最佳 WordPress 安全清单 [终极指南]
已发表: 2022-04-22如果你想保护你的 WordPress 网站,你会在网上找到很多建议,其中一些是好的,一些是彻底的破坏性的,尽管是善意的。
当谈到 WordPress 安全性时,您需要能够信任您的来源并找到不仅可信而且可行且适用的信息。 仅在 2020 年,恶意软件攻击就增长了 150% 以上,而且这一数字似乎不会很快放缓。 因此,保护您的 WordPress 网站需要成为您的第一要务。
保护您的 WordPress 网站的最佳方法是安装一个安全插件并让它处理繁重的工作。 但即使没有,您仍然可以通过遵循下面讨论的 WordPress 安全检查表在很大程度上保护您的网站。
TL;DR:使用 MalCare 保护您的 WordPress 网站,并避免定期与安全相关的维护。 WordPress 安全性是您需要修补的迷宫般的漏洞。 请参阅我们的 WordPress 安全检查表,以确保您不会错过任何重要的事情。
保护您的 WordPress 网站的最简单方法
正如我们所说,保护 WordPress 网站的最佳方法是使用安全插件,特别是 MalCare。 MalCare 不仅自动处理 WordPress 安全清单,而且您无需担心跟踪每一个小细节。
MalCare 具有多项功能,可协同工作以确保您的网站安全。 但它的三大功能可确保您的网站没有恶意软件——扫描、防火墙和清理。 使用 MalCare,您可以在 WordPress 网站上安排自动扫描,并在检测到任何可疑情况时收到警报。 MalCare 还使用智能防火墙保护您的站点,阻止大多数攻击。 最重要的是,如果您的网站遭到黑客攻击——鉴于没有网站可以万无一失,MalCare 只需单击一个按钮即可在几分钟内清理您的网站。
您应该选择 MalCare 的另一个原因是,通过手动安全措施,总是有可能出现人为错误。 但是安全性错误可能给您带来的不仅仅是几美元。 如果黑客攻击变得更糟,它们可能会导致数据被盗、网站遭到破坏、客户流失,最重要的是,您的企业会失去信任。
终极 WordPress 安全清单
WordPress 网站有太多元素,以至于跟踪所有内容可能会让人不知所措。 我们根据您处理任务所需的时间频率为您编制了一份 WordPress 安全检查表。
日常安全
网站安全是一个持续的过程,不能是一次性的承诺。 但是有一些方法可以使日常任务自动化。 这些任务可确保您的站点免受任何意外问题或威胁的影响。
扫描您的网站
每天扫描您的网站以查找恶意软件非常重要。 互联网上每 38 秒就有一个网站被黑客入侵,您很有可能就是其中之一。 定期扫描您的网站可确保您是第一个知道您网站上的任何威胁或恶意软件的人,并帮助您在攻击者对您的网站造成任何损害之前采取行动。
如果每天手动扫描您的网站对您来说似乎很乏味,您可以选择像 MalCare 这样的安全解决方案,它允许您每天安排自动扫描,这样您就不必担心错过扫描或不得不亲自运行它们.
备份您的网站
备份 WordPress 网站的原因有很多,但其中最重要的是安全性。 如果未及时检测到,恶意软件可能会对您的 WordPress 网站造成严重破坏,从而导致数据丢失或网站损坏。 通常,如果网站被感染,网络主机会从其服务器中删除网站,除非您有网站的独立备份,否则您将不得不从头开始。
重要的是每天备份高价值网站,以免丢失任何重要内容。 对于需要实时备份的 WooCommerce 网站尤其如此。 像 BlogVault 这样的便捷解决方案可以让这个过程变得非常简单。 BlogVault 允许您每天或实时安排备份,具体取决于您的要求,并将这些备份存储在外部服务器上,这样即使您的网站服务器被黑客入侵,备份仍然保持安全。
每月安全
检查活动日志
恶意软件、广告软件或其他类型的恶意程序的黑客攻击和安装通常是秘密发生的。 通常,唯一可见的痕迹可以在您站点的活动日志中找到,这是按时间顺序记录的已执行活动和所做更改的记录。 因此,最好每月检查您网站的活动日志以查找任何不一致或可疑活动。 它可以帮助您追踪一些重要的细节,以防您的网站被黑客入侵,例如涉及哪些 IP 地址,以及它是如何发生的。
如果您的网站是一个高产量的网站,即您每天或每周发布内容,那么每月检查一次活动日志可能会让人不知所措,因为网站上有很多变化。 在这种情况下,您可以每周或每两周检查一次活动日志。
WordPress 默认不提供活动日志,因此您必须依赖插件。 或者,MalCare 为您提供详细且易于理解的活动日志以及完整的 WordPress 安全性。
更新您的网站
理想情况下,您应该在发布新更新后立即更新您的 WordPress 网站,但执行每月更新也可以。 通过遵守每月更新计划,您可以确保您的网站得到很好的保护,并且任何新漏洞都得到了修补。
更新通常很可怕,因为众所周知它们会破坏网站。 但是,如果您使用 BlogVault 之类的插件,您可以在临时站点上测试您的更新,并将更改与您的实时站点无缝合并。
检查搜索控制台
将您的 WordPress 网站添加到 Google 的 Search Console 有许多与 SEO 相关的好处,但它也可以帮助您的网站安全。 Google 的 Search Console 有一个安全问题标签,可以标记它在您的网站上检测到的任何恶意软件,因此不时检查它可以帮助您检测恶意软件。
如果您定期使用 MalCare 扫描您的网站,您将已经在您的网站上检测到恶意软件。 但是,查看 Google 是否认为您的网站上正在进行任何可疑活动仍然是一个好习惯。
删除未使用的主题和插件
删除旧的和未使用的主题和插件有两个目的。 首先是加速您的网站,因为太多的文件会导致膨胀和服务器速度下降。 第二个是确保您的网站不会受到他们的攻击。 未使用的主题和插件通常会被忽略且不更新,从而产生容易被利用的漏洞。 因此,请务必每月检查您使用的所有主题和插件,并删除那些已经达到目的的主题和插件。
注意:还要检查您网站上的任何虚假插件。 恶意软件通常作为插件文件夹隐藏,但假插件只有一两个文件,无法在 WordPress 存储库中找到,并且具有奇怪的名称,例如“azzz”或“tiff”。
更新您的凭据
长时间使用相同的凭据或在多个帐户中重复使用它们是一个主要风险。 为了保护您的 WordPress 网站,请至少每月更新一次密码。 这可确保任何可能获得您密码的黑客都无法使用它,并且还会将您从所有设备上的帐户中注销。 虽然有点不方便,但它确保您可以控制对您网站的访问。
检查用户角色和权限
WordPress 网站上的用户帐户与管理员帐户一样重要。 如果黑客可以访问任何帐户,他们可以感染您的站点,升级他们的角色权限,甚至将您锁定在您自己的站点之外。
确保站点上的每个用户都只有必要的权限,并删除旧用户帐户。 还要检查是否有任何用户权限在未经您授权的情况下被提升,这可能是恶意软件的迹象。
阻止恶意 IP
阻止或限制恶意 IP 可以让您的生活变得更加轻松。 如果您被黑客入侵,您可以追踪它发生的 IP 地址,并简单地阻止它。 这会阻止具有该 IP 地址的任何人访问您的站点。 此方法用于打击黑客、阻止机器人或巨魔,并将未经授权的用户拒之门外。 如果您使用防火墙,它会自动为您阻止恶意 IP。
如果您遇到来自该地区的反复攻击,您还可以阻止整个地理区域。
测试你的备份
如果最坏的情况发生并且您的 WordPress 网站出现故障,您可以依靠备份使其重新启动并运行。 但是您需要确保您的备份也是安全的。 如果您的备份已被黑客入侵,恢复它们将毫无意义。 同样,您还需要测试它们是否正常工作,否则您将恢复损坏的站点。 如果您使用 BlogVault,您可以轻松地测试您的备份,并确保它们是可靠的。
更新 WordPress 盐
WordPress 使用盐作为其加密过程的一部分。 盐是在加密之前添加到密码中的随机字符串。 结果字符串是一个散列,这就是存储在数据库中的内容。 这样,如果黑客能够从数据库中获取散列密码并对其进行解密,他们仍然不知道密码的哪一部分实际上是密码以及什么是盐。 他们知道这一点的唯一方法是他们是否可以访问配置文件中的盐和安全密钥。
这类似于密码在浏览器 cookie 中的存储方式。 您可以保持登录到任何站点的原因是会话信息存储在 cookie 中。 但是,如果将明文密码存储在那里,那就很危险了。 所以 WordPress 改为存储加盐和散列的版本。 访问盐并不意味着您可以解密哈希,但它确实降低了安全级别。 因此,定期更新您的 WordPress salts 非常重要。
为了长期安全
检查 SSL
SSL 是一种安全协议,旨在加密进出您的网站服务器的任何通信。 这可以阻止攻击者访问、读取或更改任何正在传输的信息。
通常,在获取域或托管计划时,您会使用 SSL 保护您的网站。 但是,SSL 证书大约每两年到期一次,您需要确保最早对其进行更新。 如果用户在您的网站上执行交易,这一点就倍加重要,因为任何安全漏洞都可能导致信用卡详细信息或银行账户详细信息泄露。
检查托管计划
如果您忘记按时更新您的托管计划,您的 WordPress 帐户将被暂停。 这可能会导致许多问题。 您的网站流量会受到打击,您会失去客户,甚至可能会丢失数据。 定期检查您的托管服务还可以让您分析您的网站流量和服务器使用情况。 过高的服务器使用率是蛮力攻击的常见症状,尽早发现此类攻击更有可能阻止它们。 当您及早收到暴力攻击警报时,您可以在黑客访问您的网站之前采取行动并保护您的网站。
一次性措施确保全面安全
虽然需要不断审查 WordPress 安全性,但您可以采取一些措施,而不必不断更新。
投资强大的防火墙
防火墙通过过滤掉恶意流量来保护您的 WordPress 网站,并在大多数攻击感染您的网站之前阻止它们。 有几种防火墙,如 Web 应用程序防火墙、网络防火墙或基于云的防火墙。 MalCare 等强大的 Web 应用程序防火墙允许您过滤网站流量,并根据登录尝试次数或地理位置阻止访问者。
实施 HTTP 身份验证
HTTP 身份验证是一种协议,它只允许那些打算访问它的人访问 Web 资源。 HTTP 身份验证通过在请求某个网页时询问用户名和密码来限制访问。 现在显然,您不能对整个网站执行此操作,但为您的管理仪表板或登录页面实施它可以显着减少机器人攻击的数量。
使用双重身份验证
双因素身份验证是一种要求用户提供两个单独的密钥才能访问帐户的方法。 例如,如果您尝试访问您的电子邮件,通常需要提供用户名和密码,但是当您实施双重身份验证时,您还必须提供实时创建的密钥,例如- 时间密码或 PIN。 这降低了登录尝试的次数,并且不会让您的网站服务器因登录请求而不堪重负。 它还可以保护您的网站免受暴力攻击。 您可以使用 2FA 之类的插件为您的站点启用双重身份验证。
限制登录尝试
我们已经讨论过如何限制登录尝试。 默认情况下,WordPress 允许无限制的登录尝试,这为黑客尝试通过暴力攻击访问您的 WordPress 帐户提供了一个成熟的机会。 限制登录尝试的最简单方法是使用像 MalCare 这样的安全插件,或者您可以将自定义代码添加到您的 function.php 文件中。
禁用 XML-RPC
与 WP REST API 类似,XML-RPC 是 WordPress 的一项功能,可让您远程发布内容。 如果您使用 WordPress 应用程序或需要启用引用和 pingback,这很有用,但否则,黑客可以利用它通过暴力攻击访问您的网站。 这里最简单的解决方案是使用插件或手动禁用它。
禁用目录浏览
当您的服务器找不到网站的索引文件时,它会显示目录内容的索引。 如果黑客可以访问此信息,他们可以检查您的网站上是否有任何易受攻击的文件。 这会使您的网站面临重大安全风险。
为了避免这种情况,您可以通过在 .htaccess 文件中添加一行代码来禁用目录浏览。 按照以下步骤禁用 WordPress 网站上的目录浏览。
- 通过 FTP 客户端在您的站点上下载 .htaccess 文件。
- 打开文件并将以下代码添加到文件底部:
选项所有索引
- 现在保存文件,然后重新上传。 您必须先从您的站点中删除原始文件。
限制文件权限
您网站上的文件权限决定了谁可以访问您网站的哪些部分以及谁可以修改它们。 通常,您的网络主机会为您配置所有这些信息。 但了解文件权限并确保以最佳方式配置它们仍然是一个很好的做法。
如果您想了解文件权限的工作原理以及如何针对您的网站安全进行优化,请阅读我们的指南,该指南详细且适合初学者。
隐藏 wp-config 文件
您网站上的 wp-config 文件充满了敏感信息,例如密码、密钥和盐。 如果黑客获得了对文件的访问权限,这就像为他们在网站上铺上红地毯一样。 wp-config 文件默认位于 public_html 文件夹中,因此黑客知道在哪里寻找它。 但是您可以更改文件的位置,它仍然可以正常工作,同时有效地隐藏敏感信息。
在特定文件夹中禁用 PHP 执行
黑客可以伪装成核心 WordPress 文件在您的网站上上传 PHP 文件并获得对您网站的访问权限。 一些像 wp-uploads 这样的文件夹根本不应该有 PHP 文件。 那么在这种情况下你会怎么做呢?
您可以在这些文件夹中禁用 PHP 执行,这样即使黑客设法通过任何后门进入这些文件,他们也无法访问您的站点。
为什么网站安全很重要
WordPress 是一个安全的平台,但它非常受欢迎并吸引了各种关注。 其中一些是邪恶的。 为了确保黑客无法访问您的网站,您需要确保您的网站安全是最新的,否则您可能会面临以下可怕的后果:
- 客户流失
- 数据丢失
- 泄露的私人凭据
- 收入损失
- 法律问题
- 打击品牌美誉度
- 失去信任
最后的想法
WordPress 的安全性并不神秘。 如果您采取一些步骤来保护您的网站,您将能够抵御攻击和恶意软件,并避免任何损害。 我们希望这个 WordPress 安全清单可以帮助您加强安全措施。
如果您想要一个不损害您的安全的无忧解决方案,MalCare 是唯一的选择。 借助自动扫描、高级防火墙和一键式清理,MalCare 是一个 360 度的解决方案,可以保护您的站点。
常见问题
如何保护我的 WordPress 网站?
保护您的 WordPress 网站的最简单方法是安装像 MalCare 这样的安全插件。 MalCare 每天扫描您的网站以确保您的网站安全,并使用其先进的防火墙保护您的网站。 它还提供一键清理,以防出现黑客攻击。
WordPress有安全问题吗?
WordPress 是互联网上超过一半的网站使用的安全平台。 然而,正是因为这种流行,它才引起了黑客的注意。 您可以使用安全插件保护您的 WordPress 网站,以确保您的网站不受这些元素的影响。
如何在没有插件的情况下保护我的 WordPress 网站?
如果您希望在不使用插件的情况下保护您的网站,则需要定期执行多项安全检查。 您必须执行站点扫描、备份、在站点的活动日志中查找可疑行为,并手动清理您可能检测到的任何恶意软件。 黑客可以进入您的网站的方式不胜枚举,而无需经常保持警惕即可保护您的网站的唯一方法是使用安全插件。