• 主页
  • 文章
  • 指导
  • WordPress 安全性:2022 年保护 WordPress 网站的最佳方法

WordPress 安全性:2022 年保护 WordPress 网站的最佳方法

已发表: 2022-03-09

WordPress 安全性是所有网站所有者的一个大问题。 每天,Google 都会将10,000 多个网站列入恶意软件黑名单,每周将50,000 个网站列入网络钓鱼黑名单。

如果您担心网站的安全性,则应遵循 WordPress 安全最佳实践。

在这篇文章中,我们将介绍所有最好的 WordPress 安全方法,以帮助您保护您的网站免受黑客和恶意软件的侵害。

虽然 WordPress 核心软件非常安全,并且数百名开发人员定期对其进行审核,但您仍然可以做很多事情来确保您的网站安全。

作为网站所有者,您可以做几件事来提高 WordPress 的安全性。

您可以采取几个可行的步骤来保护您的 WordPress 网站免受安全漏洞的影响。

让我们开始吧。

为什么 WordPress 网站安全很重要?

被黑的 WordPress 网站可能会严重损害您的业务收入和声誉。 黑客可以窃取用户信息密码、安装有害软件,甚至用恶意软件感染您的用户。

最糟糕的是,您可能被迫向黑客支付勒索软件以恢复对您网站的访问权限。

谷歌在 2016 年 3 月宣布,超过 5000 万互联网访问者被告知他们访问的网站可能包含恶意软件或窃取信息。

此外,每天,Google 都会将大约10,000多个恶意软件网站和大约50,000 个网络钓鱼网站列入黑名单。

如果您正在运营一个商业网站,您需要特别注意 WordPress 的安全性。

最常见的 WordPress 安全问题

最常见的 WordPress 安全漏洞发生在您的网站被黑客入侵之前或之后不久。 黑客旨在通过前端(您的 WordPress 仪表板)或从服务器端(插入脚本或恶意文件)获取未经授权的管理员访问您的 WordPress 站点。

以下是您应该注意的前五个 WordPress 安全问题:

1.蛮力攻击

WordPress蛮力攻击是指反复输入不同的用户名和密码组合,直到找到组合成功的过程。 蛮力攻击方法利用访问您网站的最简单方法:您的 WordPress 登录页面。

默认情况下,WordPress 不限制登录尝试。 因此,机器人可以使用蛮力攻击方法来攻击您的 WordPress 登录页面。 即使蛮力攻击失败,它仍然可能通过超载您的系统和减慢您的网站对您的服务器造成严重破坏。

2. 跨站脚本(XSS)

跨站脚本 (XSS) 攻击占 2021 年发现的所有 WordPress 安全漏洞的 54.4%。在 WordPress 插件中发现的最常见漏洞是跨站脚本。

跨站脚本的基本方法如下:攻击者想办法说服受害者将易受攻击的javascript脚本加载到他们的网页中。 这些脚本在访问者不知情的情况下被加载,然后被利用从他们的浏览器中窃取信息。 似乎在您的网站上的被劫持表单是跨站点脚本攻击的一个示例。 如果用户填写表格,XSS 将获取他们的信息。

3. 文件包含漏洞

在暴力攻击之后,攻击者利用的最常见的安全漏洞是您的 WordPress 网站的 PHP 代码中的弱点。

当易受攻击的代码用于加载外部文件时,就会出现文件包含漏洞,从而使攻击者可以访问您的网站。 文件包含攻击是攻击者获取 WordPress 网站的 wp-config.php 文件访问权限的最常用方法之一,该文件是 WordPress 安装中最重要的文件之一。

4. SQL 注入

MySQL 数据库用于运行您的 WordPress 网站。 当攻击者获得对您的 WordPress 数据库以及您网站上所有数据的访问权限时,就会发生 SQL 注入。

攻击者可能能够通过 SQL 注入建立一个新的管理员级用户帐户,然后可以使用该帐户登录并完全控制您的 WordPress 网站。 SQL 注入还可用于将新数据(例如指向恶意网站或垃圾邮件网站的链接)输入您的数据库。

5. 恶意软件

恶意软件是用于未经授权访问网站以收集敏感信息的代码。 被黑的 WordPress 网站通常表明恶意软件已被放入您网站的文件中; 因此,如果您怀疑网站上有恶意软件,请检查最近更改的文件。

尽管互联网上有不同类型的恶意软件攻击,但 WordPress 并非易受所有这些攻击。 以下是四种最常见的 WordPress 恶意软件感染:

  • 后门
  • 路过式下载
  • 制药黑客
  • 恶意重定向

通过手动卸载恶意文件、安装新版本的 WordPress 或从以前未受感染的备份中恢复 WordPress 站点,可以轻松识别和删除这些形式的恶意软件。

WordPress 安全指南 2022

仅实施一两个 WordPress 安全措施不足以确保您的 WordPress 网站的安全。 以下是 2022 年保护 WordPress 网站的一些最佳方法。

1.定期更新WordPress版本

WordPress 会定期提供软件更新以提高速度和安全性。 这些升级还有助于保护您的网站免受网络攻击。

提高 WordPress 安全性的最简单方法之一是更新您的 WordPress 版本。 然而,超过一半的 WordPress 网站使用的是旧版本的软件,这使得它们更容易受到攻击。

要查看您是否拥有最新的 WordPress 版本,请转到 WordPress 管理区域左侧菜单面板上的仪表板 -> 更新。 如果显示您的版本已过期,建议您尽快更新。

2.使用强密码

用户犯的最基本的错误之一是使用容易猜到的用户名,例如“admin”、 “administrator”“test”。 因此,您的网站更容易受到暴力攻击。 此外,攻击者使用这种方法来攻击具有弱密码的 WordPress 站点。

因此,我们建议您使您的用户名和密码更加复杂和独特。

如果您需要帮助创建强密码,请使用 LastPass 和 1Password 等在线工具。 他们的密码管理服务也可用于安全地存储强密码。 您不必以这种方式记住它们。

在登录之前检查网络以确保您的站点的安全性也很重要。 如果您错误地链接到Hotspot Honeypot (一个由黑客运行的网络),您就有可能将您的登录详细信息暴露给运营商。

即使是公共网络,例如学校图书馆的 WiFi ,也可能不像看起来那么安全。 黑客可以拦截您的连接并窃取未加密的数据,例如登录密码。

因此,无论何时您连接到公共网络,我们都建议您使用 VPN 。 它对连接进行加密,使拦截数据和保护您的在线活动变得更加困难。

3. 投资安全的 WordPress 托管

您的 WordPress 托管服务是 WordPress 网站安全性的最重要方面。 出色的共享托管服务,例如 Bluehost 或 Siteground,将超越并保护其服务器免受常见威胁。

以下是优秀的网络托管服务提供商如何在后台保护您的网站和数据。

  • 他们密切关注他们的网络是否有任何可疑活动。
  • 所有优秀的托管公司都有防止大规模 DDOS 攻击的系统。
  • 为了防止黑客利用旧版本中的已知安全漏洞,他们将服务器软件、PHP 版本和硬件保持在最新状态。
  • 他们有准备部署的灾难恢复和事故计划,使他们能够在发生重大事故时保护您的数据。

当您选择共享托管计划时,您将与许多其他人共享服务器资源。 这增加了跨站点污染的风险,当黑客使用附近的站点攻击您的网站时,就会发生这种情况。

使用托管 WordPress 托管服务提供商可确保您的网站更加安全。 托管 WordPress 托管公司包括自动备份、自动 WordPress 升级和更多增强的安全设置,以保护您的网站。

4. 定期备份 WordPress

在 WordPress 攻击的情况下,备份是您的第一道安全线。

如果出现问题,备份使您能够轻松恢复您的 WordPress 网站。

您可以使用许多免费和高级的 WordPress 备份插件。 关于备份要记住的最重要的一点是,您必须定期将全站点备份保存到远程位置(而不是您的主机帐户)。

我们建议使用 Amazon、Dropbox 等云提供商或 Stash 等私有云来存储它。

根据您更新网站的频率,理想的设置可能是每天一次或实时备份。

值得庆幸的是,像 UpdraftPlus 这样的插件让这一切变得简单。 它也是 WordPress 网站的必备插件。 UpdraftPlus 是可靠的,最重要的是,使用简单(无需编码)。

5. 使用 WordPress 安全插件

对 WordPress 网站的恶意软件攻击非常普遍。 如果您不手动监控您网站的源代码,您甚至可能不知道您的代码已被感染。

不幸的是,您需要知道如何编写代码来解决这个问题。 但是,有一种更好更直接的方法。 WordPress 安全插件旨在检测和删除您网站中的有害代码和病毒。

最好的部分是它们全天候运行,您无需做任何事情。 Sucuri 和 Wordfence 是两个最流行的 WordPress 安全插件。

6. 启用 Web 应用程序防火墙 (WAF)

保护您的网站并确保您的 WordPress 安全的最佳方法是使用 Web 应用程序防火墙 (WAF)。

网站防火墙会在所有有害流量到达您的网站之前阻止它。

DNS 级网站防火墙 –这些防火墙通过云代理服务器过滤您的网站流量。 因此,它们只能向您的 Web 服务器提供真正的流量。

应用程序级防火墙——这些防火墙插件在流量到达您的服务器后检查流量,但在大多数 WordPress 脚本加载之前。 在最小化服务器负载方面,该解决方案不如 DNS 级防火墙有效。

为此,您可以使用 Sucuri 作为 WordPress 的最佳 Web 应用程序防火墙。

Sucuri 防火墙的最佳功能是它包括恶意软件清理和黑名单删除保证。 基本上,如果您的网站在他们监控时被黑客入侵,他们保证会修复它。

7. 安装 SSL 证书

SSL 是一种数据传输协议,可对网站与其访问者之间发送的数据进行加密,使黑客难以窃取敏感信息。

SSL 证书还改善了网站的搜索引擎优化 (SEO),这有助于吸引更多访问者。

具有 SSL 证书的网站将使用 HTTPS 而不是 HTTP,使其易于识别。

开始为所有 WordPress 网站使用 SSL 现在比以往任何时候都容易。 许多托管公司现在为您的 WordPress 网站提供免费的 SSL 证书。

8.更改默认的“admin”用户名

WordPress 中的默认用户名是 admin,许多网站所有者从不费心去更改它。

因此,当黑客开始攻击您的网站时,他们将尝试的第一个用户名是 admin。 如果知道该名称,他们现在所要做的就是猜测密码。

因此,您应该避免在您的 WordPress 网站上使用该用户名。

9. 限制登录尝试

WordPress 允许用户无限次尝试登录网站。 然而,这对于黑客来说是一个好兆头,他们可以通过尝试多个密码组合,直到他们找到正确的密码组合来强行进入系统。

为了避免对网站的此类攻击,对失败的登录尝试设置限制至关重要。 限制失败的尝试还有助于检测您网站上的任何可疑活动。

大多数用户只需要一次尝试或几次失败的尝试; 因此,应避免达到尝试限制的可疑 IP 地址。

使用插件是限制登录尝试的一种方法,从而提高了 WordPress 的安全性。 您可以为此使用登录锁定 WordPress 插件。

10.禁用文件编辑

WordPress 有一个内置的代码编辑器,可让您直接从 WordPress 管理区域更改主题和插件文件。 此功能在坏人手中可能会带来安全问题,这就是我们建议将其关闭的原因。

您可以通过将以下代码插入到wp-config.php文件中来执行此操作。 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

11.启用双重身份验证

双因素身份验证方法要求用户使用两步身份验证过程登录。

第一步是输入您的用户名和密码,第二步是使用不同的设备或应用程序进行身份验证。

大多数顶级在线平台,例如 Google、Facebook 和 Twitter,都允许您为您的帐户激活它。 您可以轻松地将相同的功能包含到您的 WordPress 网站中。

您可以为此使用 Google Authenticator 或两因素身份验证 WordPress 插件。

12. 更改默认的 WordPress 数据库前缀

WordPress 数据库包含并保存您的网站运行所需的所有信息。

因此,黑客通常使用 SQL 注入攻击来攻击数据库。 这种方法将恶意软件注入数据库,允许攻击者绕过 WordPress 安全并获取数据库内容。

SQL 注入用于大约一半的网络攻击,使其成为最严重的威胁之一。

由于许多用户未能更改默认数据库前缀wp_ ,因此黑客执行了此破解。 这就是为什么我们建议更改它。

13.禁用目录索引和浏览

黑客可以通过目录浏览来查看您是否有任何具有已知漏洞的文件,然后利用这些文件来获取访问权限。

用户还可以使用目录浏览来查看您的文件、复制图像、找出您的目录结构以及获取其他一些信息。

因此,强烈建议您禁用目录索引和浏览。

您必须通过 FTP 或 cPanel 中的文件管理器连接到您的网站。 然后,在您网站的根目录中,查找.htaccess文件。

然后,在.htaccess文件的底部,添加以下行:

Options -Indexes

不要忘记将.htaccess文件保存上传回您的站点。

14. 禁用 XML-RPC

XML-RPC 在 WordPress 3.5 中默认启用,因为它有助于将 WordPress 站点与 Web 和移动应用程序连接起来。

由于其强大的特性,XML-RPC 可能会大大增加暴力攻击。

例如,如果黑客想在您的网站上尝试 100 个不同的密码,他们必须进行 100 次不同的登录尝试,登录锁定插件会捕获并拒绝这些尝试。

然而,使用 XML-RPC,黑客可能会使用 system.multicall 函数通过 20 或 50 个请求尝试数千种不同的密码。

15. 自动注销空闲用户

许多人忘记退出网站,他们的会话继续运行。

因此,使用同一设备的其他人将能够访问他们的用户帐户,并可能滥用个人信息。 这尤其适用于那些在网吧或图书馆等场所使用公共计算机的人。

因此,设置您的 WordPress 网站以使不活跃的用户立即注销至关重要。

大多数银行网站都使用这种策略来防止不受欢迎的用户访问他们的网站,从而确保客户信息的安全。

自动注销非活动用户帐户的最简单方法之一是使用 WordPress 安全插件,例如 Inactive Logout。 除了终止非活动用户外,此插件可能会发送自定义消息以通知空闲用户他们的网站会话即将到期。

16. 更改 WordPress 登录页面 URL

要进一步保护您的 WordPress 网站免受暴力攻击,请考虑更改登录页面的 URL。

所有 WordPress 站点的默认登录 URL 是yourdomain.com/wp-admin 。 如果您使用默认登录 URL,黑客可以轻松地瞄准您的登录页面。

WPS 隐藏登录和更改 wp-admin 登录等插件启用自定义登录 URL 设置。

17.隐藏WordPress版本

隐藏您的 WordPress 版本再次通过默默无闻的方式提出了 WordPress 安全性的话题。 了解您的 WordPress 网站设置的人越少越好。 如果黑客发现您安装了过时的 WordPress,这可能是一个受欢迎的迹象。

默认情况下,WordPress 版本显示在您网站源代码的标题中。 同样,我们建议您始终保持 WordPress 安装处于最新状态,这样您就不必担心了。

您可以使用以下代码删除 WordPress 版本。 只需将其添加到您的 WordPress 主题的functions.php文件中。 function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');

18. 更新到最新版本的 PHP

更新到最新版本的 PHP 是确保 WordPress 网站安全的最重要的事情之一。

升级准备好后,WordPress 将通过仪表板告诉您。 然后它会将您重定向到您的主机帐户,您可以在其中升级到最新的 PHP 版本。

如果您不知道如何升级您的主机帐户,请联系您的 Web 开发人员。

19. 执行定期安全扫描

如果您使用 WordPress 安全插件,它会定期扫描您的网站以查找恶意软件和安全漏洞信号。

但是,如果您发现网站流量或搜索排名大幅下降,则应手动执行扫描。 为此,您可以使用 WordPress 安全插件或使用一些在线工具,如 Sucuri SiteCheck 或 IsItWP 安全扫描器。

运行这些在线扫描工具非常简单。 只需输入您的网站 URL,它们的爬虫就会通过您的网站寻找已知病毒和有害代码。

请记住,大多数 WordPress 安全扫描程序只能扫描您的网站。 他们无法删除恶意软件或清理被黑的 WordPress 网站。

20. 删除未使用的 WordPress 插件和主题

在您的网站上使用未使用的插件和主题可能很危险,尤其是在它们尚未更新的情况下。

黑客可以使用过时的插件和主题来访问您的网站,从而增加网络攻击的风险。

21. 使用安全的 WordPress 主题

无效的 WordPress 主题是原始高级主题的非法副本。 大多数时候,这些主题以较低的价格出售以吸引用户。 但是,它们有时会遇到一些安全问题。

由于无效主题是非法发布的,因此它们的用户不会从开发人员那里得到任何帮助。 这意味着如果您的网站有任何问题,您必须自己找出解决问题的方法并保护您的 WordPress 网站。

为避免成为黑客目标,我们建议使用来自官方存储库或信誉良好的开发人员的 WordPress 主题。 或者,您可以在 ThemeForest 等官方主题市场上寻找第三方主题,该市场拥有数百个高级 WordPress 主题。

WordPress网站安全:最后的想法

WordPress 是一种流行且强大的内容管理系统,它使任何人都可以轻松创建网站。 然而,由于它被广泛使用,它已成为黑客的热门目标。

幸运的是,您可以采取几个步骤来保护您的 WordPress 网站。 但是,请记住,您不必执行上面列出的所有操作。 如果您遵循基本的最佳实践,您将在竞争中遥遥领先。

在那之后,做你能做的并且觉得有能力做的事。 安全是一项持续的努力,而不是一次性事件。 你总是可以做得更多,但开始是必不可少的。

就这样; 我们希望我们的帖子能帮助您了解最好的 WordPress 安全提示,以保护您的 WordPress 网站。 如果您喜欢这篇文章,您可能还想阅读:

  • 保护您网站的最佳 WordPress 安全插件
  • 提高您的 SEO 排名的 WordPress SEO 技巧
  • 如何在 2022 年加速 WordPress 网站