如何安全更新 WordPress 网站(手动和自动)
已发表: 2017-11-20Noom_Studio / stock.adobe.com
如果不首先解决我们为什么需要它们,就不可能谈论 WordPress 更新:
安全。
正如您可以想象的那样,从通过 WordPress 网站开展业务的公司以及与之互动的消费者的角度来看,该内容管理系统的安全性存在很多担忧。 现在,WordPress 的构建或管理并不糟糕。 事实上,WordPress 有一个专门负责监控平台并在检测到漏洞后立即更新软件的团队。
然而,WordPress 是世界上最受欢迎的 CMS,这使其成为黑客的主要目标。 由于这种更大的曝光率,WordPress 网站经常收到大约四分之三的黑客攻击。
虽然保护 WordPress 网站需要做很多工作,例如使用 SSL 证书、保护 PHP 以及进行定期安全审核,但您绝对需要优先考虑保持 WordPress 更新。 如果您使用插件和主题,那么您也需要更新它们。 否则可能会危及您网站的速度及其整体安全性。 以下 WordPress 更新清单将为您提供有关 WordPress 网站安全策略这一重要部分所需了解的所有信息。
终极 WordPress 更新清单
当谈到将过多的 WordPress 安全漏洞归咎于“责任”时,将矛头指向构建或现在维护 WordPress 或其第三方集成的开发人员是不公平的。 事实上,大多数 WordPress 违规行为都可以追溯到用户错误。
您是否知道目前超过 70% 的 WordPress 安装不是在最新且安全的平台版本上运行? 发布这些 WordPress 更新是有原因的 – WordPress 现在甚至可以自动进行较小的安全升级,以确保用户的网站免受这些已知漏洞的影响。
然后是插件和主题的问题。 所有 WordPress 漏洞中 54% 可以追溯到插件,14% 可以追溯到主题。 除非其中之一检测到严重的安全问题,否则 WordPress 不会强制所有用户进行自动更新。 相反,他们将依赖开发人员创建补丁并发送更新通知。
最终,这取决于您对 WordPress 网站的持续了解,在更新可用时立即进行监控,然后立即实施它们。 这是保证 WordPress 尽可能安全的唯一方法。
您可以通过多种方式执行此操作:通过自动更新或手动更新。 以下清单将涵盖这两种方法。
如何自动化更新 WordPress
2013 年,WordPress 慷慨地为我们提供了自动更新功能。 然而,这些并没有普遍应用,并且只会发生在次要版本和迫切需要推出的不频繁插件或主题更新中。 所有主要版本以及其他插件和主题更新仍然需要您处理。
如果您不想承担这样做的责任——而又不影响网站的安全——您可以自动执行这些更新。 您需要执行以下操作:
1. 安排备份
即使您不手动处理每个更新,定期保存站点备份仍然很重要。 您可以使用备份和恢复插件来完成此操作。 这将确保您在其中一个自动更新期间出现问题时可以回滚。
2. 使用插件实现自动化
虽然您可以每天登录 WordPress 并注意仪表板顶部的小通知,表明您有更新等待,但您也可以使用插件来为您处理工作。 Easy Updates Manager 是一个免费插件,您可以在单个 WordPress 网站或完整的多站点网络上使用。
安装插件后,您需要为其配置设置。
仪表板(如上图所示)可让您轻松打开/关闭对站点的自动化核心、插件和主题更新的访问。
还要特别注意“常规设置”选项卡。 虽然页面的顶部使您能够设置对自动化和非自动化的通用控制,但您可能会发现底部(通知和杂项)特别有用。
并且在保存并关闭配置页面之前不要忘记查看高级设置。 如果您有多个用户可以访问您的网站,但您不希望他们控制这些设置,您可以在那里调整访问级别。
3. 或者自动化您的工作流程
与其依靠一个插件来处理备份和一个插件来处理更新,为什么不使用一种工具将所有自动化整合为一个工具呢? ManageWP 是一个绝佳的选择,因为它使您能够:
- 从单个仪表板管理所有网站更新(任意数量的网站)。
- 安排每日备份并保存到您首选的异地目的地。 (这实际上是我们最喜欢的功能!)
ManageWP 还配备了丰富的安全功能,可帮助您更好地维护网站的整体健康和安全,而无需费力。
作为 WordPress 维护服务提供商,我们发现 ManageWP 的解决方案对我们的运营和工作流程非常有价值。 随着我们现在对所有网站的性能、安全性和待更新的可见性、便利性和控制力的增强,我们能够专注于发展我们的业务(事实上,增长了 39%),而不是试图跟踪我们必须为每个现有客户做的一切。
如何手动更新 WordPress
您可以通过两种方式手动更新 WordPress 网站。
当您知道有更新等待处理时,您可以单击通知并一键更新。 然而,以这种方式处理它们,自动更新和手动处理之间没有太大区别。 掌握这一点的全部目的是确保谨慎处理更新,并且不会使您的网站面临更大的风险。 以下是具体操作方法。
更新 WordPress 核心
1. 备份您的网站
一旦您看到更新已准备就绪,请捕获站点的备份(如果您不满足于使用保存插件或维护服务的每日或每周备份)。 备份和恢复插件将允许您手动执行此操作。 然后,您可以远程保存备份文件的压缩副本,以备以后需要恢复时使用。
2. 停用您的插件
WordPress 建议您在手动更新核心之前始终停用插件。 您可以通过转到 WordPress 中的已安装插件列表、选中所有复选框并应用“停用”批量操作来执行此操作。
3. 检索文件
WordPress 始终将最新的核心版本存储在这里。 收到可用更新的通知后,请访问该网页并下载文件。 在您的计算机上本地提取该包。
4.更新根目录
在控制面板中使用 SFTP 或 SSH 登录到根目录。 删除 wp-admin 和 wp-includes 文件。 然后,您需要从提取的核心文件中上传新版本。
5.更新wp内容
无需删除 wp-content。 相反,您需要做的是复制新的 wp-content 目录中的所有文件。 然后将它们放入旧的 wp-content 目录中。
6.更新其他所有内容
您的新核心根文件也需要复制到您的目录中。 如果他们覆盖之前的内容也没关系(他们应该这样做)。
7. 检查 wp-config
在新的核心文件中,您将有一个名为 wp-config-sample.php 的文件。 查看此内容以确定是否有任何新设置值得保存到您的 wp-config。
8. 更新数据库
文件更新后,重新登录 WordPress 管理员。 如果 WordPress 需要升级您的数据库,它会将您发送到 /wp-admin/upgrade.php。 继续访问该链接,然后完成更新数据库所需的步骤。
9. 重新激活你的插件
返回到插件列表。 重新检查所有已停用的插件,然后选择“激活批量”操作。
为了查看所做的任何更新并完成 WordPress 核心升级过程,请清除浏览器的缓存。
更新插件和主题
手动更新插件和主题的过程与核心类似,只是稍微省力一点。
1. 备份您的网站
请参阅上面的注释。
2. 检索文件
从存储库或开发人员中获取新插件或主题的压缩文件的副本。 下载它们并将其解压缩到本地计算机上。
3.删除旧文件
通过控制面板使用 SFTP,找到您的旧文件。 您可以在 wp-content 下找到这些内容。 删除旧的主题或插件文件。
4. 添加新文件
将新文件添加到 wp-content 目录。 插件目录最终应如下所示:wp-content/plugin/plugin-name/。 主题目录将如下所示:wp-content/theme/theme-name/。
5. 检查更改
返回 WordPress 并访问您的插件或主题列表。 它会告诉您是否已成功更新。 当然,此时请检查您的站点,以确保过程中没有任何中断。
一个小提醒……
还有另一种选择,那就是聘请像 WP Buffs 这样的 WordPress 维护公司。 除了定期维护职责之外,此安全和更新部分在我们的服务中也占有重要地位。 如果您喜欢专家代表您管理日常 WordPress 备份并处理主题和插件更新的想法,请不要忘记这个选项也存在。
如果您需要其他安全资源,请继续阅读 BloggingWand 上的这篇文章。
想提供反馈或加入对话吗?在 Twitter 上添加您的评论。