• 主页
  • 文章
  • 指导
  • 如何使您的网站安全:10 条 WordPress 安全提示 | JustLearnWP.com

如何使您的网站安全:10 条 WordPress 安全提示 | JustLearnWP.com

已发表: 2019-11-13

WordPress 现在为数百万个网站提供支持。 使用 WordPress 构建 30 多个不同类型的网站非常容易,开始使用 WordPress 很容易。

但受欢迎的缺点是它使其成为黑客的更大目标。 在本文中,我将列出一些使 WordPress 更安全的最佳实践。 您将学习如何通过一些最佳实践和 WordPress 插件使您的网站安全可靠。

WordPress 本身就是非常安全的内容管理系统。 WordPress 开发人员每隔几个月发布一次新版本。 但有时黑客可以访问您基于 WordPress 的网站。

Sophos 实验室发现每天有 30,000 个新网站被黑,您可以阅读如何恢复被黑的 WordPress 网站? 了解更多。

过时的 WordPress 版本、主题和插件可能非常危险。 有时,廉价的共享托管计划也会造成损害。 弱密码和容易猜到或太常见的用户名也是黑客成功的一个原因。

使您的网站安全的 10 个最佳 WordPress 安全提示

以下是您绝对应该采取的一些最佳实践,以提高您的 WordPress 网站的安全性。

如何使您的网站安全 10 个 WordPress 安全提示新
10 个最常见的 WordPress 错误以及如何修复它们(信息图)由NEWTLABS.CO.UK

1.使用最新版本的WordPress

过时的 WordPress 版本非常危险。 始终安装最新版本的 WordPress。 从 WordPress 官方网站下载最新版本的 WordPress。 如果您有多个基于 WordPress 的网站,请定期更新它们。

2. 禁用 WordPress Dashboard 中的 PHP 文件编辑功能。

大多数用户需要访问 WordPress 管理区域,但他们并不总是需要访问插件文件或主题文件。

如果您想阻止任何用户在 WordPress 管理区域中编辑 WordPress 主题或插件文件。 您可以将以下代码行添加到 wp-config.php 文件中,以阻止任何人访问 WordPress 中的文件编辑模式。

define( 'DISALLOW_FILE_EDIT', true);

3.启用两因素身份验证

WordPress 两因素身份验证可以使您的网站更加安全。 有许多免费插件可用于启用两因素身份验证。

两步验证可以让您的 WordPress 网站更能抵御暴力攻击,即使您的 WordPress 用户名和密码被泄露,如果没有六位数代码,您也无法登录您的网站。

您可以为 WordPress 安装 Google Authenticator。 它是一个免费插件。 此插件使用 Google Playstore 中提供的 Google Authenticator 应用程序。

4.为您的客户/订户禁用仪表板登录

有多种原因可能会让人们远离仪表板,例如,在会员网站上,您可以禁用对 WP-Admin 面板的访问。

有许多免费插件可用。 WP Hide Dashboard and Remove Dashboard Access 允许您将仪表板访问权限限制为仅限管理员或具有特定功能的用户,并隐藏仪表板菜单、个人选项部分和帮助链接。

进一步阅读:如何恢复被黑的 WordPress 网站?

5. 更改仪表板登录 URL

如果可能,请更改仪表板登录 URL,默认情况下为 www.yoursite.com/wp-admin 将其更改为其他内容。 有许多 WordPress 插件可用于此任务。

重命名 wp-login.php 是流行的免费插件,可将 wp-login.php 更改为您想要的任何内容。 这个免费插件还与任何挂在登录表单中的插件兼容,包括 BuddyPress、bbPress、限制登录尝试和用户切换。

Peter's Login Redirect 是一个免费且流行的插件。 这个免费插件在登录和注销后将用户重定向到不同的位置。

6. 在专用服务器上托管您的网站

选择一个好的虚拟主机真的很重要。 有数以千计的网络托管服务提供商可用,但并不是每个人都提供优质的服务。 如果您认真对待您的博客业务,请选择具有专用服务器的优质托管服务提供商。

7.限制登录尝试次数

蛮力攻击旨在成为访问网站的最简单方法:它一遍又一遍地尝试用户名和密码,直到它进入。有许多免费插件可以限制您的 WordPress 网站上的登录尝试。

WP Limit Login Attempts 插件限制登录尝试的速率并暂时阻止 IP。 它通过验证码来检测机器人。

BestWebSoft 的限制尝试允许您通过 IP 限制登录尝试的速率,并创建白名单和黑名单。

8. 将 wp-config.php 文件存储在 WordPress 安装的上一层

是的! 您可以将 wp-config.php 文件移动到 WordPress 安装上方的目录。 这意味着对于安装在 Web 空间根目录中的站点,您可以将 wp-config.php 存储在 webroot 文件夹之外。

您可以阅读有史以来最简单的 WordPress 安全提示! 在 SitePoint 了解更多信息。

9. 为所有登录和 wp-admin 启用 HTTPS

HTTPS 通常是购物车和网上银行的同义词,但实际上,只要用户将敏感信息传递给 Web 服务器,反之亦然,都应该使用它。

为确保登录凭据在传输到 Web 服务器期间被加密,请在 wp-config.php 中定义以下常量。

define('FORCE_SSL_LOGIN', true);

为确保在使用 WordPress 管理面板时对传输中的敏感数据(例如会话 cookie)进行加密,请在 wp-config.php 中定义以下常量。

define('FORCE_SSL_ADMIN', true);

要了解更多信息,您可以访问 WordPress Administration Over SSL 页面。

您还可以使用 WP Force SSL 插件将所有流量从 HTTP 重定向到 HTTPS 到 WordPress 网站的所有页面。

10. 明智地选择第三方主题、插件

永远记住,没有理由保留未使用的主题和插件。 当您甚至不使用主题和插件时,为什么要打开您的网站来解决问题。

始终从受信任的开发人员和市场下载和安装插件。 删除所有过时和不必要的主题。 我们创建了一个从值得信赖的开发人员和市场购买优质 WordPress 主题的最佳地点列表。

WordPress 主题目录是查找免费主题的最佳场所,如果您想使用高级主题,请始终从信誉良好的开发人员和市场购买。

进一步阅读:如何选择完美的免费或高级 WordPress 主题

最后的话

我知道这不是完整的列表,但我尝试分享一些快速提示和最佳实践。 您还可以在 Kinsta 阅读有关 WordPress 安全性的深入指南。 随时在下面的评论中分享您的想法。