如何保護網站免受黑客攻擊並輕鬆保護網站

您的網站很有價值：對您和您網站的訪問者而言。 而且，對於黑客。

要針對惡意攻擊建立良好的防禦措施，您需要一本關於如何保護網站免受黑客攻擊的嚴肅指南。

這就是黑客防護指南！

我們怎麼這麼自信？ MalCare 保護 25000 多個網站，我們的支持團隊每天都會從網站中找出最難以捉摸的惡意軟件。 我們對如何保護您的網站免受黑客和其他惡意攻擊略知一二。

TL;DR：最好的安全措施是安裝一個在自動駕駛儀上運行的安全插件。 我們還建議您實施我們在本文中描述的所有安全措施。

在你開始之前

看到一長串保護網站免受黑客攻擊的安全措施可能有點令人望而生畏。 我們意識到這一點。 因此，為了更容易實施這些安全措施，我們輕鬆整理了這份黑客保護列表。 我們建議為這篇文章添加書籤，並在您閱讀本文時返回閱讀。

這份清單上有多種保護措施：你應該做的事情，你不應該做的事情，以及一些破滅的神話。

本文的目標是通過消除其他地方可用的混亂來揭開安全的神秘面紗。 然而，最大的收穫應該是保護您的網站免受黑客和病毒的侵害不是一次性的活動； 但隨著我們的進步，更多。

立即保護您的網站免受黑客攻擊的 6 個基本步驟

本節中的保護措施是最容易實施的，老實說會讓你設置得相當好。 乍一看，它們似乎是技術性的或先進的，但從非工程師那裡聽來：你明白了！

1.安裝好防火牆

黑客不會手動侵入網站。 一個好的黑客會創建一個機器人來嗅出易受攻擊的站點並自動執行大部分過程。 現在，機器人被編程為執行非常具體的操作。 他們沒有知覺。

防火牆的核心是識別惡意請求的代碼。 向您的網站發出的每個信息請求都首先通過防火牆。 如果防火牆檢測到請求是惡意的，或者是從已知惡意的 IP 地址發出的，請求將被阻止而不是被處理。

避免更改防火牆配置

一些防火牆將允許您配置設置。 但是，除非您是真正的網站安全專家，否則我們不推薦它。 防火牆規則是在大量安全研究和大量第一手惡意軟件刪除之後創建的。

例如，大多數 WordPress 安全插件都有適當的規則來防止任何沒有管理員訪問權限的人訪問 wp-config.php 文件。 wp-config.php 文件是一個包含大量敏感信息的核心 WordPress 文件。 因此，防火牆會檢查向網站發出的每個請求，看它是否包含文本“wp-config.php”。 如果該規則被觸發，請求將被防火牆拒絕。

此外，由於黑客在發現漏洞時會嘗試攻擊盡可能多的網站，這會導致黑客 IP 曝光。 WordPress 防火牆基於這些攻擊，先發製人地跟踪和阻止惡意 IP。

當然，沒有防火牆是 100% 不可破解的。 但是，擁有一個可以阻止大多數惡意軟件的防火牆總比根本沒有防火牆要好得多。 但是所有的防火牆都不一樣，有些防火牆比其他防火牆更有效。 因此，我們列出了最好的 WordPress 防火牆供您選擇。

2. 擁有強大的密碼政策並使用密碼管理器

我們從事 WordPress 安全工作已有十多年了。 您會驚訝地發現有多少網站僅僅因為密碼太弱而遭到黑客攻擊。

數十萬個網站都使用易於猜測的密碼。 在使用 MalCare 刪除惡意軟件的被黑網站中，有 5% 使用了弱密碼。

黑客有一個稱為彩虹表的此類密碼列表，他們不斷生成更大的表以用作各種字典。 使用這些表，黑客可以發起稱為“字典攻擊”的攻擊。

字典攻擊主要是暴力攻擊的變體。 但這並不是破解密碼的唯一方法。 因此，建議使用強密碼。

強密碼是字母、數字和符號的組合。 不常見的組合很難破解，可能需要強力算法多年才能解碼。 此外，密碼越長，越難破解。

本文將幫助您創建自己的史詩密碼。

您還可以使用插件通過 WordPress 密碼策略管理器插件對所有 WordPress 用戶強制使用強密碼。 這個插件將幫助您創建策略，強制所有 WordPress 用戶在創建他們的帳戶時創建強密碼。

3. 在您的網站上安裝 SSL 並使用 HTTPS

安全套接字層 (SSL) 證書是一種安全協議，可對進出網站的所有通信進行加密。 安裝一個將確保即使黑客從您的網站攔截數據，他們也永遠無法理解它是什麼。

我們已經創建了一個關於正確安裝 SSL 證書的完整指南。 說真的，炒作是有道理的。 立即為您的網站獲取 SSL 證書。 作為額外的好處，您還將獲得 SEO 好處。

4.仔細審查管理員用戶

大多數人認為黑客只會在他們的網站上安裝惡意軟件然後離開。 這不是真的。 真正聰明的黑客會創建一個具有管理員權限的幽靈帳戶，以便他們可以隨時跳華爾茲回來。

定期檢查和刪除 WordPress 用戶可以解決此問題。

是的，如果您有一個龐大的團隊來管理您的網站，這可能是一項耗時的活動。 但這是值得的。 刪除不再為您的網站做出貢獻的用戶是第一個開始的地方。 然後，強制使用強密碼，這樣您的作家和編輯就不會意外地破壞您的網站。

您可能會為您的密碼遵循良好的安全措施，但如果您的一位管理員成為網絡釣魚詐騙的犧牲品，那麼您的網站也會受到影響。

盡可能充分利用WordPress用戶角色來限制訪問。 例如，如果某人只是撰寫和上傳文章，請授予他們“作者”訪問權限，而不是“管理員”訪問權限。 閱讀我們關於 WordPress 角色的文章，了解如何輕鬆完成所有工作。

5.使用活動日誌

在您的網站上看到意想不到的內容可以在多種情況下及時發出警報。 考慮是否在您不知情的情況下創建了管理員帳戶； 或者一個插件在沒有達成共識的情況下被停用（例如，一個安全插件）。

這些都是合法網站管理員操作的示例，但它們也可能是未經授權訪問的症狀。 活動日誌會告訴您網站上發生的事情，然後您可以評估這些行為是否合法。

這種做法多次拯救了我們的培根。

大多數黑客都非常小心，以免被抓到，因為他們只有在不被抓到的情況下才能控制您的網站。 活動日誌有助於發出更改信號，因此您可以將未經授權的活動消滅在萌芽狀態。

MalCare 與儀表板上的活動日誌捆綁在一起，無需配置即可進行設置。

6.定期備份

進行備份很可能是您可以應用的最被低估的策略之一。 始終進行每日備份，以便在發生災難性故障時可以快速恢復您的網站。

選擇一個可靠的好備份插件，因為沒有相當的專業知識，手動備份很難正確執行。

事實上，在您繼續執行本文中的任何步驟之前，請對您的網站進行完整備份並立即設置每日備份。 在對您的站點進行任何更改時，這始終是一個好習慣。

5 個中間步驟，將您的網站保護提升到一個新的水平

本文中的基本步驟是一個良好的開端，不應花費太多時間來設置。 在本節中，除了雙因素身份驗證和限制登錄嘗試之外，這些步驟是持續的安全措施。

正如我們在本文前面所說，以正確的方式考慮網站安全性很重要。 它不是一次性的設置或活動，必須被視為您網站管理的常規部分。

1.更新一切

超過 90% 的黑客攻擊的發生是因為黑客發現了主題或插件中的漏洞，並在多個網站上利用了它。

那麼什麼是漏洞呢？ 主題和插件是軟件。 與任何其他軟件一樣，它們是一定會存在錯誤的代碼片段。 有些錯誤相對無害，可能只會在更新時引起小故障。 其他人可以使代碼容易受到利用。

當發現漏洞時（主要是安全研究人員發現），它們會披露給插件開發人員以獲取補丁。 負責任的開發人員將發布修復程序，安裝了該插件的網站將很快看到該插件的更新版本。

修復程序發布後，該漏洞就會公開披露。 如果您是使用安全修復程序更新插件或主題的網站之一，那就太好了。 否則，您的站點將成為尋求快速賺錢的業餘黑客（稱為腳本小子）的目標。

因此，最好始終保持所有內容（從 WordPress 到插件）始終處於更新狀態。 我們知道更新有時會以意想不到的方式破壞網站，因此為避免任何不便，請使用暫存安全更新。 但是請更新所有內容。

我們創建了一份關於安全更新 WordPress 網站且中斷最少的指南。

2.選擇好的主題和插件

如果您從上一節中註意到，我們將發布更新以修補漏洞的開發人員稱為負責人。 簡而言之，優秀的開發人員會積極維護他們的軟件。

這絕不是普遍的事態。 悲傷，但真實。

因此，我們強烈建議為您的網站使用好的插件和主題。 可以理解，“好”是一個相對的、有些模糊的術語。 因此，我們列出了在為您的網站選擇插件時應考慮的因素：

• 定期更新：持續發布更新並不斷修補發現的任何漏洞的插件或主題。 這將告訴您開發人員對其產品的安全風險是認真的。

• 活躍安裝：一個擁有數百萬安裝量的流行插件總是有一個目標在它的背後。 Contact Form 7 是這種趨勢的一個非常明顯的例子。 另一方面，流行的插件也往往更安全，因為它們通常有更大更好的團隊來改進產品。 所以在做充分的研究之後明智地選擇。

• 可信度：避免安裝沒有人聽說過的自由職業者開發的插件或主題。 僅使用知名開發商和品牌開發的插件和主題。 如果您從市場購買，請確保您信任開發商而不僅僅是市場。

• 付費版本：通常，付費插件供應商會花費更多的時間和金錢來查找和修補漏洞。 如果您的預算非常緊張，那麼免費插件會更有意義。 但是，如果您擔心網站的安全性，我們強烈建議您改用高級主題和插件。

作為旁注，您可能會想使用無效的插件和主題。 不要這樣做。 風險是不值得的。

無效軟件傳播惡意軟件。 這就是您免費獲得優質產品的原因。 但即使 zip 文件不包含任何明顯的惡意代碼，任何無效的插件或主題用戶都知道他們無法更新軟件。 正如我們在上一節中所說，這使得網站容易受到黑客攻擊。

3.實施2FA

雙因素身份驗證 (2FA) 是一種安全措施，除了您的密碼外，它還添加您必須有權訪問才能登錄的另一個設備或令牌。

有一些用於 2FA 的協議，例如 TOTP（基於時間的一次性密碼）或 HOTP（基於 HMAC 的一次性密碼）。 它們各有優缺點，但出於登錄安全的考慮，我們無需深入研究這些細節。

有多種付費和免費應用程序可用於將 2FA 添加到您的登錄頁面，並且它們支持最流行的協議。 如需更多幫助，請查看本文以了解如何設置 WordPress 2FA。 如果您的網站有很多貢獻者，那麼實施此安全功能絕對是個好主意。

4.選擇一個好的虛擬主機

大多數人認為虛擬主機甚至要對網站的安全負責。 但是，如果您的網站遭到黑客攻擊，這很少是網絡託管商的錯。 事實上，在網絡主機對安全漏洞負責的極少數情況下，後果是巨大的。 數以千計的網站受到影響。

大多數時候情況是相反的，一個好的虛擬主機有助於保護您的網站免受黑客攻擊。 因此，您應該以最安全的託管服務為目標。 這是我們編制的最佳 WordPress 託管服務提供商列表，可幫助您選擇一個好的虛擬主機。

5.限制登錄嘗試

阻止暴力機器人和攻擊者的一種簡單方法是在 3 次嘗試失敗後拒絕訪問 IP 地址。 MalCare 防火牆集成了此功能。 限制登錄嘗試是保護網站的一種非常有效的方法，而且沒有很多缺點。

您也可以在安裝 WordPress 時使用“Limit Loginizer”插件。 但是，如果您自己的密碼輸錯了 3 次，那麼您將不得不要求您的虛擬主機解除對您的 IP 地址的封鎖，然後再試一次。

真正增強網站保護的 2 個專家步驟

即使您已經設法完成了前面部分中的步驟，您在保護您的網站免受黑客攻擊方面也做得很好。 以下措施是有效的，但是它們需要在代碼中進行一些探索。

我們要重申，大多數黑客攻擊都是由於漏洞而發生的，因此處理好這些漏洞將很好地保護您的網站免受黑客和病毒的侵害。 如果您對自己嘗試以下步驟感到不自在，可以忽略它們，或將它們發送給您的開發人員來實施。 無論哪種方式，您的網站仍然受到很好的保護，免受黑客攻擊。

1. 阻止 uploads 文件夾中的 PHP 執行

有一整類漏洞稱為遠程代碼執行漏洞，允許黑客將惡意 PHP 代碼上傳到 Uploads 文件夾。 通常，Uploads 文件夾並不包含任何可執行代碼。 它旨在包含您的媒體文件。 但 Uploads 文件夾的性質是它允許在其中存儲文件和文件夾。

一旦代碼上傳到您的網站，黑客就可以運行它並有效控制您的網站。 但是，如果您阻止 Uploads 文件夾中的 PHP 執行，則攻擊永遠不會發生。

如果您使用 MalCare，作為 WordPress 強化措施的一部分，您可以通過單擊按鈕來阻止 Uploads 文件夾中的 PHP 執行。

2. 更改 WordPress 安全密鑰

如果您最近遭到黑客攻擊，您可以更改您的 WordPress 安全密鑰。 這是一個與您的用戶名和密碼一起散列的字符串，用於管理用戶的登錄會話。

您可以將此字符串設置為任何內容，但與密碼一樣，最好使用隨機生成的字母數字字符串。 詳細了解安全密鑰以及如何更改它們。

2 個防止網站被黑客攻擊的小貼士

1. 及時了解安全新聞

隨時了解最新情況、提出問題和諮詢社區都是跟踪最新黑客攻擊和威脅形勢變化的絕佳方式。 例如，如果發現插件漏洞，您可以從儀表板停用它，直到更新可用並安裝為止。 與被黑網站造成的損失相比，您面臨的任何不便都顯得蒼白無力。

2 . 定期進行安全審計

許多網站所有者錯誤地認為他們的網站太小，不值得被黑客攻擊。 這與事實相去甚遠。 黑客攻擊的發生有多種原因，如果您的網站，比如說，在用戶數據方面不賺錢，它仍然有足夠的 SEO 權限被用作釣魚網站。

定期安全檢查將有助於發現不安全的做法以及網站中的潛在漏洞。 通過關注您網站上發生的事情——例如，通過活動日誌或評論用戶——從長遠來看，您將避免很多悲傷。

無助於保護您網站的事情

我們提倡有安全意識，但不偏執。 此外，我們已經看到有很多針對野外網站所有者的糟糕建議。 這些建議可能來自一個好的地方，但它可能會產生意想不到的後果，比如造成糟糕的用戶體驗，或者將您鎖定在自己的網站之外！

所以請不要做以下事情。

1.隱藏你的wp-login頁面

許多安全插件仍然相信這個古老的技巧有效。

如果黑客找不到登錄頁面，就不能進行暴力破解吧？ 不，不是真的。 反而：

• 它使您的網站非常難以使用。 如果您忘記了新的登錄 URL，那麼恢復您的帳戶可能會很困難。
• 如果您使用安全插件附帶的默認 URL，黑客很容易猜出您的新 URL。
• 即使黑客找不到 wp-login 頁面，他們仍然可以利用 XML-RPC 漏洞入侵您的網站。

這個選項最終什麼也做不了，而且會造成相當多的麻煩。

2.地理封鎖

地理封鎖實質上是阻止來自您的產品或服務不可用或不相關的國家/地區的流量。 這通常被視為一種安全措施，但它實際上是一種減少對消耗的服務器資源計費的方法。

您很可能認為來自加蓬的流量對您的業務沒有幫助。 但是阻止來自加蓬的所有流量根本解決不了任何問題。 有了好的 VPN，任何人都可以繞過 Netflix 的地理封鎖。

此外，您還冒著阻止 Googlebot 和您自己的風險！

3.密碼保護wp-admin目錄

wp-admin 文件夾是任何 WordPress 安裝中最重要的目錄之一。 因此，很自然地，每個黑客都想涉足其中。 安全專家最初認為用密碼保護目錄是個好主意，但後來我們意識到這不是好做法。

保護 wp-admin 目錄的密碼會破壞 WordPress 網站上的 AJAX 功能，並導致許多插件出現故障。 如果您運行的是 WooCommerce 網站，損壞的 AJAX 代碼可能會破壞您的搜索功能和其他關鍵的用戶體驗元素。

為什麼要保護您的網站免受黑客攻擊？

這篇文章已經有很多關於如何保護您的網站免受黑客攻擊的信息，也許我們已經提到過幾次，但值得重複。 您的網站很有價值。

當我們說它有價值時，我們不僅僅是在談論您和您的訪客。 也許您有一個小型在線商店或一個興趣博客，一小群人會定期訪問這些博客。 交易是即使黑客入侵您的網站的直接金錢收益並不大，擁有一個乾淨的網站來兜售非法或灰色市場商品的好處仍然使黑客值得黑客攻擊。

因此，小型網站並不能防止惡意意圖。

其次，保護我們用戶的數據和身份是我們所有人的責任。 他們完全通過訪問網站而對網站給予一定程度的信任，我們在考慮網站安全性時應該注意和體諒他們。

結論

您可以通過保持警惕並採取主動的安全措施來阻止黑客。 重要的是要認識到保護您的網站免受黑客和惡意攻擊是一個持續的過程。 有些步驟您可以一次性執行，但大多數情況下您需要了解威脅形勢的變化。

此外，沒有一站式的權威文章可以幫助您阻止所有可能針對您網站的黑客攻擊。 任何聲稱這樣做的文章、網站或專家都是不真實的。

因此，雖然我們不能真正保證這篇文章將永遠保護您的網站安全，但我們已經為您提供了一些一般安全提示，這些提示將使您的網站很難被黑客入侵。 使用本文中的提示，您將能夠修補網站安全中的幾個缺陷。

常見問題