如何使您的網站安全:10 條 WordPress 安全提示 | JustLearnWP.com
已發表: 2019-11-13WordPress 現在為數百萬個網站提供支持。 使用 WordPress 構建 30 多個不同類型的網站非常容易,開始使用 WordPress 很容易。
但受歡迎的缺點是它使其成為黑客的更大目標。 在本文中,我將列出一些使 WordPress 更安全的最佳實踐。 您將學習如何通過一些最佳實踐和 WordPress 插件使您的網站安全可靠。
WordPress 本身就是非常安全的內容管理系統。 WordPress 開發人員每隔幾個月發布一次新版本。 但有時黑客可以訪問您基於 WordPress 的網站。
Sophos 實驗室發現每天有 30,000 個新網站被黑,您可以閱讀如何恢復被黑的 WordPress 網站? 了解更多。
過時的 WordPress 版本、主題和插件可能非常危險。 有時,廉價的共享託管計劃也會造成損害。 弱密碼和容易猜到或太常見的用戶名也是黑客成功的一個原因。
使您的網站安全的 10 個最佳 WordPress 安全提示
以下是您絕對應該採取的一些最佳實踐,以提高您的 WordPress 網站的安全性。
1.使用最新版本的WordPress
過時的 WordPress 版本非常危險。 始終安裝最新版本的 WordPress。 從 WordPress 官方網站下載最新版本的 WordPress。 如果您有多個基於 WordPress 的網站,請定期更新它們。
2. 禁用 WordPress Dashboard 中的 PHP 文件編輯功能。
大多數用戶需要訪問 WordPress 管理區域,但他們並不總是需要訪問插件文件或主題文件。
如果您想阻止任何用戶在 WordPress 管理區域中編輯 WordPress 主題或插件文件。 您可以將以下代碼行添加到 wp-config.php 文件中,以阻止任何人訪問 WordPress 中的文件編輯模式。
define( 'DISALLOW_FILE_EDIT', true);
3.啟用兩因素身份驗證
WordPress 兩因素身份驗證可以使您的網站更加安全。 有許多免費插件可用於啟用兩因素身份驗證。
兩步驗證可以讓您的 WordPress 網站更能抵禦暴力攻擊,即使您的 WordPress 用戶名和密碼被洩露,如果沒有六位數代碼,您也無法登錄您的網站。
您可以為 WordPress 安裝 Google Authenticator。 它是一個免費插件。 此插件使用 Google Playstore 中提供的 Google Authenticator 應用程序。
4.為您的客戶/訂戶禁用儀表板登錄
有多種原因可能會讓人們遠離儀表板,例如,在會員網站上,您可以禁用對 WP-Admin 面板的訪問。
有許多免費插件可用。 WP Hide Dashboard and Remove Dashboard Access 允許您將儀表板訪問權限限制為僅限管理員或具有特定功能的用戶,並隱藏儀表板菜單、個人選項部分和幫助鏈接。
進一步閱讀:如何恢復被黑的 WordPress 網站?
5. 更改儀表板登錄 URL
如果可能,請更改儀表板登錄 URL,默認情況下為 www.yoursite.com/wp-admin 將其更改為其他內容。 有許多 WordPress 插件可用於此任務。
重命名 wp-login.php 是流行的免費插件,可將 wp-login.php 更改為您想要的任何內容。 這個免費插件還與任何掛在登錄表單中的插件兼容,包括 BuddyPress、bbPress、限制登錄嘗試和用戶切換。
Peter's Login Redirect 是一個免費且流行的插件。 這個免費插件在登錄和註銷後將用戶重定向到不同的位置。
6. 在專用服務器上託管您的網站
選擇一個好的虛擬主機真的很重要。 有數以千計的網絡託管服務提供商可用,但並不是每個人都提供優質的服務。 如果您認真對待您的博客業務,請選擇具有專用服務器的優質託管服務提供商。
7.限制登錄嘗試次數
蠻力攻擊旨在成為訪問網站的最簡單方法:它一遍又一遍地嘗試用戶名和密碼,直到它進入。有許多免費插件可以限制您的 WordPress 網站上的登錄嘗試。
WP Limit Login Attempts 插件限制登錄嘗試的速率並暫時阻止 IP。 它通過驗證碼來檢測機器人。
BestWebSoft 的限制嘗試允許您通過 IP 限制登錄嘗試的速率,並創建白名單和黑名單。
8. 將 wp-config.php 文件存儲在 WordPress 安裝的上一層
是的! 您可以將 wp-config.php 文件移動到 WordPress 安裝上方的目錄。 這意味著對於安裝在 Web 空間根目錄中的站點,您可以將 wp-config.php 存儲在 webroot 文件夾之外。
您可以閱讀有史以來最簡單的 WordPress 安全提示! 在 SitePoint 了解更多信息。
9. 為所有登錄和 wp-admin 啟用 HTTPS
HTTPS 通常是購物車和網上銀行的同義詞,但實際上,只要用戶將敏感信息傳遞給 Web 服務器,反之亦然,都應該使用它。
為確保登錄憑據在傳輸到 Web 服務器期間被加密,請在 wp-config.php 中定義以下常量。
define('FORCE_SSL_LOGIN', true);
為確保在使用 WordPress 管理面板時對傳輸中的敏感數據(例如會話 cookie)進行加密,請在 wp-config.php 中定義以下常量。
define('FORCE_SSL_ADMIN', true);
要了解更多信息,您可以訪問 WordPress Administration Over SSL 頁面。
您還可以使用 WP Force SSL 插件將所有流量從 HTTP 重定向到 HTTPS 到 WordPress 網站的所有頁面。
10. 明智地選擇第三方主題、插件
永遠記住,沒有理由保留未使用的主題和插件。 當您甚至不使用主題和插件時,為什麼要打開您的網站來解決問題。
始終從受信任的開發人員和市場下載和安裝插件。 刪除所有過時和不必要的主題。 我們創建了一個從值得信賴的開發人員和市場購買優質 WordPress 主題的最佳地點列表。
WordPress 主題目錄是查找免費主題的最佳場所,如果您想使用高級主題,請始終從信譽良好的開發人員和市場購買。
進一步閱讀:如何選擇完美的免費或高級 WordPress 主題
最後的話
我知道這不是完整的列表,但我嘗試分享一些快速提示和最佳實踐。 您還可以在 Kinsta 閱讀有關 WordPress 安全性的深入指南。 隨時在下面的評論中分享您的想法。