么是 WordPress 强化?

WordPress 约占所有网站的 40%。 正因为如此,知道如何利用 WordPress 的人可以很容易地找到很多目标。 幸运的是,您可以做很多事情来让他们的工作变得更加困难。 这被称为强化 WordPress。

为什么 WordPress 安全性很重要

被黑客入侵不仅令人尴尬,而且可能导致停机、数据丢失和信息泄露。 这可能会导致销售损失和品牌声誉不佳。 除此之外,要让一切恢复正常并重新运行可能需要做很多工作。

强化 WordPress:要采取的 10 个 WordPress 安全步骤

黑客可以通过四种主要方式入侵您的 Wordpress 网站:

  • 获取您的密码或会话并登录。
  • 通过间接访问,例如 FTP、SSH 或数据库。
  • 通过在您的 Web 根目录中发现信息。
  • 通过 WordPress 代码或插件中的漏洞。

访问您的网站的最简单方法就是登录。这里有一些方法可以加强 WordPress 对密码窃贼的攻击。

1. 保护您连接的机器

一件容易忽略的重要事情是您连接的计算机。 如果它不安全,那么这也可能使您的服务器容易受到攻击。 这就是为什么拥有病毒扫描程序和防火墙、让您的计算机保持最新状态以及养成安全的浏览习惯非常重要的原因。

2. 保护与服务器的连接

即使您的计算机是安全的,您的密码或会话仍然可能在前往服务器的途中被盗。 为防止这种情况发生,请务必确保在登录 WordPress 后端时使用 HTTPS。

相关阅读: WordPress性能优化初学者指南>>

最好始终使用家庭或企业有线连接或使用长的随机 Wi-Fi 密码的 Wi-Fi 连接连接到您的服务器。 如果您必须使用公共热点进行连接,那么您绝对想投资 VPN。

3. 防止人们猜出你的密码

当攻击者使用脚本快速尝试不同的用户名和密码组合直到猜出正确的组合时,这称为蛮力攻击。 为防止暴力攻击,请使用包含大小写字母数字和特殊字符的长密码。

为了使这项技术更加困难,您可以获得有用的插件。 寻找两个因素身份验证插件,将验证码添加到登录表单的插件,以及限制您可以进行的错误尝试次数的插件。

4.不要使用管理员

防止蛮力攻击和其他窃取密码的方法的另一种方法是将您的管理员帐户命名为其他名称。 如果他们无法猜出您的用户名,那么他们就无法猜出您的密码。 不再需要时,应删除任何其他管理员帐户。 您创建的任何新帐户都应该只有他们需要的访问权限。

如果黑客无法直接访问您的管理员帐户,他们可能能够通过 SSH、FTP 或数据库间接访问您的站点。 提到的关于保持本地 PC 安全、选择安全密码以及在公共互联网上使用 VPN 的所有内容也适用于 SSH、FTP 和与数据库的连接,但这里有一些额外的注意事项。

5. 使用 SFTP 或 FTPS

FTP 以纯文本形式通过 Internet 传输您的数据和密码,这意味着任何可以拦截您数据的人都可以看到您的密码和数据。 SFTP 和 FTPS 都加密您的数据。

6. 关闭或限制对端口的访问

一般来说,如果你的数据库和你的网站在同一台服务器上,你不需要将你的数据库端口向公众开放。 如果您可以通过门户或服务器内部管理您的数据库,这通常是一个更好的选择,因为它为攻击者提供了一种利用您的网站的方法。

相关阅读:当 WordPress 需要提升时:提示、工具和调整策略 >>

与 FTP 一样,如果您能够使用 SFTP 连接到服务器,则无需打开 FTP 端口。 如果您确实需要使用这些端口之一连接到您的服务器,最好将这些端口的范围仅限于您的 IP 地址。

如果您的 IP 地址发生很大变化,那么每次您的 IP 地址更改时都必须调用以访问您的服务器可能会很不方便。 解决此问题的一种方法是使用 VPN。 VPN 不仅会加密您与服务器之间的连接,而且还可以让您使用静态 IP 地址,您可以将其添加到防火墙中,以防止其他人访问端口。

许多人犯的一个错误是将文件和数据库转储存储在 Web 根目录中。 请记住,互联网上的任何人都可以访问您的 Web 根目录中的任何内容,并且它不应该包含您不希望任何人拥有的任何内容。

7. 从您的 Web 根目录中删除任何不必要的内容

值得检查您的 Web 根目录,并确保您的网站没有任何不必要的功能存储在其中。

例如,可以方便地将数据库转储到 webroot 以便您以后下载。 但请记住,您的数据库包含您的密码哈希,并且可能包含您不想公开的其他信息。

一个更好的主意是将数据库转储到其他地方并使用 SFTP 下载它。 如果您想将它作为备份保留在服务器上,您可以简单地将其上移一级或将其放在除 webroot 之外的任何位置。

同样,网站代码的压缩副本可用于了解您的代码,并且可以由互联网上的任何人下载。 另一种常见的做法是在修改之前备份 .htaccess 之类的文件或代码文件。

在修改文件之前备份文件当然是一个好主意,但如果您打算将它们保留在 Web 根目录中,则应更改权限,以便无法访问它们。

相关阅读:揭穿 WordPress 托管安全神话 >>

例如,您可以键入 chmod 000 .htaccess。 最后,即使是 README 文件或任何其他可能暴露版本号的文件也应该可以安全地删除——删除它们可以提高安全性。

最后要考虑的是代码本身。 Web 应用程序代码安全性是一个非常复杂的主题,有整本书籍都围绕该主题编写。 由于您使用的是 WordPress,因此为您完成了确保代码安全的艰巨任务,您所要做的就是安装补丁。

如果您使用 Nexcess 托管,我们会为您更新核心 WordPress,但主题和插件也可能包含漏洞。

8.删除任何未使用的代码

保持 WordPress 网站安全的一种简单方法是简单地删除您不使用的任何内容。 查看所有插件,如果它们没有为您的网站增加任何价值,则将其删除。

相关阅读: WordPress插件基本指南>>

这不仅可以提高安全性,还可以加速 WordPress 并提高您网站的稳定性。 请记住,在某些情况下,即使是禁用的插件也会引入错误或为黑客提供攻击面。

如果您有任何未使用的 WordPress 主题,您也应该卸载它们——尽管您可能需要考虑保留最新的默认 WordPress 主题以供以后进行故障排除。

最后,最重要的是删除您不使用的旧安装。 如果您有一个完整的子目录,其中包含您不再使用的旧博客或旧版本的网站,那么将其从 Web 根目录中删除非常重要。 如果您想将其保存为备份,则可以将其安全地存储在 Web 根目录之上。

9. 确保您的所有插件和主题都得到积极维护

每天都会发现新的漏洞,一旦知道它们就可以被整个互联网上的大量脚本迅速利用。 这就是为什么重要的是要确保您有知识渊博的程序员,他们正在积极响应在他们的代码中发现的任何缺陷,并定期发布补丁来修复漏洞。

10. 应用补丁

由于在 WordPress 中一直存在漏洞,并且由于 WordPress 漏洞被如此快速和彻底地利用,因此尽快应用补丁非常重要。 这样做非常重要,以避免停机。

但是,其中一个补丁可能与您的其余代码不兼容,因此最好的方法是定期进行备份,然后手动应用补丁,然后测试您的站点。

如果您发现任何不工作的地方,您可以恢复备份并快速恢复您的站点。 如果您有资源,更好的方法是保留您网站的副本并首先在副本上应用所有补丁。 这可以防止任何停机时间,并允许您在将补丁应用到实时站点之前对任何问题进行故障排除。

WordPress 网站安全清单

  • 确保您的 PC 安全
  • 使用安全协议
  • 使用强密码
  • 使用插件更难猜你的密码
  • 重命名管理员帐户
  • 关闭或限制对防火墙中端口的访问
  • 从您的 Web 根目录清除数据库转储、备份,尤其是旧代码
  • 仔细选择插件和主题并删除任何你不使用的
  • 最重要的是,让他们保持最新

Nexcess 确保您的 WordPress 网站安全

让您的网站被黑可能是一场灾难。 它不仅让您看起来很糟糕,而且可能导致停机时间延长甚至丢失订单。

使用 Nexcess 托管 WordPress 是确保 WordPress 网站安全的第一步。

Nexcess 提供了一个安全的平台来托管您的 WordPress 网站。 使用 Nexcess,您可以获得始终在线的安全监控、免费的每日备份、SSL 证书和 IThemes Security Pro。

并且有一个 WordPress 专家和支持专业人员团队全天候为您提供帮助,以帮助您解决任何问题,您将始终拥有 24/7 全天候所需的资源。

探索我们完全托管的 WordPress 托管计划,立即开始。