WordPress 安全审核:保护网站的 7 个简单步骤

已发表: 2020-07-06

您的网站面临的风险比您想象的要大。 别担心! 在这场比赛中,你并不孤单。 大多数人认为他们的网站是安全的,但实际上并非如此。

难怪您的 WordPress 网站可能会因为您的一些常见错误而被黑客入侵。 这甚至可能发生在未更新到较新的 WordPress 版本并缺少关键安全功能的情况下。

超过 70% 的 WordPress 安装容易受到黑客攻击。

– WP白色安全

但是,有一些有效的方法可以解决始终笼罩在您网站上的迫在眉睫的安全风险。 就像永远存在的威胁一样,您必须通过执行定期安全审计来监控您的网站。 它可以使您免于从数据泄露到勒索软件等许多潜在威胁。

在本文中,我们将展示一些简单的方法来保护您的网站免受黑客或任何不需要的实例的侵害。

表中的内容

  • 什么是 WordPress 安全审计?
  • 为什么定期安全审计对您的网站很重要?
  • 执行 WordPress 安全审计
    • 手动执行 WordPress 安全审核
      • 检查任何更新
      • 保留并检查 WordPress 备份
      • 评估管理员帐户漏洞
      • 检查用户和帐户
      • 删除不必要的插件
      • 卸载未使用的主题
      • 运行安全扫描
    • 使用插件执行 WordPress 安全审计
      • WP活动日志
      • Wordfence 安全

什么是 WordPress 安全审计?

How to Perform WordPress Security Audit

您的网站可能因多种原因而受到威胁。 例如,过时的插件或主题可能会被黑客利用。 或者您网站的一位管理员可能设置了一个弱密码,该密码可能被外人破坏。 这就是为什么您需要有一个清单来检查您宝贵的 WordPress 网站可能存在的所有安全漏洞。

简而言之,WordPress 安全审计是定期检查您的网站是否存在任何类型的恶意活动或安全风险的操作。

为什么定期安全审计对您的网站很重要?

人们通常不会认真对待网站安全。 大多数网站所有者认为 WordPress 有足够的能力来保护在其平台上构建的所有网站的安全性。 其他人似乎认为他们的网站没有什么特别值得入侵的,所以谁会入侵他们的网站。

Hackers Can use Your Site in Many Ways
黑客可以通过多种方式使用您的网站

但黑客并不总是入侵网站以获取您的数据。 当您的网站被黑客入侵时,黑客可以将其用于许多恶意活动,例如 -

  • 挖掘加密货币
  • 托管网络钓鱼页面
  • 发送垃圾邮件
  • 通过您的网站运行自己的程序
  • 索要赎金,也称为勒索软件
  • 将您的流量重定向到可能危及其安全的网站

因此,如果您认为您的网站是安全的,因为它没有任何敏感数据,请三思而后行!

此外,虽然 WordPress 本身是一个非常安全的平台,但除非用户与他们合作,否则它无法保护您的网站。 据 WordPress 称,只有 41% 的用户使用其平台的最新版本。 由于较新版本带有安全更新以及其他功能,因此较旧版本更容易出现安全漏洞。

WordPress Versions in Use Right Now
现在使用的 WordPress 版本(来源:WordPress)

考虑到上述所有事实,很明显,除非您定期进行 WordPress 网站审核,否则您的网站安全性并非牢不可破。

如何执行 WordPress 安全审核(手动审核的 7 个简单步骤)

您的网站可能因多种原因遭到破坏,因此您在执行安全审核时不能不遗余力。 在进行安全审计时,请始终维护一份例行检查表,以确保所有潜在漏洞都被覆盖。 为了您的方便,我列出了您在执行安全审核时必须检查的事项。

您可以手动或使用 WordPress 审计插件执行操作。 我将首先向您展示手动方式,稍后,我将讨论您可以使用替代方式自动执行安全审计的一些插件。

如果您不想使用插件,因为其中许多插件似乎会降低您的页面速度,您可以在您的 WordPress 网站上执行手动安全审核。 只需按照以下步骤确保您的网站处于正确的轨道上。

1.检查最新更新

保持网站更新是保护网站的最佳方式之一。 您可能认为 WordPress 更新都是关于新功能的,您甚至可能不喜欢其中的一些。 但无论如何,您应该在对您的站点执行安全审核时检查并安装更新。

保持 WordPress 版本更新的原因是更新的版本总是带有新的安全补丁。 WordPress 安全团队与世界各地的顶级安全专家合作,以确保平台安全无虞。

您可以从WP Admin Dashboard > Dashboard > Updates检查 WordPress 更新

WordPress Updates


除了 WordPress 更新,您还应该检查您的插件和主题是否有任何更新。 请记住,黑客还可以利用您的插件或主题上的任何漏洞进入您的网站。 因此,我建议您定期检查和更新所有插件和主题。 您可以在与 WordPress 更新相同的页面上找到插件和主题更新选项。

2. 保存和检查 WordPress 备份

定期备份您的网站会派上用场,以防您的网站被黑客入侵或因恶意软件而丢失任何数据。

优质的托管服务提供商通常会提供自动备份服务。 但即使您的托管服务提供商提供自动备份服务,您也应该为 WordPress 安装优质备份插件,以确保定期备份您的网站和所有数据。

安装备份插件后,在每次安全审计期间,检查备份是否正常运行。

3. 评估管理员账户漏洞

12345、123456、123456789,这三个是2019年最流行的密码。NordPass从网上泄露的5亿个密码中整理出来的一份名单,对所有流行密码进行了排名,其中前10名如下图所示。

Most Popular Password in 2019
2019 年最受欢迎的密码(来源:NordPass)

如果您的一位管理员设置了这样的密码,您的网站很可能很快就会出现违规行为。 选择一个强密码,最好是 WordPress 建议的密码。 如果您是一个容易忘记事情的人,那么有很多密码管理器应用程序可以存储您的密码。

在安全审核期间要确保的另一件重要事情是没有管理员设置用户名admin 。 它是 WordPress 上最常见的用户名,当然不应该使用。

4.检查用户和帐户

如果您有论坛或电商网站需要用户注册,则需要在安全审核时检查是否有可疑用户。 您可以从WP Admin Dashboard > Users > All Users中找到所有用户的列表

但是,如果您有其他类型的网站并且不需要访问者注册,我建议您从WP 管理仪表板 > 常规 > 任何人都可以注册关闭任何人都可以注册的选项

Turning Off Anyone Can Register Option


5.删除不必要的插件

在网站上安装大量插件不仅占用空间,而且还构成安全威胁。 当您不再需要插件时,最好将其卸载。

Removing Unnecessary Plugins


旧插件通常会在您的网站上打开安全漏洞。 最好完全删除它们,而不是仅仅停用它们。

6.卸载未使用的主题

在安装 WordPress 时,他们会打包一个默认主题来启动网站。 但在那之后,我们都随心所欲地改变我们的主题。 有时我们会安装几个从未使用过的 WordPress 主题。 像旧插件一样,这些旧主题可能会在以后引起问题。 仅出于备份目的,我通常只保留一个主题,而不是我使用的主题。

7. 运行安全扫描

我们快完成了。 是时候使用安全插件进行最后的恶意软件检查了。 有很多 WordPress 的安全插件可以在这方面为您提供帮助。

在您的网站上安装安全插件后。 运行全面扫描,看看您的网站上是否有任何恶意软件。 选择一个插件,该插件还可以处理暴力登录尝试,以防止对您的网站进行实时攻击。

如何使用插件执行 WordPress 安全审计

如果您不想手动完成所有任务,还有另一种方法来执行您的基本 WordPress 安全审核。 有一些非常好的安全插件可用于 WordPress 网站,可以自动完成上述所有任务。

WP活动日志

wordpress security audit plugin

WP 活动日志是在您的网站上执行安全审核的最受欢迎的插件之一。 它监控您网站上所做的每一项更改,并对任何可疑活动发出警告。

您可以检查登录用户的数量、他们的活动以及他们的 IP 地址。 您可以限制登录尝试次数,还可以解决您网站上的任何问题。 总的来说,这是一个可靠的插件,可以移交您的职责。

Wordfence 安全

wordpress security audit plugin

Wordfence Security 是 WordPress 有史以来下载次数最多的安全插件。 它具有一系列安全功能,可以确保您的网站受到保护。

Wordfence Security 具有实时恶意软件扫描程序。 它可以检查核心文件、主题和插件是否存在恶意软件、不良 URL、后门、SEO 垃圾邮件、恶意重定向和代码注入。

您还可以使用此插件以及其他一些有用的功能来监控实时流量。

包起来

WordPress 是构建网站的最安全平台之一。 如果您密切关注常见的安全漏洞,入侵您的网站将是不可能的。 通过执行定期安全审计,您可以轻松跟踪您的网站可能存在的所有安全漏洞。

如果您确定您的网站安全并想了解更多信息,请参阅另一个博客,了解对 WordPress 安全有效的内容。

如果您对本博客有任何疑问,请在下方发表评论。 我们将很乐意回复您的任何询问。