強化 WordPress:如何確保您的 WordPress 網站安全

已發表: 2022-06-30

如果您曾經被黑客入侵,您就會知道這可能是一場噩夢。 很難理解哪些 WordPress 安全步驟將有助於確保您的 WordPress 網站安全。

繼續閱讀以了解如何確保您的 WordPress 網站安全。 了解強化 WordPress 的正確步驟,並獲取 WordPress 網站安全檢查表。

什麼是 WordPress 強化?

WordPress 約佔所有網站的 40%。 正因為如此,知道如何利用 WordPress 的人可以很容易地找到很多目標。 幸運的是,您可以做很多事情來讓他們的工作變得更加困難。 這被稱為強化 WordPress。

為什麼 WordPress 安全性很重要

被黑客入侵不僅令人尷尬,而且可能導致停機、數據丟失和信息洩露。 這可能會導致銷售損失和品牌聲譽不佳。 除此之外,要讓一切恢復正常並重新運行可能需要做很多工作。

強化 WordPress:要採取的 10 個 WordPress 安全步驟

黑客可以通過四種主要方式入侵您的 Wordpress 網站:

  • 獲取您的密碼或會話並登錄。
  • 通過間接訪問,例如 FTP、SSH 或數據庫。
  • 通過在您的 Web 根目錄中發現信息。
  • 通過 WordPress 代碼或插件中的漏洞。

訪問您的網站的最簡單方法就是登錄。這裡有一些方法可以加強 WordPress 對密碼竊賊的攻擊。

1. 保護您連接的機器

一件容易忽略的重要事情是您連接的計算機。 如果它不安全,那麼這也可能使您的服務器容易受到攻擊。 這就是為什麼擁有病毒掃描程序和防火牆、讓您的計算機保持最新狀態以及養成安全的瀏覽習慣非常重要的原因。

2. 保護與服務器的連接

即使您的計算機是安全的,您的密碼或會話仍然可能在前往服務器的途中被盜。 為防止這種情況發生,請務必確保在登錄 WordPress 後端時使用 HTTPS。

相關閱讀: WordPress性能優化初學者指南>>

最好始終使用家庭或企業有線連接或使用長的隨機 Wi-Fi 密碼的 Wi-Fi 連接連接到您的服務器。 如果您必須使用公共熱點進行連接,那麼您絕對想投資 VPN。

3. 防止人們猜出你的密碼

當攻擊者使用腳本快速嘗試不同的用戶名和密碼組合直到猜出正確的組合時,這稱為蠻力攻擊。 為防止暴力攻擊,請使用包含大小寫字母數字和特殊字符的長密碼。

為了使這項技術更加困難,您可以獲得有用的插件。 尋找兩個因素身份驗證插件,將驗證碼添加到登錄表單的插件,以及限制您可以進行的錯誤嘗試次數的插件。

4.不要使用管理員

防止蠻力攻擊和其他竊取密碼的方法的另一種方法是將您的管理員帳戶命名為其他名稱。 如果他們無法猜出您的用戶名,那麼他們就無法猜出您的密碼。 不再需要時,應刪除任何其他管理員帳戶。 您創建的任何新帳戶都應該只有他們需要的訪問權限。

如果黑客無法直接訪問您的管理員帳戶,他們可能能夠通過 SSH、FTP 或數據庫間接訪問您的站點。 提到的關於保持本地 PC 安全、選擇安全密碼以及在公共互聯網上使用 VPN 的所有內容也適用於 SSH、FTP 和與數據庫的連接,但這裡有一些額外的注意事項。

5. 使用 SFTP 或 FTPS

FTP 以純文本形式通過 Internet 傳輸您的數據和密碼,這意味著任何可以攔截您數據的人都可以看到您的密碼和數據。 SFTP 和 FTPS 都加密您的數據。

6. 關閉或限制對端口的訪問

一般來說,如果你的數據庫和你的網站在同一台服務器上,你不需要將你的數據庫端口向公眾開放。 如果您可以通過門戶或服務器內部管理您的數據庫,這通常是一個更好的選擇,因為它為攻擊者提供了一種利用您的網站的方法。

相關閱讀:當 WordPress 需要提升時:提示、工具和調整策略 >>

與 FTP 一樣,如果您能夠使用 SFTP 連接到服務器,則無需打開 FTP 端口。 如果您確實需要使用這些端口之一連接到您的服務器,最好將這些端口的範圍僅限於您的 IP 地址。

如果您的 IP 地址發生很大變化,那麼每次您的 IP 地址更改時都必須調用以訪問您的服務器可能會很不方便。 解決此問題的一種方法是使用 VPN。 VPN 不僅會加密您與服務器之間的連接,而且還可以讓您使用靜態 IP 地址,您可以將其添加到防火牆中,以防止其他人訪問端口。

許多人犯的一個錯誤是將文件和數據庫轉儲存儲在 Web 根目錄中。 請記住,互聯網上的任何人都可以訪問您的 Web 根目錄中的任何內容,並且它不應該包含您不希望任何人擁有的任何內容。

7. 從您的 Web 根目錄中刪除任何不必要的內容

值得檢查您的 Web 根目錄,並確保您的網站沒有任何不必要的功能存儲在其中。

例如,可以方便地將數據庫轉儲到 webroot 以便您以後下載。 但請記住,您的數據庫包含您的密碼哈希,並且可能包含您不想公開的其他信息。

一個更好的主意是將數據庫轉儲到其他地方並使用 SFTP 下載它。 如果您想將它作為備份保留在服務器上,您可以簡單地將其上移一級或將其放在除 webroot 之外的任何位置。

同樣,網站代碼的壓縮副本可用於了解您的代碼,並且可以由互聯網上的任何人下載。 另一種常見的做法是在修改之前備份 .htaccess 之類的文件或代碼文件。

在修改文件之前備份文件當然是一個好主意,但如果您打算將它們保留在 Web 根目錄中,則應更改權限,以便無法訪問它們。

相關閱讀:揭穿 WordPress 託管安全神話 >>

例如,您可以鍵入 chmod 000 .htaccess。 最後,即使是 README 文件或任何其他可能暴露版本號的文件也應該可以安全地刪除——刪除它們可以提高安全性。

最後要考慮的是代碼本身。 Web 應用程序代碼安全性是一個非常複雜的主題,有整本書籍都圍繞該主題編寫。 由於您使用的是 WordPress,因此為您完成了確保代碼安全的艱鉅任務,您所要做的就是安裝補丁。

如果您使用 Nexcess 託管,我們會為您更新核心 WordPress,但主題和插件也可能包含漏洞。

8.刪除任何未使用的代碼

保持 WordPress 網站安全的一種簡單方法是簡單地刪除您不使用的任何內容。 查看所有插件,如果它們沒有為您的網站增加任何價值,則將其刪除。

相關閱讀: WordPress插件基本指南>>

這不僅可以提高安全性,還可以加速 WordPress 並提高您網站的穩定性。 請記住,在某些情況下,即使是禁用的插件也會引入錯誤或為黑客提供攻擊面。

如果您有任何未使用的 WordPress 主題,您也應該卸載它們——儘管您可能需要考慮保留最新的默認 WordPress 主題以供以後進行故障排除。

最後,最重要的是刪除您不使用的舊安裝。 如果您有一個完整的子目錄,其中包含您不再使用的舊博客或舊版本的網站,那麼將其從 Web 根目錄中刪除非常重要。 如果您想將其保存為備份,則可以將其安全地存儲在 Web 根目錄之上。

9. 確保您的所有插件和主題都得到積極維護

每天都會發現新的漏洞,一旦知道它們就可以被整個互聯網上的大量腳本迅速利用。 這就是為什麼重要的是要確保您有知識淵博的程序員,他們正在積極響應在他們的代碼中發現的任何缺陷,並定期發布補丁來修復漏洞。

10. 應用補丁

由於在 WordPress 中一直存在漏洞,並且由於 WordPress 漏洞被如此快速和徹底地利用,因此盡快應用補丁非常重要。 這樣做非常重要,以避免停機。

但是,其中一個補丁可能與您的其餘代碼不兼容,因此最好的方法是定期進行備份,然後手動應用補丁,然後測試您的站點。

如果您發現任何不工作的地方,您可以恢復備份并快速恢復您的站點。 如果您有資源,更好的方法是保留您網站的副本並首先在副本上應用所有補丁。 這可以防止任何停機時間,並允許您在將補丁應用到實時站點之前對任何問題進行故障排除。

WordPress 網站安全清單

  • 確保您的 PC 安全
  • 使用安全協議
  • 使用強密碼
  • 使用插件更難猜你的密碼
  • 重命名管理員帳戶
  • 關閉或限制對防火牆中端口的訪問
  • 從您的 Web 根目錄清除數據庫轉儲、備份,尤其是舊代碼
  • 仔細選擇插件和主題並刪除任何你不使用的
  • 最重要的是,讓他們保持最新

Nexcess 確保您的 WordPress 網站安全

讓您的網站被黑可能是一場災難。 它不僅讓您看起來很糟糕,而且可能導致停機時間延長甚至丟失訂單。

使用 Nexcess 託管 WordPress 是確保 WordPress 網站安全的第一步。

Nexcess 提供了一個安全的平台來託管您的 WordPress 網站。 使用 Nexcess,您可以獲得始終在線的安全監控、免費的每日備份、SSL 證書和 IThemes Security Pro。

並且有一個 WordPress 專家和支持專業人員團隊全天候為您提供幫助,以幫助您解決任何問題,您將始終擁有 24/7 全天候所需的資源。

探索我們完全託管的 WordPress 託管計劃,立即開始。