作为新的 WordPress 管理员如何保持在线安全
已发表: 2022-03-01作为一个新的 WordPress 管理员,你无疑有很多事情要考虑和做。 毕竟,WordPress 网站既有趣又令人兴奋,因为它们的要求很高。 即便如此,许多新管理员考虑得不够多的一件事是安全和保障。
为了安全上网,我们需要考虑两件事——系统和流程。 系统是指我们安装的安全软件和设备。 另一方面,过程是指我们的行为。 两者都很重要。
虽然保护 WordPress 很重要,但我们还必须记住保护我们的个人帐户和设备。 同样,我们也必须格外警惕,对自己如何看待网络安全更加严格。 这就是我们如何确保我们和我们的 WordPress 网站保持安全的方式。
本文将介绍我们无需太多努力即可实施和维护的最佳实践。 这样做不仅可以帮助我们保持安全,还可以减轻对 WordPress 网站本身的威胁。
选择一个强密码
在选择密码时,您需要非常小心。 始终确保您使用未在其他网站上使用的新密码,并确保其长度足够,并且大小写字母、数字和特殊字符的健康组合。 不要试图通过切换 Is for 1s 等来模拟字典单词。破解密码的软件会理解这一点,并会尝试这些组合。
但是,您不必太担心密码的创造性。 大多数现代密码管理软件和服务都有非常好的密码生成器,所以请使用它们。
获得密码后,您需要确保不与任何人共享密码。 如果您需要向某人提供访问权限,创建一个单独的帐户会更好、更安全。 共享凭据可能会导致许多安全问题。 在这里,使用最小权限原则来确保您不会将不必要的访问权限授予新用户。
最佳实践还告诉我们,我们不应该在浏览器中保存密码。 这是使用信誉良好的密码管理器的另一个原因。
添加第二层防御
强密码很棒,因为它们使猜测或破解变得更具挑战性。 但是,这并不意味着怀有恶意的人不会获得足够的时间和计算能力。 如果您有选项,请启用 2 因素身份验证 (2FA)。 众所周知,这种安全措施可以阻止大约 99.99% 的攻击——让您的帐户更加安全。
2FA 代表双因素身份验证,为登录过程添加了另一个身份验证层。 它之所以如此安全,是因为它使用不同的因素进行身份验证,这使得它几乎不可能被破解。
专业提示:您甚至可以通过下载 WordPress 的 2FA 插件来为您的 WordPress 网站用户启用 2FA。
确保您与之交互的网站使用 HTTPS
HTTPS 是 HTTP 的安全版本——用于通过 Internet 传输网页的协议。 当网站使用 HTTPS 时,您的计算机和网站之间的流量是加密的,这意味着如果有人窃听,他们将无法读取来回传递的数据。
如果您通过 FTP 访问 WordPress 文件,这同样适用。 在这种情况下,建议使用 SFTP,它是该协议的安全版本,因此应该使用。
专业提示:您还应该考虑为您的 WordPress 网站获取 SSL/TLS 证书。 它们相对容易安装,可以帮助您激发对网站的信心,还可以帮助您在 SERP(搜索引擎结果页面)中获得更好的排名。
保护您的设备和软件
ResearchGate 的一份报告估计,普通人将拥有超过九个连接设备。 其中许多设备(包括计算机、笔记本电脑、平板电脑和智能手机)都需要受到保护。 防病毒软件和防火墙是基本的解决方案,但还不止于此。 许多操作系统还提供加密硬盘驱动器的功能。 启用此选项将帮助您确保您的数据在物理机器发现自己处于错误的手中时仍然无法读取。
同样,您需要确保在您的机器以及您的 WordPress 网站上安装最新的更新。
无论是由微软和苹果等价值数十亿美元的公司发布,还是由小型软件公司发布,软件都可能存在错误和安全漏洞——这些都是通过更新解决的。 同样,在选择 WordPress 插件时,请确保开发人员经常发布更新。
专业提示:您可能还需要考虑设置 WordPress 测试环境。 测试环境是您网站的副本,但只有您可以访问。 它们用于在将更新和更改推广到实时环境之前对其进行测试。 这可以帮助您将与实时环境的交互限制在尽可能少的范围内。
许多托管计划都带有测试环境; 但是,您也可以使用 XAMPP 构建自己的 WordPress 测试环境。
备份您的数据和计算机
无论是您的个人计算机还是 WordPress 网站,备份都很重要。 如果发生灾难性故障,备份可帮助您最大限度地减少数据丢失。 将备份文件留在同一台机器上可能会适得其反。 备份计算机时,请确保将备份移动到外部位置。 选项可以包括云存储或外部驱动器。
这同样适用于您的 WordPress 网站。 留在服务器上的备份不仅会占用宝贵的空间,而且还会有落入坏人之手的风险。 备份文件,即使是零星的文件,也可能包含大量信息,使恶意行为者能够接管机器或网站并持有它以勒索赎金。
专业提示:阅读我们的 WordPress 备份指南和提示,了解有关如何备份 WordPress 网站、如何存储备份文件等的更多详细信息。
不要打开可疑邮件
作为新 WordPress 网站的自豪所有者,您将被不请自来的电子邮件淹没。 其中许多将为您可能想象的任何事情提供服务。 虽然其中一些电子邮件很可能是真实的,但其中很大一部分不是。 其中一部分也可能包含恶意代码。
立即删除可疑电子邮件,不要尝试打开它们。
使用 VPN(尤其是在公共 Wi-Fi 上)
在连接性方面,VPN 是一种灵活的主食。 从使企业员工能够远程工作以匿名访问互联网,VPN 在您的机器和 VPN 服务器之间创建了一条隧道,通过该隧道发送的信息被加密。
虽然您不应该(尽可能多地)使用公共 Wi-Fi,但 VPN 确实减轻了与连接到任何人都可以连接的网络相关的一些风险。 在连接之前,请确保您首先打开 VPN,并确保所有在线通信的应用程序(即时消息、浏览器、客户端等)都已关闭。 建立 VPN 连接后,您可以安全地重新打开它们。
在安装之前研究任何软件
随着您深入了解令人兴奋的 WordPress 世界,您会发现各种可以帮助您处理流程和任务的软件。 这里需要注意的重要一件事是,此类软件有各种形状和大小。 同时,虽然我们在很大程度上摆脱了过去困扰我们的兼容性问题,但它们并没有完全消失。
为避免疼痛和痛苦,请确保您花时间研究软件。 如果您想试用新软件,并且它带有免费试用版,请利用它并确保您事先有一个测试计划,以确保它可以帮助您修复或至少可以缓解您遇到的任何问题'重新面对。
专业提示:阅读我们的指南,了解如何为您的网站选择最佳 WordPress 插件,以了解更多关于在您的网站上安装内容之前要记住的事项。
下一步
安全是一个持续的过程,而不是您在待办事项清单上勾选的任务。 需要经常更改密码、安装更新、更新防病毒签名等等。 因此,必须定期安排时间用于保护和维护您的在线帐户和机器。
另外,保护 WordPress 本身同样重要。 在这里,我们还需要认识到强化 WordPress 只是一个持续的过程。 虽然 WordPress 安全流程与我们保护帐户的流程不同,但它同样值得我们关注。