WordPress 安全 - 完整分步指南(2020)- MalCare
已发表: 2023-04-21有充分的理由担心您网站的安全性。 报告告诉我们,每天每分钟在 WordPress 网站上进行超过 90,000 次黑客攻击尝试。
许多网站所有者可能认为他们的网站太小而无法引起黑客的注意。 事实是,由于小型网站对安全性的要求很宽松,因此黑客更容易破解小型网站。
无论大小——每个 WordPress 网站都需要采取安全措施。
幸运的是,您可以采取多种措施来保护您的网站免受黑客和机器人的侵害。 在本文中,我们将准确展示您需要采取哪些步骤来确保您的网站安全。
[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”最后的想法”]
网站安全的重要性
WordPress 是世界上最受欢迎的建站平台。 现在互联网上有 7500 万个 WordPress 网站,并且每天都在创建数百个新网站。 这种流行是有代价的。
使用它的人越多,它作为黑客目标的吸引力就越大。 Windows 是比 Apple 操作系统更大的目标。 Chrome 是比 Firefox 更大的攻击目标。 受欢迎程度会引起更多关注,无论好坏。
我们之前提到过小型网站所有者如何认为他们的网站具有免疫力并且不采取必要的预防措施,这使他们成为理想的目标。
当您的网站遭到黑客攻击时,黑客会利用网站进行恶意活动。 他们可能会对其他网站发起更大的攻击、发送垃圾邮件、存储盗版软件、注入垃圾邮件链接、销售非法产品、使用日本 SEO 垃圾邮件创建附属链接等等。
这就是问题的结束。 事情会像滚雪球一样迅速蔓延,搜索引擎会向用户提供欺骗性网站警告,并将您的网站列入黑名单。 报告告诉我们,Google 每周将 50,000 个网络钓鱼活动网站和大约 20,000 个包含恶意软件的网站列入黑名单!
除此之外,托管服务提供商还可以暂停您的帐户。 这意味着您的网站将关闭几天,这将对您的收入产生影响。 如果您等待太久才修复您的网站,它会对您的业务造成无法弥补的损害。
我们都同意采取安全预防措施比修复被黑的 WordPress 网站要好得多。
我们将向您展示如何保护您的网站,但在此之前我们想解决许多读者都在思考的问题。
[返回顶部↑]
但是 WordPress 不安全吗?
WordPress 核心是安全的。 WordPress 拥有一支由最优秀的开发人员组成的大军,他们孜孜不倦地工作以确保 WordPress 核心的安全。 他们不断改进技术并发布补丁和更新以修复任何故障或错误。
很长一段时间以来,WordPress 核心都没有出现任何重大漏洞。
尽管如此,每天每分钟仍有超过 90,000 次黑客尝试在 WordPress 网站上进行。 这背后有两个主要原因。
首先,WordPress 是一个非常受欢迎的平台。 互联网上约有 7500 万个网站建立在 WordPress 上,这吸引了来自世界各地的黑客组织的关注。
另一个原因是存在易受攻击和过时的主题和插件。 事实上,报告表明过时的主题和插件是更多 WordPress 妥协的主要原因。
(嘿——您可以在我们的WordPress 安全更新文章中阅读更多相关信息。)
因此,尽管您的 WordPress 是一个安全的平台,但还有其他因素可能导致网站遭到破坏。 因此,采取以下安全措施可以大大节省您的 WordPress 网站。
[返回顶部↑]
[ss_click_to_tweet 鸣叫=”???? 如果您认真对待自己的网站,请注意 WordPress 安全最佳实践。 ???? 内容=”” 样式=”默认”]
如何保护 WordPress 网站?
您可以采取 15 种不同的安全措施来保护您的 WordPress 网站。 那些是:
- 安装 WordPress 安全插件
- 定期备份
- 使用一个好的托管公司
- 使 WordPress 保持最新
- 使用 SSL 证书
- 保护您的 WordPress 登录页面
- 设置防火墙
- 强化您的网站
- 采用最小特权原则
- 阻止可疑 IP 地址
- 实施国家封锁
- 隐藏 WordPress 版本
- 检查活动日志
- 仅使用电子邮件地址登录
- 使用 HTTP 身份验证
让我们更深入地了解这些措施。
1. 安装 WordPress 安全插件
安全插件或服务的主要功能是扫描、清理和保护。 虽然有许多 WordPress 安全插件可供选择,但并非所有插件都有效。 有些可能提供许多功能,但它只会产生很多噪音。 经验丰富的黑客可以绕过此类安全插件来入侵您的网站。
MalCare 是最好的 WordPress 安全扫描插件之一。 这就是为什么 -
我。 MalCare 的恶意软件扫描程序
WordPress 恶意软件扫描程序需要资源来运行扫描。 许多扫描仪依赖于您的 Web 服务器的资源,但这会降低您网站的速度。
为了克服这一挑战,MalCare 使用自己的服务器资源来扫描您的网站。 它将您网站的文件传输到自己的服务器,然后在那里运行扫描。 此方法可确保您的网站在扫描过程中不受影响。
许多扫描器只寻找现有的恶意软件,这意味着它们会错过新类型的恶意软件。 MalCare 旨在识别所有类型的恶意软件,包括新的恶意软件。
二. MalCare 的恶意软件清除
MalCare 提供最快的恶意软件清除服务。 大多数 WordPress 安全服务都提供基于票证的清洁服务。 在这种情况下,如果您的网站被黑客入侵,您需要提出罚单,支付恶意软件清除费用,然后等待安全人员清理您的网站并回复您。 此过程非常耗时,并且涉及将您网站的访问权限授予第三方。
MalCare 的 Cleaner 的工作方式不同。 黑客入侵后,时间至关重要。 花费的时间越长,谷歌将您的网站列入黑名单或网络主机暂停您的网站的可能性就越大。 这就是为什么 MalCare 提供即时 WordPress 恶意软件删除来清理黑客网站的原因。 您需要做的就是单击一个按钮,坐下来让插件在几分钟内清理您的网站。
三. MalCare 的 WordPress 保护措施
到目前为止,我们提到的所有措施——从使用防火墙到国家/地区封锁再到强化您的网站,都是 MalCare 使您只需单击按钮即可采取的保护措施。
如何使用 MalCare?
- 要使用 MalCare,您需要先在您的网站上下载并安装该插件。
- 然后将您的站点添加到 MalCare 仪表板。 该插件将立即开始扫描您的网站。 如果它在您的网站上发现任何恶意文件,它会通知您。
- 您可以使用 MalCare 的自动清理按钮立即清理您的站点。
[返回顶部↑]
2.定期备份
备份是您的安全网。 如果您的网站出现问题,如果您有网站的副本,则可以将其恢复正常。
那里有很多备份插件。 由于可供选择的数量众多,很容易最终得到不合格的服务。 要选择正确的备份服务,您需要知道如何选择备份插件。
此外,审查备份插件将是一件耗时且昂贵的事情。 幸运的是,我们对市场上主要的 WordPress 备份插件进行了比较。 看看最好的 WordPress 备份插件。
[返回顶部↑]
3.使用好的托管公司
两个最受欢迎的托管服务提供商是共享托管和托管托管。
共享主机很受欢迎,因为它更便宜。 它使全球数百万人无需大笔投资即可创建自己的网站。 但在共享主机中,您与其他未知网站共享服务器。 通常,当一个网站遭到破坏时,同一服务器上的其他网站也会受到影响。 因此,尽管很受欢迎,共享托管服务提供商却没有足够的能力来处理威胁情况。
如果您负担得起专用服务器,请始终选择它。 它在保持 WordPress 网站安全方面做得更好。 您可以检查虚拟主机如何影响网站安全。
由于有许多托管服务提供商可供选择,我们对顶级 WordPress 托管进行了比较。 希望它能帮助您决定选择哪个虚拟主机提供商。
[返回顶部↑]
4. 保持 WordPress 网站处于最新状态
与任何其他软件、插件、主题甚至 WordPress 核心一样,随着时间的推移会出现漏洞。
当开发人员了解漏洞时,他们会以更新的形式发布补丁。 当网站所有者不更新他们的网站时,漏洞仍然存在。
发布补丁后,开发者公布更新原因,即漏洞公开。 黑客现在知道安全漏洞及其存在的版本。 他们知道并非每个网站所有者都会立即更新他们的网站,因此他们开始寻找运行易受攻击版本的网站。 这个时间间隔给了他们成功入侵大量网站的好机会。
举个例子,统计数据显示超过 80% 的网站因为没有更新而被黑!
您必须定期更新您的 WordPress 网站。 了解如何安全地更新您的 WordPress 网站。
您可能会注意到,有些插件和主题的开发人员很长时间没有更新了。 在大多数情况下,软件是被开发人员放弃的。 最好从您的网站上删除插件或主题并安装替代品。
[返回顶部↑]
5.使用SSL证书
快速浏览一下这个网站的网址。
注意到锁了吗? 此锁定意味着该站点正在使用 SSL 证书。 SSL 是一种安全套接字层,可在数据在浏览器和网站之间传输时对数据进行加密。
为什么? 因为从访问者的浏览器传输到您的网站的数据(如信用卡详细信息)可能会被拦截和窃取。 因此,即使数据被盗,如果它被加密,黑客也无法使用它。
这是一份指南,可帮助您在网站上安装 SSL 证书并将 WordPress 网站从 HTTP 迁移到 HTTPS。
[返回顶部↑]
6. 保护您的 WordPress 登录页面
登录页面是 WordPress 网站中最常受到攻击的部分之一。 黑客试图猜测登录凭据并访问 WordPress 管理区域,这将使他们能够完全控制网站。 因此,在您的 WordPress 登录页面上实施正确的保护非常重要。 让我们看看可以让您保护登录页面并提高 WordPress 登录安全性的不同技术。
我。 使用唯一的用户名
如果你的用户名很容易被猜到,那么黑客只需要弄清楚密码就可以了。 少了一件需要担心的事情,这让黑客的工作变得容易多了。
最常见的 WordPress 用户名之一是“admin”。 直到几年前,WordPress 还鼓励人们使用“admin”作为用户名。 尽管 WordPress 不再自动建议“admin”,但它仍然被广泛使用。 因此,您必须采取措施确保您的管理员避免使用“admin”作为用户名以及这些常用用户名。
每次创建新用户帐户时都要查阅此列表,这对确保您的 WordPress 安全大有帮助。 此外,如果您的任何现有用户正在使用通用用户名,请告诉他们更改它。 这是一份指南,他们会发现对如何更改 WordPress 用户名有帮助?
二. 更改您的显示名称
为了渗透您的网站,黑客会浏览您的网站并获取显示名称。 他们使用这些名称的不同组合来尝试登录。黑客知道拥有相同用户名和显示名称的情况并不少见。 例如,如果 Sophia Lawrence 是一个显示名称,他们可能会尝试使用sophialawrence或sophia.lawrence 或 sophia作为用户名登录。
因此,为了保护您的网站免受此影响,您可以更改您的显示名称。
转到“编辑我的个人资料” 。 然后更改您的“昵称” 。 保存更新。 现在,选择“公开显示名称” 。 出现一个下拉菜单,您将在其中看到新的显示名称。 选择它并保存设置。
如果黑客试图使用显示名称,他们将不可避免地失败。
[返回顶部↑]
三. 防止发现用户名
除了显示名称外,另一种可用于从您的网站发现用户名的方法是通过 WordPress Rest API。 这是一个严重的 WordPress 安全问题。 这个 WordPress 核心功能于 2016 年推出,允许任何人在您的网站上发现用户信息。 他们所需要做的就是运行一个简单的 URL: example.com/wp-json/wp/v2/users
为防止这种情况发生,请在 functions.php 文件中使用以下代码片段。 如果您尝试再次运行该 URL,它将隐藏用户列表并返回 500 错误。
[php]
add_filter('rest_endpoints',函数($endpoints){
如果(isset($endpoints['/wp/v2/users'])){
取消设置($endpoints['/wp/v2/users']);
}
如果 ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {
取消设置( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );
}
返回 $ 端点;
});
[/php]
用户名是登录凭证的两个组成部分之一。 让我们看看第二个组成部分——密码,并尝试弄清楚如何保护它免受黑客攻击。
[返回顶部↑]
四. 强制使用强密码
任何密码都可以保护我的网站,这还不够吗? 答案是否定的,因为黑客不断尝试猜测 WordPress 网站的密码以闯入。
他们使用一种称为暴力攻击的技术,在这种技术中,他们对机器人进行编程,使其在几分钟内尝试进行数百万次登录尝试来猜测您的凭据。
如果您使用像Passw0rd123$这样简单的密码,机器人会在几次猜测后破解它。 这就是为什么拥有一个独特且复杂的密码很重要。
WordPress 鼓励用户自动生成强密码,但您仍然可以使用弱密码创建帐户。 因此,使用强密码的责任就落在了您的肩上。
您可以教育您的 WordPress 管理员使用强密码。 设置强密码的准则如下:
– 创建长密码
通常,超过 8-10 个字符的密码被认为是强密码,通常难以破解。 您添加到密码中的每个字符都会使其更强大。 然而,在过去几年中,密码破解技术有了长足的进步。 因此,许多 WordPress 安全人员建议使用长度为 15 个字符的密码。
- 长密码: pd&&)xG56ZhLNrjl4jjNJ4#h(难记)
- 长密码: Its wolf was white as you know nothing John Snow(容易记住)
– 使用大写、小写和特殊字符的组合
在暴力攻击中,机器人被编程为执行密码破解程序。 他们遵循特定的指示,例如,他们会尝试通过组合不同的小写字母(“a”、“b”、“c”等)来猜测正确的密码。 使用像“testpass”这样简单的密码意味着他们只需尝试几次就可以破解密码。
因此,如果您同时使用小写和大写字符的组合,他们将需要很长时间才能找出密码。 然而,一个真正编程良好的机器人每秒可以尝试几百万个密码。 因此,混合使用特殊字符、数字、小写字母和大写字母应该可以理想地使密码难以预测且难以破解。
- 添加上限 - TestPass
- 添加数字和符号 – TestPass123$
– 避免使用常用词和公开的细节
“测试”、“管理员”、“登录”等常用词是 WordPress 用户倾向于使用的常用词。 这些是机器人首先尝试的一些密码,因此请避免使用它们。 根据 Splashdata 的信息图,最常用的前 25 个密码是:
- 常见的运动和兴趣,如“棒球”、“足球”、“星球大战”、“公主”、“独唱”等。
- 按顺序排列的数字,如“87654321”、“0123456”等。
- 按顺序排列的字母,如“abc123”等。
以您的网站为目标的黑客可能会从您的网站获取详细信息并进行尝试。 例如,如果您有一个围绕您最喜欢的电视节目《权力的游戏》建立的网站,机器人会尝试使用该短语的各种组合来闯入您的网站,例如“GoThrones123”或“gameofthrones123”。 为防止这种情况发生,请设计一个不提及与网站相关的任何内容的密码。
保护密码可以最大限度地减少安全漏洞的可能性。 但是强密码很难记住,除非你有一些技巧。
[返回顶部↑]
v. 基于验证码的保护
除了使用唯一的用户名和强密码外,使用验证码是另一种防止对 WordPress 网站进行暴力攻击的完美方法。
在一定次数的登录尝试失败后,将生成一个 CAPTCHA 以确定用户是人类还是机器人。 验证码被设计为机器人无法读取。 因此,它阻止了暴力攻击,因为机器人在解决验证码之前无法访问登录页面。
像 MalCare 这样的 WordPress 安全插件会生成基于图像的验证码,只能由真实的人类用户解决。
CAPTCHA 旨在防止黑客机器人破解您的凭据,非常棒。
[返回顶部↑]
六. 实施双因素身份验证
您是否注意到 Facebook 和 Gmail 等流行服务在用户尝试登录时如何对用户进行身份验证? 代码会发送到与您的帐户关联的智能手机,以帮助验证用户。 这称为双因素身份验证。
WordPress 不提供双因素身份验证。 因此,要在您的 WordPress 网站上实施此操作,您可以按照本指南了解如何添加 WordPress 双因素身份验证。
[返回顶部↑]
[ss_click_to_tweet tweet=”每天都有数百个网站遭到黑客攻击。 立即采取预防措施,保护您的网站免受黑客和机器人的侵害。 “内容=””样式=”默认”]
7.设置防火墙
在您网站上收到的数百次访问中,有些是恶意的。 这些访问者来到您的站点是为了寻找他们可以利用的漏洞来控制您的站点。
WordPress 防火墙会检查对您网站发出的每个访问者请求。 无论访问者使用什么设备——台式机、智能手机、平板电脑、笔记本电脑——每台设备都与一个 IP 地址相关联。 如果请求来自可疑 IP,访问者将被阻止,否则将被允许访问该站点。 一个好的防火墙是抵御恶意流量的第一道防线。
像 MalCare 提供的 WordPress 防火墙插件带有一个高级防火墙,可以提供更好的安全性。 它不仅会检查您网站上的流量请求,还会记录不良流量。 这意味着当它遇到一个新的坏 IP 时,它会记录下来。 如果不良 IP 再次尝试访问您的网站,它会立即被阻止。
[返回顶部↑]
8. 强化你的网站
我们确定了黑客利用的 WordPress 网站的一些常见区域。 例如,可能会使用您的安全密钥来访问您的网站或在您的网站上安装恶意插件或主题。 为了保护您的网站免受黑客攻击,您需要采取措施来加强您的网站。
我们有一份指南可以帮助您采取 WordPress 强化措施。
[返回顶部↑]
9.采用最小特权原则
WordPress 提供 6 个默认的 WordPress 用户角色:管理员、编辑、作者、贡献者、订阅者和超级管理员。 必须仔细分配这些角色。 每个角色都有自己的一套权力和责任。 让我们来看看它们:
管理员位于层次结构的顶部。 他对网站拥有完全控制权,可以执行以下功能:
- 创建、编辑和删除内容
- 编辑插件和主题代码
- 管理所有插件和主题
- 创建、修改和删除用户帐户
随着层次结构的向下,权限会减少。 编辑不能进行重大更改,但他可以管理类别和链接、审核评论、创建、编辑和删除帖子以及页面。 作者、贡献者和订阅者的权限较少。
最高责任是管理员的责任,应将其权利授予您确信不会滥用权力的人。
如果错误的人获得了管理员权限,他们就可以利用这个角色。 他们可以安装流氓插件和主题、窃取您的数据并高价出售、存储非法文件和文件夹等。
[返回顶部↑]
10. 阻止可疑 IP 地址
如果您的网站上安装了 MalCare 等 WordPress 安全插件,请查看尝试登录失败的 IP 地址的日志。
请注意他们中的一些人如何使用常见的用户名(我们在“使用唯一用户名”部分中谈到了这一点),例如“adm2016”。 下图是在我们的一个网站上尝试登录失败的记录。
要阻止这些恶意 IP 地址,请将代码放入您的 .htaccess 文件中:
[php]
订单允许,拒绝
拒绝来自 61.134.52.164
允许所有
[/php]
将“61.134.52.164”替换为您要禁止的 IP 地址并保存文件。
[返回顶部↑]
11.实施国家封锁
万维网使黑客可以访问全球各地的网站。 他们可能位于俄罗斯,目标是来自纽约的网站。
统计数据显示,黑客攻击源头前五的国家分别是中国、美国、土耳其、巴西和俄罗斯。
如果您安装了 MalCare,则很容易检查试图登录您网站的用户。 你可以看到他们的原籍国。
如果您的用户仅位于美国,那么来自其他国家/地区的登录尝试很可能是恶意的。
在上图中,我们可以看到来自四个不同国家的登录尝试——美国、英国、俄罗斯和中国。
现在,如果您只针对美国等特定国家/地区,则不需要来自其他国家/地区的流量,因此您可以阻止英国、俄罗斯和中国。
要了解如何实施国家/地区封锁,请借助本指南了解如何在 WordPress 中封锁一个国家/地区?
[返回顶部↑]
12. 隐藏 WordPress 版本
黑客查明您是否有任何具有已知 WordPress 漏洞的文件的另一种方法是查找您正在使用的 WordPress 版本。 有时,网站所有者会错过新的 WordPress 更新,从而使他们的网站容易受到攻击。
黑客可以利用之前版本的核心 WordPress 安装中可能存在的任何漏洞。 因此,隐藏您正在使用的 WordPress 版本可能会有用。
为此,您需要在 function.php 文件中放置一段代码。
第 1 步:登录您的主持人帐户。 访问 cPanel > 文件管理器 > public_html。
第 2 步:在 public_html 文件夹中,访问 wp-content 并选择您的活动主题的文件夹。
例如,如果您使用默认的 WordPress 主题 Twenty-Nineteen,请选择名为“twenty ninesteen”的文件夹。
请注意,'personalblogily' 是我们当前使用我们网站的主题,您可以使用不同的主题。
第 3 步:右键单击 function.php 文件并选择编辑。 在这里,放置以下代码。
[php]
函数 wpbeginner_remove_version() {
返回 ”;
}
add_filter('the_generator', 'wpbeginner_remove_version');
[/php]
保存文件,这将删除 WordPress 版本号,使其不再显示在您网站的任何位置。
[返回顶部↑]
13. 检查活动日志
密切关注 WordPress 网站上发生的一切,可以让您及早发现可疑行为。 这将帮助您在任何可能的恶意黑客攻击真正发生并损坏您的 WordPress 网站之前阻止它们。
您可以通过安装一个插件来做到这一点,以在 WordPress 活动日志中记录您的 WordPress 网站上发生的所有事情。 您可以选择几种不同的插件。 WP Security Audit Log 就是这样一个插件。
14. 仅使用电子邮件地址登录
在 WordPress 登录页面,您可以使用您的用户名或电子邮件 ID 登录。因此,禁用用户名可以阻止黑客对您的网站执行暴力攻击。
有像 No Login by Email Address 这样的插件可以让您阻止使用用户名登录您的网站。
[返回顶部↑]
15. 使用 HTTP 认证
HTTP 身份验证为 WordPress 登录页面提供了一层保护,是实现 WordPress 安全的重要一步。 要访问该页面,用户需要输入 HTTP 凭据。 否则,将不允许他们访问您网站的登录页面。
诸如 HTTP Auth 之类的插件有助于在您的登录页面上设置此保护层。 请记住与您的用户共享 HTTP 身份验证凭据。 否则,他们会发现自己被锁定,无法登录您的站点。
这样,我们就结束了 WordPress 网站的高级安全措施。
[返回顶部↑]
常见但过时的 WordPress 安全措施
在 WordPress 安全领域,网站所有者往往会得到很多建议。 但其中一些建议并不是很有效。 我们将列出一些带有主要缺点的常见安全建议。 这些措施并不能真正保护您的网站,因为黑客已经找到了绕过这些措施的方法。
- 隐藏 WordPress 登录页面
- 设置密码过期
- 无活动时自动注销
1.隐藏WordPress登录页面
黑客很少针对单个网站。 他们对自动机器人进行编程以对 WordPress 登录页面发起攻击。 任何长期使用 WordPress 的人都知道 WordPress 网站带有一个默认的登录页面 URL,如下所示:' example.com/wp-admin' 。
这使得自动化机器人的工作变得更加容易。 因此,将您的网站登录页面更改为“example.com/wrongpage”之类的内容可能会转移迎面而来的攻击。
有几个插件可以帮助您隐藏您的 WordPress 登录页面,例如 WPS Hide Login、Hide WP-Admin 等。
缺点:虽然这可以轻松防止自动黑客攻击,但不能保证您的网站是安全的。 这主要是因为像 WPS Hide Login 这样的工具提供了一个默认的登录 URL。 因此,成千上万使用该工具的网站都使用相同的 URL 作为其登录页面。 黑客很容易找出URL格式并发起攻击。
此外,在未正确通知所有用户的情况下隐藏登录页面可能会非常不方便。 它甚至会花费您一天的工作时间。
[返回顶部↑]
2.设置密码过期
您一定已经注意到,在电子银行服务中,他们会在特定时间段过后要求您更改密码。 这是一项安全措施,可确保如果您的帐户被黑客入侵,黑客只会在有限的时间内利用您的帐户。 在您的 WordPress 网站上应用相同的措施可以减少损害。
使用过期密码插件,您可以将用户密码设置为在特定天数后过期。 所有用户都被迫更新他们的密码。
缺点:此措施确实提供了一定程度的安全性,但黑客会找到超越它的方法。 例如,当他们入侵您的网站时,他们会创建新的用户帐户或安装隐藏的后门。 因此,即使您定期更改密码,他们也已经创建了其他访问点。
[返回顶部↑]
3. 没有活动时自动注销
对于拥有多个用户的网站,滥用用户权利的可能性很高。 对于远程工作的用户来说甚至更高。 用户可能不得不离开办公桌去处理紧急事务而忘记注销。
如果有人在此期间滥用网站怎么办? 为降低此类滥用的风险,您可以将 WordPress 网站设置为在用户长时间不活动时自动注销用户。
Inactive Logout 插件提供了 Idle Session Logout 功能。 这允许您设置可接受的不活动时间段,例如 10 或 20 分钟,之后用户将自动注销。
缺点:但是如果有人想窥探您的网站,他们很可能会在用户离开后立即行动。 在这种情况下,注销闲置用户并不能防止滥用用户权利。
[返回顶部↑]
[ss_click_to_tweet tweet=”担心您的网站安全? ??? 采取这些可行的步骤来保护您的网站免受安全漏洞的侵害。” 内容=”” 样式=”默认”]
最后的想法
我们知道这真的是一篇很长的文章,而且也有点让人不知所措。 但在你想去小睡之前,我们建议你这样做——
- 收藏这篇文章。
- 与朋友和邻居分享 - 任何您认为会从遵循我们的指南中受益的人。
- 从我们的 WordPress 博客中查看更多指南,例如使用 wp-config.php 保护您的 WordPress 网站。
我们真诚地希望您发现本文对您有所帮助。 我们想留给您最后一个想法 – 采取所有这些安全措施可能会非常困难,因此我们建议运行定期的 WordPress 安全审核并选择高级 WordPress 安全插件,例如 MalCare 来为您处理安全问题。
借助 MalCare,您将可以使用防火墙、定期恶意软件扫描、WordPress 强化等出色的安全功能。 知道您网站的安全得到妥善处理,您就可以高枕无忧了。
立即试用我们的 WordPress 安全插件 – MalCare !