如何保护您的 WordPress 网站 - 9 条提示 | JustLearnWP.com
已发表: 2020-01-13WordPress 无疑是世界上最受欢迎的 CMS,拥有全球约一半的市场份额。 这并不奇怪,因为它已经存在了很长时间,而且它有很多开发人员喜欢的优秀功能。
也就是说,它的受欢迎程度也意味着它是网络攻击者的目标,这些攻击者在没有得到很好保护的 WordPress 网站上进行攻击。 所以,不要成为 WordPresstargeted 攻击的下一个受害者! 那么,如何保护免受黑客攻击。 不用担心! 我们整理了一些您应该遵循的关键步骤来加强您的 WordPress 安全性。
使用 SSL
SSL 代表安全套接字层,它是一种在网站上实现客户端-服务器安全并保护服务器和浏览器之间数据的协议。 您可以通过安装所谓的 SSL 证书来启用 SSL 安全性。 通过这种方式,您将能够保护您和您的用户,尤其是当您的网站处理信用卡信息等敏感数据时。
Let's Encrypt 提供免费的 SSL 证书。
根据您的 WordPress 网站,您可以购买多种类型的 SSL 证书。 例如,您可以购买多域 SSL,以保护您网站的主域以及其下的其他域和子域。 底线是您需要为您的 WordPress 网站购买正确的 SSL。
焦点主题和插件安全
攻击者可以渗透您的 WordPress 站点的最简单方法之一是使用主题和插件。 我们喜欢 WordPress 架构的一些功能,不幸的是,一些很酷的主题和 WordPress 插件不是免费的。
一些流氓开发人员经常盗版这些主题和插件,以免费访问社区。 听起来很划算? 可能不是。
大多数盗版版本都可能对您的 WordPress 网站构成潜在风险。 流氓开发人员会对这些产品进行逆向工程,这是毫无疑问的,你当然不能相信他们只是想把它免费交给你而不在其中隐藏一些恶意代码。
通常,您应该注意免费或付费的插件和主题。 在处理 WordPress 插件和主题时,请牢记以下一些安全提示:
- 仅安装来自受信任来源的主题和插件(他们拥有的评论越多越好)
- 每当发布新版本时更新您的主题和插件
- 停用和卸载过时的插件和主题
保护您的 WordPress 密码
密码安全性是 WordPress 安全性的另一个方面,经常被忽视。 它通常是简单的步骤,例如经常更改密码,使用长格式难以猜测的密码等。
事实上,针对 WordPress 网站的一种常见攻击类型是所谓的蛮力攻击。 这是攻击者试图猜测您的登录密码的地方,如果您的密码很容易破解,那肯定会更容易。
- 为银行等敏感应用设置过期密码
- 为您的 WordPress 网站用户设置会话
- 添加认证层
添加身份验证层是另一种减少黑客通过暴力攻击等攻击访问您网站的机会的方法。 换句话说,您不希望有人通过破解您的密码来访问您的网站,仅此而已!
您可以添加另一层挑战,使其更加艰难。 一个很好的例子就是所谓的双因素身份验证 (2FA),您可以在其中添加诸如 SMS 验证之类的东西在普通的用户名/电子邮件-密码组合之上。
更改您的 WordPress 登录页面
减少暴力攻击和拒绝服务 (DOS) 等攻击的另一种方法是将您的 WordPress 登录页面从默认页面更改,从而使黑客更难尝试攻击您的网站。
HideMyWP 是一个非常强大且流行的安全插件,它提供了许多功能来保护您的 WordPress 网站。
![](https://s.stat888.com/img/bg.png)
更改您的 WordPresslogin 页面非常简单。 只需找到一个自定义登录 URL 的插件,将其安装在您的 WordPress 上,您就可以开始使用了。
过滤访问您的 WordPress 网站的流量
您还可以通过过滤流量来保护您的 WordPress 网站,尤其是那些看起来可疑的流量。 例如,您可以阻止来自您不希望任何访客来自的位置的流量。
您可以限制可以访问您的 WordPresslogin 和仪表板页面的 IP。 同样,有很多工具可以帮助构建此类规则和限制,例如使用防火墙插件、使用 CAPTCHA 挑战等。
保护您的 WordPress 文件和数据库
第三方主机将有助于在主机级别保护您的网站,但您仍然需要在您的网站上保护您的 WordPress 文件。 例如,您应该确保文件权限正确,以避免安全漏洞。 以下是保护 WordPress 文件和数据库的其他方法:
- 更改默认的数据库前缀
- 禁用 PHP 文件执行以防止在后端运行恶意代码,
- 禁用目录浏览
- 隐藏 wp-config.php 和 .htaccess 文件
分配适当的用户权限
团队中的每个用户都应该根据他们的角色分配权限。 这样,您只能防止针对您的 WordPress 用户的漏洞。 高级 WordPress 特权只能分配给能够承担和保护该责任的用户。
备份您的 WordPress 网站
最后,定期备份您的站点,以确保您有一个恢复点,以防出现任何意外情况。 有第三方备份插件、虚拟主机、网站维护服务和手动方式,可帮助您定期进行备份。
JetPack 是备份和保护您的网站的最佳插件之一,如果它提供了很多功能,而 Backup 就是其中之一。 安装 Jetpack 并使用备份功能。
灾难随时可能袭击您的网站,就像停机时间会转化为业务损失一样,这就是您应该经常备份的原因。 最好安排自动备份以使您更轻松。
最后的想法
我们已经介绍了您应该采取的一些核心安全步骤来保护您的 WordPress 网站,从而保护您的业务。 绝对不是全部,但它应该可以帮助您在 WordPress 安全方面取得成功。