28 个 WordPress 安全最佳实践和技巧
已发表: 2024-01-05WordPress 是一个功能强大的内容管理系统(CMS),但它的流行意味着成为黑客们同样关注的目标。 如果没有必要的安全措施,您的网站可能容易受到攻击。
幸运的是,您可以采取多种措施来确保网站安全。 其范围从简单的任务(例如更新插件和执行备份)到更复杂的策略(例如迁移到具有更强安全措施的托管提供商)。
在本文中,我们将指导您完成 28 个 WordPress 安全最佳实践,以帮助您确保您的网站受到保护。
1. 保持 WordPress、插件和主题更新
过时的软件对网站构成巨大威胁。 当插件或主题数月或数年没有更新时,黑客将有更多时间寻找软件中的漏洞并找到进入使用它的网站的方法。
简而言之:如果您使用旧版本的 WordPress,您的网站很容易受到攻击。 这也适用于您网站上的任何插件或主题。
重要的是要记住 WordPress 非常受欢迎。 它为大约 43% 的已知网站提供支持。 这意味着存在安全问题的单个插件可能会导致数百或数千个网站向网络犯罪分子敞开大门。
保护自己免受这些漏洞影响的最简单方法是使 WordPress 及其所有组件保持最新状态。 这可以像每天检查仪表板以查看可用的更新并执行它们一样简单。
对于插件,您可以将它们配置为逐一自动更新。 为此,请转至插件 → 安装的插件,然后针对要自动更新的插件单击启用自动更新。
2. 更改默认的“admin”用户名
WordPress 用户可能犯的最大安全错误之一是选择“admin”或“administrator”等用户名。 这些是 WordPress 为您设置的默认用户名,保留它们可以让攻击者更容易强行进入。
许多黑客试图通过尝试尽可能多的用户名和密码组合来闯入网站。 这称为暴力攻击。 如果有人已经知道您的用户名,则意味着他们只需猜测一个登录因素。
一旦设置了管理员帐户的用户名,WordPress 就不允许您更改它。 要进行更改,您需要创建一个新帐户,为其授予管理员用户角色,然后删除旧帐户。
您可以通过转到“用户”→“添加新项”来完成此操作。 然后,输入帐户的详细信息,包括难以猜测的用户名,然后从“角色”菜单中选择“管理员” 。
下次创建 WordPress 网站时,您需要将管理员用户名设置为不同的内容。 这个简单的更改将使攻击者更难访问该帐户。
3. 使用强密码并定期更改
如果您使用“1234”等简单密码或每个帐户都使用相同的密码,那么有人访问您的网站只是时间问题。
虽然有多种方法可以重新获得被盗帐户的访问权限,但这个过程可能很艰难。 此外,黑客可能会对您的内容和声誉造成无法弥补的损害。
当您在 WordPress 中创建新帐户时,CMS 将为您生成一个强密码。 这通常是字母、数字和特殊字符的组合。
您可以使用此密码或将其更改为更容易记住的密码(同时保留字母和数字的混合)。
如果您难以记住它,您甚至可以使用凭据管理器。 密码管理器可以帮助您为所有帐户生成安全密码并保证其安全。
为了提高安全性,您需要定期更改密码。 这样,如果凭据泄露,您的帐户将是安全的。
4. 实施双因素身份验证(2FA)
与许多其他网站一样,WordPress 需要用户名和密码才能登录。这意味着登录安全很大程度上取决于您的凭据的强度。
即使使用最强的密码,有人也有可能访问您的帐户或您网站上的其他帐户。 避免这种漏洞的有效方法是使用双因素身份验证 (2FA)。
当您启用 2FA 时,您的网站将需要一种额外的验证方法供用户登录。通常,这是通过短信、电子邮件或身份验证应用程序发送的一次性代码。
由于黑客无法访问您的移动设备或电子邮件,因此他们将无法登录您的帐户。 有些网站提供使用 2FA 的选项,而其他网站则强制执行。
如果您使用 Jetpack,则可以允许用户使用其 WordPress.com 帐户登录。 还有一个使用 WordPress.com 的 2FA 功能的选项。
您可以通过导航至Jetpack → 设置并找到WordPress.com 登录部分来找到这些设置。 然后,只需切换相应的开关即可。
5.通过SSL证书使用HTTPS加密
安全套接字层 (SSL) 证书使您的网站能够通过 HTTPS(HTTP 的安全版本)加载。 该证书验证您的网站是否真实,以及浏览器和服务器之间的通信是否已加密。
您可以从多个机构(例如 Let's Encrypt)免费获取 SSL 证书。 许多 WordPress 网络主机会自动为您的网站设置 SSL 证书。 其他网络主机将允许您通过 cPanel 手动设置证书。
6.安装信誉良好的安全插件
WordPress 安全插件通常附带一系列功能和工具,可帮助您保护您的网站。 这些通常包括:
- 垃圾邮件防护
- 拒绝服务 (DDoS) 攻击防护
- Web 应用程序防火墙 (WAF)
- 恶意软件扫描和清理
- 自动备份
您可以找到单独执行每个任务的 WordPress 插件。 但如果您选择全面的安全工具,您将能够从同一个位置管理多个功能,这可以使您的工作更轻松。
事实上,使用正确的插件可以帮助您检查 WordPress 最佳安全实践列表中的多项内容。 Jetpack Security 包括刚才提到的所有功能以及许多其他功能。
7.定期备份您的网站
定期备份数据可以说是确保数据安全最重要的事情。 对于网站来说,在出现安全漏洞或故障时,完整备份可以成为救星。
如果您的网站遭到黑客攻击或无法正常运行,解决问题的最简单方法可能是恢复最近的备份。 备份越新,丢失任何关键信息的可能性就越小。
一旦网站再次正常运行,您就可以采取必要的措施来保护其免受进一步的攻击。
WordPress 有很多备份选项。 一些网络主机提供自动备份作为托管计划的一部分(通常如果它是托管服务)。 但是,最好不要仅仅依赖这些备份。 如果您的服务器因编码错误、主机错误或黑客攻击而受到损害,备份也可能受到损害。
更好的选择是使用异地存储备份的插件。 Jetpack VaultPress Backup 就是这样的选项之一。 该工具可作为单独的插件使用,也可作为前面提到的 Jetpack Security 捆绑包的一部分使用。 每当您进行更改时,它都会自动备份您的网站。
如果您不断向网站添加新内容,这些实时备份是理想的选择。 这意味着您将始终拥有最新版本的副本。 另外,备份存储在异地,因此即使您的站点完全瘫痪,您也始终可以访问它们。
8.使用Web应用程序防火墙(WAF)
WAF 是一种防火墙,旨在过滤进出网站的流量。 它使用规则来过滤特定类型的流量,并且可以将已知的恶意 IP 列入黑名单。
WAF 旨在帮助您阻止常见类型的网络攻击,包括 SQL 注入、跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF)。 他们之所以能够做到这一点,要归功于他们复杂的规则系统。
防火墙的规则越全面,就越有效。 许多安全插件(包括 Jetpack Security)都拥有复杂的 WAF,其规则集是根据多年处理 WordPress 攻击的经验而设计的。
尽管您可以手动设置和配置 WAF,但最好的选择是使用网络主机或为您设置的安全插件。 这样,您就可以利用他们现有的威胁数据库并简单地打开防火墙。
9.定期扫描恶意软件
扫描您的网站是否存在恶意软件涉及使用第三方工具或安全插件。 该软件会检查您网站的文件、插件和主题以查找恶意软件感染。 如果它检测到任何问题,它会让您知道问题出在哪里。
还记得您曾经在计算机上运行防病毒扫描并且需要很长时间吗? 现在,大多数防病毒软件只是在后台运行,只有在出现问题时才会打扰您。 使用 Jetpack Security 进行恶意软件扫描同样可以无缝进行。
而且,与仅告诉您存在问题的其他工具不同,如果 Jetpack 发现问题,它通常会提供解决问题的解决方案 - 通常只需单击一下即可。
如果您采取措施保护您的网站,恶意软件感染应该会非常罕见。 即便如此,设置自动恶意软件扫描也没什么坏处,以防您遭受零日漏洞或其他难以阻止的攻击类型。
10. 阻止表单和评论垃圾邮件
任何具有开放评论部分或表单的 WordPress 网站都可能会遇到垃圾邮件。 其范围包括竞争对手发布其网站链接、攻击者共享恶意 URL 或尝试使用脚本获得未经授权的访问。
解决此问题的简单方法是审核网站上的评论。 但随着您的网站的发展,过滤垃圾评论可能成为一项全职工作。 有数千条消息等待审核的情况并不罕见。
您可以尝试使用验证码来阻止机器人垃圾邮件提交,但您将不可避免地惹恼某些用户,并减少您的网站蓬勃发展所需的合法参与度和转化率。
最好的选择是使用 Akismet。 该工具完全在后台运行,以阻止评论和表单上的垃圾邮件提交,因此您甚至不会注意到它的发生。 合法用户无需解决谜题、回答谜语,甚至无需点击某个框即可继续。
所有这一切的准确率高达 98%。
Akismet 还可以自定义,立即删除某些评论并保留其他评论供您手动审核、批准或拒绝。
您可以将 Akismet 作为其自己的插件获取,但如果您致力于以最少的努力(和费用)提高整体安全性和用户体验,您也可以将其作为 Jetpack 安全计划的一部分获取。
11.使用FTP实现安全文件权限
基于 UNIX 的系统中的每个文件和文件夹都有一组权限。 这些权限由三个数字组表示。 例如,“777”表示每个用户对文件或目录具有完全的写入、读取和执行权限。
三个数字中的第一个代表谁拥有该文件或目录。 第二个数字代表所有者组中的帐户,第三个数字代表每个其他用户。
在上面的示例中,每个 7 表示每种类型的用户都具有读取 (4)、写入 (2) 和执行 (1) 权限。 如果你把这些值加起来,你会得到七。
您分配给 WordPress 文件和目录的文件权限将控制谁可以访问、读取和编辑它们。 WordPress 的建议文件权限为目录 755 和文件 644。
要设置这些权限,您需要通过 FileZilla 等文件传输协议 (FTP) 工具连接到您的网站。 您可以从您的托管帐户获取 FTP 凭据。
连接到站点后,导航到根目录(通常标记为public_html )。 在此文件夹中,您可以选择所需的任何子目录或文件,右键单击它,然后选择“文件权限”选项。
将弹出一个新窗口,您可以在其中通过数字值字段设置所选文件或目录的权限。
如果您更改目录的权限,您还会看到一个选项,显示“递归到子目录” 。 这将使您能够为所有子目录或文件设置相同的权限。
请注意,当涉及 WordPress 文件的最佳权限时,该规则存在一些例外情况。 其中之一是wp-config.php文件,我们将在下一节中讨论该文件。
12. 保护您的 wp-config.php 文件
wp-config.php文件包含有关您的网站及其数据库的重要信息。 它是最重要的 WordPress 核心文件之一,这意味着您应该采取额外的步骤来保护它。
就权限而言,最好将wp-config.php设置为 400 或 440。如果您还记得上一节的细分,您就会知道这些权限值转换为:
- 400:只有所有者才能读取该文件。
- 440:只有所有者和所有者组中的用户才能读取该文件。
这完全删除了wp-config.php的写入权限。 这通常是一个安全的选择,因为它可以防止任何人修改文件的设置。
保护wp-config.php 的另一种方法是将根目录移至根目录之上。 如果 WordPress 在默认位置找不到该文件,它将在上一级目录中查找该文件。
这意味着 WordPress 仍将正常运行,但攻击者可能会因为找不到该文件而被愚弄。
13. 禁用wp-config.php文件中的文件编辑
WordPress 提供了多种编辑文件的选项。 其中之一是使用插件和主题文件编辑器,这些编辑器可从仪表板中获取。
这些文件编辑器使您能够更改站点的代码,而无需通过 FTP 连接到站点。 这种方法的缺点是,如果黑客获得了有权使用这些编辑器的帐户的访问权限,他们可能会对您的网站造成严重破坏。
因此,您可能需要考虑在 WordPress 中禁用文件编辑。 您可以通过打开wp-config.php文件并向其中添加以下代码行来完成此操作:
define('DISALLOW_FILE_EDIT', true);
请注意,某些主题和插件会自动禁用文件编辑。 如果您在仪表板中没有看到文件或主题编辑器,则您可能正在使用这些工具之一。
14. 限制 .htaccess 文件中的目录浏览
如果启用目录浏览,您可以访问yourwebsite.com/content/ 。 您将看到该文件夹内的子目录和文件的列表,而不是收到 403 禁止错误。
如果您想保护您的站点,则必须禁用目录浏览。 如果任何人都可以看到您网站文件夹的内容,他们就可以获得很多信息,例如您使用的主题和插件。 他们还可以不受限制地浏览媒体文件,从隐私的角度来看,这很糟糕。
大多数 WordPress 网络主机默认禁用目录浏览。 如果您的设备不提供此功能,您可以通过编辑根目录中的.htaccess文件自行启用它。
为此,请打开该文件并添加以下代码行:
Options -Indexes
保存更改并关闭文件。 现在,如果您尝试通过浏览器导航到某个目录,您将收到一条错误消息,指出您无权访问该目录。
15.限制对wp-admin目录的访问
wp-admin是 WordPress 目录的默认位置。 如果您访问网站的主页并将/wp-admin添加到 URL 末尾,您将进入 WordPress 仪表板(在浏览登录页面后)。
此结构是 WordPress 网站的标准结构。 这使得您和攻击者都可以轻松查找和访问仪表板。
保护 WordPress 管理员的一种方法是使用密码保护它。 这样,用户在通过登录页面后将需要输入不同的密码。
如果您的 Web 主机使用 cPanel,您可以使用目录隐私向wp-admin目录添加密码 工具。
进入此工具后,浏览文件夹,直到找到wp-admin目录。 单击编辑 按钮,然后在下一页上勾选“密码保护此目录”选项。
现在目录隐私工具会要求您为wp-admin设置密码。 保存密码后,尝试访问 WordPress 仪表板。 密码弹出窗口应直接出现在浏览器中。
16. 隐藏您的wp-admin登录 URL
保护 WordPress 管理员的另一种方法是更改登录页面的 URL。 如果您将此策略与上一节中介绍的附加密码保护结合起来,则任何攻击者都无法进入您网站的仪表板。
您可以手动更改wp-login URL,但使用插件可以简化该过程。 WPS 隐藏登录是一个简单的工具,使您能够设置新的登录 URL,而无需编辑任何站点代码。
安装插件后,转到“设置”→“WPS 隐藏登录”并查找显示“登录 url”的部分。 使用该选项旁边的字段并将默认登录 URL 替换为自定义 URL。
您可能想要使用字母和数字的随机组合。 这将使攻击者更难以猜测。 只需确保为新登录页面添加书签,或设置您可以记住的 URL。
17. 限制登录尝试
如前所述,攻击者可以通过尝试用户名和密码的多种组合来访问您的网站。 设置强密码可能是阻止他们尝试的有效方法,但您还可以采取另一件事来阻止暴力攻击。
这涉及限制用户在特定时间段内可以进行的登录尝试次数。 此限制不会影响普通用户,但足以阻止使用机器人的暴力攻击。 通过限制他们尝试新凭据的频率,您可以最大限度地减少他们成功的机会。
您可以使用许多工具来限制 WordPress 中的登录尝试。 如果您使用 Jetpack,则可以使用其强力保护功能。 这会自动限制 Jetpack 识别为恶意的登录尝试。
Jetpack 还可以帮助您将 IP 地址列入白名单,这样它们就不会被暴力保护工具阻止。 您可以将其用于您和同事的 IP 地址,以防止误报。
18.自动注销空闲用户
许多网站会在一段时间后让您退出帐户。 这是一项安全措施,旨在防止其他人在访问您的计算机时劫持您的会话。
根据您登录的位置,这可能不是问题,但这仍然是值得实施的安全措施。 如果其他人有权访问您网站的仪表板,则尤其如此。
WordPress 不会自动注销用户。 要添加此功能,您需要使用像 Inactive Logout 这样的插件。
安装插件后,转到设置→非活动注销→常规设置。 查找空闲超时选项并将值设置为您想要的任何计时器(以分钟为单位)。
现在,如果用户在这段时间内处于空闲状态,他们将自动注销。 该插件还允许您配置一条消息,通知他们会话关闭的原因,这样他们返回时就不会感到困惑。
19.更改默认的WordPress数据库前缀
每个 WordPress 数据库都有一个名称。 默认情况下,该名称是 wp_something,其中“something”代表数据库的实际名称。
这里真正重要的是前缀。 默认情况下,WordPress 使用wp_前缀,这意味着攻击者可以轻松猜出数据库的全名。
简单地更改前缀可能会使攻击者的任务变得更加困难。 不幸的是,更改 WordPress 数据库前缀并不是那么简单。
此过程需要您编辑两个核心文件并对数据库本身进行更改。 因此,在执行其他操作之前,您需要执行完整的网站备份,其中包括所有文件和数据库。 这样,如果出现任何问题,您可以恢复备份。
首先,通过 FTP 访问网站并转到wp-config.php文件。 打开文件并在里面查找这一行:
$table_prefix = 'wp_';
您可以继续将“wp_”前缀替换为其他内容,例如“newprefix_”。 但这只是一个例子。 你会想要选择一些难以猜测的东西。
现在,保存文件并使用 phpMyAdmin 访问数据库。 从左侧列表中选择 WordPress 数据库,然后单击屏幕顶部表列表上方菜单中的SQL 。
这将打开一个页面,您可以在其中执行影响数据库的 SQL 命令。 您现在需要做的是替换数据库中所有表的现有表前缀。 默认情况下,这意味着下表:
- wp_选项
- wp_postmeta
- wp_帖子
- wp_term_关系
- wp_term_taxonomy
- wp_术语
- wp_commentmeta
- wp_评论
- wp_链接
请记住,某些插件也可能会向数据库添加新表。 您还需要更新这些表的前缀。
对于每个表,您需要运行以下 SQL 命令:
RENAME table wp_xxxx TO newname_xxxx;
“xxxx”占位符代表下划线后面的每个表的名称。 同样,您需要将newname_前缀更改为您之前在修改wp-config.php时设置的前缀。
根据需要对数据库中的每个表重复此过程。 准备好后,您可以返回仪表板。
更改数据库前缀可能会破坏站点上任何活动的插件和主题。 这些工具将无法识别更新的数据库,除非您停用并重新激活它们。
因此,您需要仔细检查网站上的每个插件和主题并遵循该过程。 完成后,检查您的网站以确保一切正常。
20.隐藏你的WordPress版本
过去,WordPress 过去常常在页脚中显示网站正在使用的软件版本。 我们的想法是,这些信息对于故障排除很有用,并且如果前端访问者可以轻松获得这些信息,那么查找起来就会容易得多。
这种方法的问题在于,显示版本号意味着攻击者可以查找特定于该版本的漏洞。 这为恶意行为者提供了大量信息,他们可以利用这些信息对您的网站进行攻击。
另外,此功能对您没有任何实际好处。 毕竟,您始终可以从仪表板检查网站的 WordPress 版本。
较新版本的 WordPress 不再在前端显示该信息。 如果您可以在页脚中看到版本号,则意味着您的网站已过期 WordPress 更新。
21. 保持 PHP 版本最新
您可能知道,WordPress 主要基于 PHP 构建。 它依赖于这种编程语言来执行大部分管理任务。
PHP也是一个软件。 这意味着它会定期更新新特性和功能,并提高性能。
WordPress 要求您的服务器运行 PHP 7.4 或更高版本。 PHP 有更新的版本,每个版本都为软件带来了性能和安全性升级。 这些升级也适用于 WordPress 本身。
大多数信誉良好的网络主机都会在新版本发布时更新其服务器上的 PHP。 有些提供商甚至允许您手动在版本之间切换(这对于排除 WordPress 网站上的错误可能是必要的)。
您可以通过导航到 WordPress 仪表板中的“设置”→“站点运行状况”→“信息”→“服务器”来检查站点运行的 PHP 版本。 在这里您将看到服务器配置的概述,包括它使用的 PHP 版本。
如果该版本已过时,您可能需要联系您的网络托管服务商。 他们也许能够为您更新 PHP。 即便如此,这也是你不应该做的事情 如果您使用的是信誉良好的托管提供商,则需要这样做,因为他们会为您处理。
22.关闭PHP错误报告
WordPress 附带了一个调试工具,使 CMS 能够记录 PHP 错误。 您可以使用这些错误报告来解决您网站上的技术问题。
不幸的是,这些报告也可能导致安全问题。 如果攻击者能够访问 PHP 错误日志,他们就可以获得有关您的网站如何工作的大量信息。 他们也许能够查看您网站上哪些插件处于活动状态(如果它们显示错误),以及您网站上存在 PHP 问题的重要文件。
除非您正在主动排除 WordPress 中的错误,否则不需要启用 PHP 错误报告。 如果您使用它来诊断问题,您会希望在获得所需信息后立即禁用 WordPress 调试模式。
禁用 PHP 错误报告需要您修改位于 WordPress 根目录中的wp-config.php文件 目录。 您可以通过 FTP 访问该目录,如前所示。
然后,打开wp-config.php文件并添加以下代码行:
define ( 'WP_DEBUG', true );
改变真实的 值为假 并保存文件。 这将禁用 WordPress 中的错误日志。
您可以根据需要随时重新打开它们。 您只需将该值更改回true即可。
23.删除不必要的插件和主题
插件和主题使 WordPress 成为一个多功能平台。 它们向您的网站添加新功能,并使您能够自定义其设计。
问题是有些人安装了几十个插件和主题,但只使用其中的几个。 例如,在选择您最喜欢的主题之前,您可能会尝试许多不同的主题,但永远不要卸载其余的主题。
您网站上的每个活动插件都会带来安全风险。 通常,对于定期更新并有信誉良好的开发团队支持的插件来说,这种风险很小。 对于过时的插件或不再接收更新的插件,这种风险会急剧增加。
这同样适用于主题。 网站上不使用的主题可能会导致漏洞。
如果您没有积极使用特定主题或插件,最安全的选择是卸载它(而不仅仅是停用它)。 这只需要几分钟,但它可以对您网站的安全产生巨大的影响。 另外,如果您改变主意,您可以随时重新安装已删除的插件或主题。
然而,这里有一个例外。 您可能希望保留默认主题(如已安装的“二十二十三” )但处于非活动状态,以便进行故障排除。
24.删除不必要的用户帐户
根据经验,除非绝对必要,否则任何人都不应访问您的网站。 如果您确实需要授予某人访问权限(以发布内容、执行维护或更新网站),您需要确保没有为他们分配比他们需要的权限更多的用户角色。
一旦某人不再需要访问该网站,您可以继续删除他们的帐户。 这将防止他们未经您的批准而更改网站。
这些用户帐户会带来另一个风险。 有些人可能会重复使用其个人帐户中的凭据来登录您的网站。 如果这些凭据在安全漏洞中泄露,攻击者将能够使用它们来访问您的网站。
在 WordPress 中删除用户帐户很简单。 为此,请转至用户 → 所有用户并选择一个帐户。 确定要删除的帐户后,将鼠标悬停在该帐户上并单击“删除” 。
请注意,仅当您是管理员时才会显示此选项。 只要没有其他人有权访问管理员帐户,您就应该是唯一有权删除用户帐户的人。
25. 监控用户活动
如果您运行的 WordPress 网站中其他人可以访问仪表板来发布内容、对网站进行更改以及更新,那么您迟早会遇到安全问题。 例如,某人的凭据可能被盗或安装会给网站带来安全风险的插件。
因此,管理员最好关注其他人在使用该网站时所做的事情。
活动日志是监视特定事件并记录事件发生时间的工具。 您可以访问该日志并查看谁在何时做了什么。 这使您能够发现可能对站点安全产生负面影响的事件和操作。
默认情况下,WordPress 中不提供此功能,但您可以使用插件添加它。 Jetpack Security 包含一个存储过去 30 天数据的活动日志。
日志在异地托管。 因此,如果您无法访问该站点,您可以在恢复最近的备份之前检查日志以了解发生了什么。
26. 使用 CDN 降低 DDoS 攻击的风险
内容交付网络 (CDN) 可以帮助您大幅缩短加载时间。 他们通过使用分布在世界各地的数据中心网络缓存您的网站来做到这一点。 当有人访问该站点时,CDN 会拦截请求并从最近的服务器加载副本。
除了减少加载时间之外,使用 CDN 还具有许多好处。 例如,您的服务器压力较小,这意味着您的网站将能够更好地处理流量的大幅增长。 此外,CDN 可以在遭受攻击时充当屏障。
如果您的网站是 DDoS 攻击的目标,CDN 可以快速将其关闭。 如果网络检测到连接存在异常情况,许多 CDN 可能会要求访问者验证他们是否是人类。 由于 DDoS 攻击依赖于机器人,因此它们通常无法绕过这些类型的安全检查。
即使 DDoS 攻击成功到达 CDN,CDN 的数据中心也是为了管理大量涌入的流量而构建的。 同时,您的网站本身将受到 CDN 的保护。
您可以将任何您想要的 CDN 与 WordPress 集成。 Jetpack CDN 的设置非常简单。 您可以在 Jetpack 插件中免费启用它,CDN 将开始缓存您网站上的媒体文件。
27. 迁移到注重安全的托管提供商
每个网络主机都有自己的卖点。 例如,一些托管提供商更注重安全性和性能,而其他托管提供商则优先考虑实惠的价格。
理想情况下,您会选择一个承诺提供一流性能和安全性的网络主机(并且不会收取不公平的费用)。 有很多网络主机符合这些标准并为您处理基本的安全任务。 这些任务可能包括:
- 备份
- 设置WAF
- 保护您免受 DDoS 攻击
- 恶意软件扫描和清理
如果您想花更多的时间和精力来运行您的网站,而不是花更少的时间和精力来保护网站免受攻击,那么您需要选择一个重视安全性的主机。 首先,您可能需要获取推荐的 WordPress 主机列表。
提供托管计划的网络主机往往在安全性方面提供更多服务。 当然,这些服务会比非托管计划贵一些,但它们可以帮助您放心。
28.考虑企业安全解决方案
如果您运行企业级网站,您的安全措施不应只是更新插件和进行备份。 您需要一个为您的网站提供端到端保护的安全解决方案。
WPScan 拥有市场上最大的 WordPress 安全漏洞数据库。
WPScan 提供以企业为中心的安全解决方案。 这可以根据您公司的需求和您拥有的网站类型进行定制。 您可以直接联系 WPScan 以获取对您网站安全性的评估并请求报价。
经常问的问题
此 WordPress 安全提示列表涵盖了保护您的网站的最重要措施。 如果您对如何提高网站的安全性仍有任何疑问,本节旨在解答这些问题。
这些 WordPress 安全最佳实践可以缓解哪些常见威胁?
本指南涵盖了从基本保护措施到更高级的安全实践的所有内容。 如果您花时间实施本文中概述的每项措施,您的网站应该能够免受最常见的威胁。 其中包括暴力攻击、数据盗窃和恶意软件。
这些措施的最终目标是确保没有恶意行为者可以访问您的网站并造成损害。 它们还可以防止缺乏经验的用户犯错误,例如安装错误的插件。
提高 WordPress 安全性的最简单方法是什么?
如果您没有时间实施本指南中的每项措施,最好的办法就是设置 WordPress 安全插件。 这些工具将自动启用多种功能来帮助保护您的网站。
Jetpack Security 是一款一体化解决方案,可自动执行许多基本任务。 它执行实时备份、设置防火墙、扫描恶意软件并提供快速修复、保护您的网站免受垃圾邮件等。 它还允许您访问活动日志,以便您可以识别站点上可能导致安全问题的任何操作(以及执行这些操作的人员)。
WordPress 最好的安全插件是什么?
有许多 WordPress 安全插件可供选择,但 Jetpack Security 是市场上最全面的解决方案之一。 它处理本文中讨论的大部分安全实践,包括备份、恶意软件扫描和删除以及垃圾邮件防护。
如何备份我的 WordPress 网站以及应将备份存储在哪里?
有多种方法可以备份 WordPress 网站。 您可以手动备份所有文件和数据库,使用为您执行此操作的插件,或注册包含一些有限备份的托管计划。
在大多数情况下,您不想在本地或仅在一个位置存储备份。 这就是为什么通常不建议单独依赖托管备份的原因。 云备份往往更安全,因为大多数提供商为了冗余而存储多个副本。
Jetpack Security 包括实时云备份。 所有内容都存储在异地,并且每次对网站进行更改时都会进行新的备份。
我应该多久更新一次 WordPress 网站?
理想情况下,您应该在有可用更新时立即更新 WordPress 及其组件。 使用任何软件的最新版本都将提高您网站的安全性和性能。 此外,它还使您可以访问最新功能。
许多更新都集中在修补安全漏洞。 理想情况下,您需要每天检查您的网站是否有更新。 您甚至可以启用插件的自动更新。 所有这一切以及更多功能都可以通过顶级实时安全和备份插件 Jetpack Security 实现。
我应该多久扫描一次 WordPress 网站是否存在恶意软件?
如果可以的话,您应该每天扫描您的网站是否存在恶意软件。 由于这是一项如此关键的任务,因此将其自动化是有意义的。 这样,即使您不在,您的安全插件或恶意软件扫描程序仍将寻找漏洞。
Jetpack Security 包括自动恶意软件扫描。 该插件会定期扫描您的网站,并在发现任何可疑内容时通知您。
Jetpack Security:全天候 WordPress 保护和备份
保护 WordPress 网站可能需要大量工作。 您需要执行定期备份、执行更新、扫描您的网站是否存在恶意软件等等。 此外,您还需要确保有权访问您网站的任何人都使用强用户名和密码。
像 Jetpack Security 这样的一体化解决方案可以为您处理大部分任务。 您将获得自动备份和扫描、垃圾邮件防护、强大的防火墙等等。 您所需要做的就是安装插件并启用这些功能。
您准备好提高网站的安全性了吗? 立即开始使用 Jetpack Security!