• 主页
  • 文章
  • 指导
  • WordPress 安全性:保护您的网站免受黑客攻击的 8 个步骤

WordPress 安全性:保护您的网站免受黑客攻击的 8 个步骤

已发表: 2019-02-26

网站安全是一个严重的问题,但许多人可能不知道它有多严重。 但是,当您了解到每天有不少于 50,000 个独立网站被黑客入侵时,您就会开始对这个问题有所了解。

问题是,今天的大多数网站都是在 WordPress 平台上运行的。 这意味着落入黑客的网站中有很大一部分是基于 WordPress 的。

虽然 WordPress 本身已尽最大努力确保在其 CMS 上运行的网站是安全的,但仍会发生错误。 在这篇文章中,我们将讨论如何确保不会发生这种情况。

不过在那之前……

为什么首先需要 WordPress 安全性?

根据您网站的内容,当有人破坏您的安全性时,可能会出现很多问题。 其中一些是:

  • 上传恶意软件——黑客可能出于不同原因将恶意软件上传到您的网站服务器。

他们可以使用它来收集有关您的网站的数据和信息,以及出于某种原因您如何运行它。 他们甚至可以通过这种方式将恶意软件自动下载到访问者的计算机上。

这不仅会破坏您对网站访问者的善意,还会使您的网站被列入黑名单。 发生这种情况时,几乎不可能恢复您的声誉。

  • 窃取用户信息——如果您的网站存储了用户信息(包含姓名、出生日期、年龄、性别等的个人资料),这对黑客来说很重要。

他们可以收集这些数据并在黑网上出售给数据挖掘公司或其他感兴趣的人员。 这构成了对用户以信任方式提交给您的数据的破坏,并违反了您保证其数据安全的承诺。

  • 窃取财务信息——这在用于运营在线商店的 WordPress 网站上非常常见。 有时,它可能不是一个严格基于电子商务的网站,而是一个销售产品或其他产品的网站。

发生这种情况时,黑客拥有所有他们需要的一切来敲诈所有曾经向您的网站提交信用卡/付款详细信息的人。 除了这会让您的许多客户感到不适之外,如果他们知道违规行为来自您,他们将不会乐意再次向您购买。

  • 操纵你的收入——你的网站可能会从联盟来源、广告流等等中获得收入。 如果黑客获得访问权限,他们可以将您的会员/广告/收入来源详细信息更改为他们的,并将您的销售转移到他们这边。

他们甚至可以更改您的收款账户并将您的收入存入他们自己的账户。

当然,这些只是当您的 WordPress 网站不够安全时可能出现的一些问题。 黑客可能想要访问您的网站还有许多其他原因。 因此,您有责任确保他们很难做到这一点。

确保您的 WordPress 网站安全

想要将您的网站从黑客的简单目标列表中删除吗? 您可以执行以下操作:

1. 保护您的登录页面

在您的网站完全被黑客入侵之前,黑客必须进入管理页面。 如果您使用 WordPress 默认设置,他们所要做的就是在您的域名末尾添加 / wp-admin/wp-login.php ,它们位于管理页面。

甚至在不知不觉中,你已经让他们轻松了一步。

要解决此问题,请自定义您的登录页面,使其仅显示一个特别指定的地址。 这样,您就可以远离大多数黑客的网格。

2.实施网站锁定

蛮力攻击因能够尝试多个密码直到获得正确的密码而蓬勃发展。 这使黑客可以自由地尝试许多可能的组合,然后再闯入您的仪表板。

解决此问题的一种简单方法是指定用户在被管理区域屏蔽之前可以进行的失败尝试次数。

这一举措的最佳部分是,当任何此类活动被记录时,您也会收到通知,帮助您保持更紧密的联系。 许多 WordPress 防火墙和安全插件可让您执行此操作。

可能值得一看。

3.选择好的托管公司

不要成为那些认为相对昂贵的托管公司让您为品牌付费的人。 通常,这些是为您提供多层安全性而不是更便宜的选项的那些。

除了支付这些额外费用带来的额外好处外,您还可以为所有努力获得更好的安全性。 如果您不知道如何选择合适的主机,您可以按照我们关于如何选择 WordPress 主机的终极指南进行操作。

4.远离无效的主题

WordPress 包含大量可在您的网站上使用的付费和免费主题。 这些主题由知道自己在做什么的高技能开发人员设计和编码。 主题也已经过 WordPress 测试,以确保它符合设置标准。

但是,一些网站免费提供付费主题的破解/无效版本。 在您得知破解的主题包含可能严重损害您的网站的恶意代码之前,这听起来可能很划算。 请参阅我们的指南,了解如何为您的网站选择完美的主题。

5.禁用文件编辑

默认情况下,您的 WordPress 网站具有代码编辑器功能,可让您更改主题和插件。 您可以通过转到AppearancesPlugins下的Editor仪表板来找到它。

当黑客访问您的网站时,他们可以到这里插入恶意代码——您甚至不会知道它,直到为时已晚。

在您发现有问题之前,对抗此类攻击的最佳方法是禁用编辑插件和主题的功能。

6. 更新您的网站

保护您的 WordPress 网站可以做的最简单的事情之一就是确保它不时保持更新。

当有新的更新出现时,这意味着开发人员发现了一个他们认为足够重要的缺陷,可以进行修补。 不缩小这个差距会让你很容易受到他们看到的缺陷的影响,让知道如何绕过这种缺陷的人很容易利用你。

插件和 PHP 也是如此——它们也可以更新,并且应该在收到通知后立即更新。 这是我们将 WordPress 网站升级到最新 PHP 版本的指南。

请注意,在对您的 WordPress 网站进行任何更新之前,强烈建议您创建整个网站的备份。

7. 禁用 XML-RPC 功能

随着 WordPress 的推出,自动包含 XML-RPC 功能。

如果我们不看看它的好的方面,这将是不友好的。 毕竟,这就是使您的 WordPress 帐户与您的移动和桌面应用程序无缝连接变得容易的原因。

但是,它也使得蛮力攻击很容易以更快的速度发生。

例如,当您启用该功能时,黑客不需要猜测 500 次密码。 他们需要做的只是使用system.multicall函数发出大约 50 个请求,然后他们就可以在同一时间范围内尝试数千个密码。

对此的简单解决方法是禁用该功能,尤其是在您不使用它的情况下。

8. 注销空闲用户

并非每次黑客都需要从远程位置访问您的网站。 如果您的网站上有多个用户,那么这样的黑客可能会四处游荡,直到用户离开他们的计算机。

这就是为什么你永远不应该让任何人在仪表板区域闲置太久。 如果您观察过许多银行和金融网站,这与他们用来保护用户数据安全的模型相同。

完成此操作的方法之一是安装 Idle User Logout 插件。 配置它以说明您希望每个用户在需要再次登录之前花费空闲的时间,然后您就可以开始了。

说了这么多,做好最坏的准备是个好习惯。 虽然您必须执行上述操作,但请确保您不时备份您的网站,您可以使用免费的备份插件(如我们的 WPvivid 备份插件)轻松完成此操作。 这样,如果发生任何事情,您始终可以从最后一个备份点恢复。

不过,我们不希望你这样。

有一些我们在此处未提及的用于保护您的 WordPress 网站的提示吗? 请在评论中让我们知道它们。

本文涵盖了 WordPress 保护的最基本步骤,我们还创建了一份终极指南,介绍如何从您可能还需要的各个方面保护 WordPress 网站。