WordPress 安全性:如何保護您的網站免受黑客攻擊

已發表: 2021-10-15

無論您是創建商業網站、在線商店還是愛好博客,WordPress 都提供了靈活性、易用性和高級功能,這將有助於取得巨大的成功。

但在您準備好上線之前,請花幾分鐘時間考慮一下安全性。 盡可能保護您的網站,使其免受黑客攻擊,並始終為粉絲和客戶服務。

為什麼 WordPress 安全性很重要?

您的網站告訴您的訪問者您是誰,您提供什麼樣的內容和服務,以及他們可以從您的品牌中得到什麼。 這是一個給人留下良好第一印象並與現有粉絲建立信任和忠誠度的地方。

這就是為什麼確保您的網站始終正常運行如此重要的原因。 如果它突然包含指向惡意軟件的鏈接,在被黑客入侵後開始運行非常緩慢,或者完全離線,這將影響您的聲譽。

如果您的網站遭到黑客入侵,您可能會因觀看次數、銷售額或廣告展示次數減少而蒙受損失。 將其恢復到良好的工作狀態可能會產生成本。 您還可能會失去在搜索引擎上的排名——有時是永久性的。 因此,為了省錢(並挽回面子!),請確保您的網站已鎖定且安全。

WordPress網站是如何被黑客入侵的?

谷歌最近發布了黑客訪問網站的主要方式列表。 讓我們詳細看看其中的一些:

洩露的密碼

蠻力攻擊是黑客潛入網站的最常見方式之一。 他們使用機器人嘗試不同的用戶名和密碼——每秒數以千計的組合——直到找到正確的組合。

不安全的插件和主題

在插件和主題中發現的漏洞對於不良行為者來說是一種相對容易進入的方法。高質量主題的開發人員會在定期更新中針對這些漏洞發布補丁,但並非所有 WordPress 用戶都會經常更新他們的網站。 無效的免費版本的高級插件和主題通常在其代碼中嵌入後門——黑客遠程登錄您的站點並為所欲為的訪問點。

安全策略薄弱

糟糕的安全做法,例如讓不需要的人訪問網站或允許不安全的密碼使人們更容易進入您的網站。

為什麼有人會入侵網站?

  1. 他們想偷錢。 他們可能希望收集客戶信用卡信息或將訪問者引導至旨在欺騙他人的惡意網站。
  2. 他們想要獲取信息。 他們可能會將個人數據出售給第三方或扣押信息以換取金錢。
  3. 他們想拿下你的網站。 這通常有個人動機,很少對普通網站所有者構成威脅。
  4. 他們想破壞您的網站。 同樣,這通常是個人的。 黑客可能會破壞他們不同意的人的網站以發表聲明。
  5. 他們想攻擊別人。 攻擊者可以使用您的網站在互聯網上傳播惡意軟件或勒索軟件,或使用您的網絡服務器惡意攻擊其他人。
  6. 他們想學習。 黑客必須以某種方式練習,對嗎? 他們可能會將您的網站用作未來更大、更有利可圖的目標的訓練場。

如何保護您的 WordPress 網站免受黑客攻擊

1.選擇優質主機

您的託管公司是您的安全合作夥伴,因此選擇一家聲譽良好的託管公司非常重要。 你得到你所支付的,而且許多折扣主機沒有實施可靠的安全實踐。

但是你怎麼知道選擇哪一個呢? 以下是安全託管服務提供商的一些跡象:

  • 定期備份,包含在您的計劃中或額外收費。
  • SSL 證書,可保護您網站訪問者的數據。
  • 24/7 全天候支持,以防您的網站遭到黑客入侵。
  • 內置防火牆,可保護服務器上的文件和數據庫。
  • 安全掃描會提醒您網站上的可疑代碼和活動。
  • 好名聲。 評論和推薦通常是確定房東質量的最佳方式。

請記住,擁有良好知識和強大安全性的公司非常值得任何額外費用。 這是推薦的 WordPress 主機列表,可幫助您入門。

2.保持軟件最新

確保您的網站安全的第一種方法是定期更新您的軟件:WordPress、主題和插件。 新版本通常會修補安全漏洞,因此越早更新越好。

您還可以通過選擇穩定且一次滿足多個需求的受信任插件來最大程度地降低 WordPress 安全風險。 例如,Jetpack Security 在單個 Jetpack 插件中提供了一整套 WordPress 安全工具。 因此,您還可以從附加功能中受益,而無需安裝數十個插件並增加您的網站受到攻擊的風險。

3. 創建安全的用戶名和密碼

通過選擇唯一的用戶名和安全密碼來讓黑客猜測。 使用至少 20 個字符、大寫字母、小寫字母、數字和符號。

如果您正在構建一個包含其他用戶的站點,請確保為每個用戶設置正確的權限。 例如,您可能不希望新實習生訪問核心文件或其他重要數據。 這是一篇關於 WooCommerce 用戶權限的精彩文章,但其中大部分內容適用於任何類型的網站。

如果您為第三方(如開發人員、營銷機構或支持人員)創建帳戶,請確保在他們完成工作後刪除訪問權限。

4. 設置異地備份

備份對於保護您的內容、辛勤工作以及客戶或訪客數據至關重要。 無論您的站點存在什麼問題,手頭有完整備份意味著您可以快速啟動並再次運行。

但是選擇正確的備份類型很重要。 例如,確保您的備份存儲在異地、雲端而不是您的服務器上。 這意味著,即使您無法訪問您的站點或您的服務器受到威脅,您仍然可以恢復一個乾淨的版本。

這就是 Jetpack Backup 大放異彩的地方。 他們不僅將所有備份存儲在用於自己站點的同一安全服務器上,而且還保留多個加密備份以提供額外的保護。

恢復 Jetpack 備份

此外,您可以在兩個選項之間進行選擇:實時和每日。

實時備份是在線商店、會員論壇或定期更新的網站的最佳選擇。 Jetpack 會在每次發生更改時保存您網站的副本:進行銷售、更新頁面或添加評論。 這意味著無論發生什麼,您都不會丟失任何銷售或信息。

每日備份非常適合不經常更新的靜態站點。 Jetpack 每天保存一次文件和數據庫,而不是在進行更改時保存。

最好的部分? 設置超級簡單——無需複雜的服務器配置。 只需完成幾個簡單的步驟,如果您需要任何幫助,請聯繫 Jetpack 無與倫比的客戶支持團隊。

您可以使用最好的 WordPress 備份插件作為獨立工具或作為完整安全套件的一部分。

5.增加暴力攻擊保護

當黑客使用機器人每秒猜測數千個用戶名/密碼組合,直到他們最終獲得對您網站的訪問權限時,就會發生暴力攻擊。 這些攻擊不僅會使您的站點信息處於危險之中,它們還可以通過使您的服務器超載來減慢速度。

雖然安全的登錄信息肯定會有所幫助,但最好的預防措施是使用一種工具來阻止他們。 Jetpack 的免費暴力攻擊保護功能甚至可以在可疑 IP 地址到達您的站點之前將其阻止!

站點上阻止的惡意攻擊數量:14,989

設置再簡單不過了——您所要做的就是打開該功能——您可以直接從儀表板查看被阻止的攻擊數量。 提示:平均值為 5,193!

6. 掃描惡意軟件

如果黑客確實設法進入,您想立即知道,以便進行故障排除。 畢竟,您的網站停機或不安全的時間越長,對您的聲譽和數據的損害就越大。

但 Jetpack Scan 會自動搜索您的網站以查找惡意軟件、不良行為者和可疑活動,並在發現任何內容時立即提醒您。 您甚至可以一鍵修復大多數已知的黑客攻擊,從而節省您的時間和金錢。

在網站上運行的惡意軟件掃描

您無需花費任何時間解讀複雜的技術語言 - Jetpack Scan 儀表板以通俗易懂的方式解釋所有內容,並引導您完成需要採取的每一個步驟。 您可以設置它並忘記它,知道您的網站受到 24/7 全天候監控,您可以輕鬆休息。

詳細了解我們的 WordPress 惡意軟件掃描工具。

7.實施停機監控

無論是惡意攻擊的結果還是簡單的錯誤,如果您的網站出現故障,您都需要立即採取行動。 但是您沒有時間整天重新加載您的網站以確保它正常工作!

來自 Jetpack 的停機通知

Jetpack 的 WordPress 停機時間監控工具 24/7 全天候監視您的站點,並在它停止響應時通知您。 然後,您可以使用活動日誌準確確定發生了什麼問題以及何時出現問題,這樣您就可以做出適當的響應,並在幾分鐘內(而不是幾小時或幾天)內恢復正常運行。

8.刪除未使用的插件和主題

您在網站上安裝的主題和插件越多,黑客利用它們的機會就越多。 雖然插件是添加附加功能的好方法,但請做一些整理並刪除您不再使用的插件。

而且,除了在解決站點錯誤時可以使用的默認主題外,無需存儲其他主題。

獎勵:刪除這些也可以提高您的網站速度!

9.為管理員開啟雙重身份驗證

雙重身份驗證是保護您的登錄頁面的一種非常有效的方法,因為它要求黑客同時擁有您的密碼實物——這是一種不太可能的組合。 當管理員登錄您的網​​站時,他們必須輸入一個一次性使用的代碼,該代碼會發送到他們的手機。

Jetpack 免費提供此功能,使其成為比強密碼更進一步的簡單方法。 你有多個用戶嗎? 輕鬆地要求對所有這些進行雙重身份驗證。

10.設置WordPress防火牆

WordPress 防火牆監控所有進入您網站的流量,充當抵禦黑客的屏障。 雖然一個好的託管計劃包括保護您的服務器的防火牆,但您還需要專門為 WordPress 安裝一個。

一個好的防火牆插件有一個關於不良行為者的信息數據庫——可疑的 IP 地址、惡意機器人和似乎“關閉”的流量——並在它們攻擊你的網站之前阻止它們。 您可以在 WordPress 插件存儲庫中看到一些最受歡迎的選項。

11. 密切關注您的網站活動

當您擁有網站上發生的所有事情的日誌時,您可以輕鬆地瀏覽它並識別任何可疑的東西。 如果您的網站被黑客入侵,您還可以確定它發生的時間,知道採取了哪些行動,並更容易找出哪些帳戶遭到入侵。

在網站上發生的活動

Jetpack 的 WordPress 活動日誌會跟踪發生的所有重大更改,從登錄嘗試和已發布的頁面到已刪除的插件、更新的主題和更改的設置。 對於每個事件,您可以看到時間戳、進行更改的用戶以及他們所做的說明。 然後,您可以使用此信息進行故障排除或從問題發生前恢復備份。

如果我的 WordPress 網站不安全會怎樣?

大多數攻擊者並不是專門針對您,他們只是在尋找最容易訪問的站點。 因此,如果您的 WordPress 網站沒有得到適當的保護,它更有可能成為黑客攻擊的受害者。 最終,這可能導致:

  • 名譽受損。 如果您的網站出現安全警告、出現故障或重定向到可疑網站,那麼網站訪問者會覺得它不好看。 他們可能會失去對您的博客或業務的信任,從而失去您的銷售或廣告收入。
  • 竊取客戶數據。 如果黑客訪問您的電子商務商店,他們可能會收集可以自己使用或出售給第三方的個人信息。
  • 損壞的網站文件。 您可能會失去部分或全部網站,可能是多年的辛勤工作!
  • 從搜索結果中刪除。 如果您的網站被黑客入侵,它可能會被 Google 列入黑名單並從搜索結果中完全刪除。
  • 失去網站流量。 在較低(或不存在)的搜索引擎排名和不想訪問帶有安全警告的網站的人之間,您的網站流量可能會顯著減少。
  • 廣告收入減少。 廣告網絡不希望他們客戶的廣告在不安全的網站上運行。 因此,如果您的網站被黑客入侵,它可能會從廣告網絡中刪除,您可能會被完全禁止,從而減少或消除您從廣告中獲得的收入。 即使不刪除,減少的流量也會對廣告點擊產生負面影響。

我如何知道我的 WordPress 網站是否被黑客入侵?

有時很難判斷您的網站是否被黑客入侵或是否遇到其他類型的問題。 但是,這裡有一些網站被黑的跡象:

  • 當您加載 URL 時,您的網站會出現安全警告。
  • 您的安全插件報告了一個問題。
  • 您的主機通過電子郵件向您發送問題。
  • 您的網站完全重定向到其他地方,而您還沒有進行重定向。
  • 您會在網站頁面上看到奇怪的代碼行。
  • 您的網站已完全關閉,儘管這也可能是由於其他原因。
  • 您網站上的廣告會重定向到可疑網站。
  • 您的網站突然加載非常緩慢或以其他方式表現異常。

如果我的 WordPress 網站被黑了怎麼辦?

如果您的 WordPress 網站被黑客入侵,您可以採取一些步驟來解決問題並恢復您的文件和數據庫:

  1. 確定發生了什麼。 如果您使用的是 Jetpack,請查看活動日誌以了解登錄者、登錄時間和更改內容。 這可以幫助您識別受感染的帳戶並確定哪些文件受到影響。
  2. 運行惡意軟件掃描。 使用 Jetpack Scan 之類的工具在您的網站文件中搜索惡意軟件或其他黑客攻擊跡象。 如果您使用 Jetpack 的 WordPress 惡意軟件掃描工具,您還可以一鍵修復大部分問題。
  3. 恢復備份。 如果您對您的網站進行定期備份,請從黑客攻擊發生之前恢復一份。 如果您使用 Jetpack Backup,您的文件將與服務器分開存儲,因此不應受到損害。
  4. 重置所有密碼並刪除可疑用戶 重置您的 WordPress 網站和託管服務提供商的所有密碼。 如果您看到任何不是您創建的可疑用戶帳戶,請將其刪除。
  5. 聘請網站安全專家。 如果您無法自行刪除惡意軟件,或者只是想確保您的網站是安全的,請考慮聘請 Codeable 等服務的安全專家。
  6. 更新您的插件、主題和 WordPress 版本。 這將有助於保護黑客可能利用的任何漏洞。
  7. 將您的網站重新提交給 Google。 如果您的網站被列入黑名單,請使用 Google Search Console 請求審核並將其從列表中刪除。

有關更多詳細信息,請閱讀我們的指南,其中介紹瞭如果您的 WordPress 網站被黑客入侵該怎麼辦。

準備發射

從一開始就將工作投入到適當的 WordPress 安全中,可以讓您的網站取得成功,並幫助它在未來幾年內安全有效地運行。 請記住,防止網站黑客攻擊比在它們發生後修復它們要容易得多。

使用 Jetpack 安全包,您可以在幾分鐘內檢查此列表中的大部分項目 - 無需開發人員或複雜的設置。

開始使用最好的 WordPress 安全插件。