如何保護您的 WordPress 網站

已發表: 2020-09-25

託管 WordPress 託管服務（如 Pressidium）通常非常重視其託管平台的安全性。部署了一系列功能來幫助保持託管在這些系統上的 WordPress 網站的安全。

然而，WordPress 主機只能做很多事情來確保 WordPress 網站的安全性。網站所有者在確保其網站安全方面發揮著自己的作用。在本文中，我們將看看您可以採取哪些步驟來保護您的 WordPress 網站。

保持您的網站安全 - 概述

許多網站黑客事件是網站所有者採取行動（或不作為）的直接結果。諸如未能將插件更新到最新版本或使用弱密碼之類的事情都會導致通過您的網站運行的可利用的弱點，黑客將瞄準這些弱點。好消息是您可以採取一些簡單的步驟來幫助確保您的 WordPress 網站的安全。這些包括：

確保您和任何其他網站用戶使用強密碼
使用驗證碼機制
使用兩因素身份驗證 (2FA)
刪除非活動用戶
使用“限制登錄嘗試”系統
始終將您的核心文件、插件和主題更新到最新版本
更改您的默認登錄 URL
避免使用無效的主題和插件

讓我們仔細看看其中一些步驟，並了解如何將它們應用於您的網站。

確保您的用戶使用強密碼

沒有服務器端防火牆或其他託管安全系統可以保護您的 WordPress 網站免受弱密碼的影響。儘管使用弱密碼存在已知問題，但統計數據表明，儘管 WordPress 提示選擇更強的密碼，但仍有驚人的 35% 的用戶使用弱密碼來保護他們的 WordPress 網站。

也許可以由此得出的結論是，一些用戶根本不知道當使用弱密碼時他們的網站會變得多麼脆弱。不幸的是，黑客很久以前就研究出如何利用那些選擇遵循特定模式（如出生日期或寵物名稱）的可預測密碼的用戶。

其他人雖然意識到弱密碼的脆弱性，但仍然繼續使用這些密碼，也許是因為這樣做很容易。畢竟，記住一個簡單的密碼比記住一個由隨機字母、數字和符號構成的複雜密碼要容易得多。

毫無疑問，您的密碼為抵禦黑客提供了一道關鍵的防線。它越強越好。理想情況下，密碼應該是唯一的、隨機生成的並定期更新。

在登錄表單中使用驗證碼機制

驗證碼的目的是將人類與“機器人”區分開來，“機器人”是執行自動化任務的軟件應用程序。黑客可以利用這些來嘗試通過登錄頁面訪問網站，方法是指示機器人使用隨機數據進行持續嘗試以訪問網站。驗證碼旨在通過區分人類和機器人來幫助防止對網站的此類攻擊。驗證碼已經使用了三年，並且仍然部署在無數網站上，以幫助保護它們免受機器人活動的影響。

可以將驗證碼添加到您的 WordPress 網站，以阻止機器人登錄嘗試。一個簡單的方法是安裝 Login no Captcha reCaptcha 插件，該插件利用了 Google 的驗證碼系統。

安裝後，您會在登錄面板下方看到熟悉的 reCaptcha 複選框。勾選這個，你就走了（假設你知道正確的用戶名和密碼！）。

要使插件正常工作，您需要註冊一個免費的 Google reCaptcha 帳戶，然後您可以生成站點密鑰和密鑰。

如何生成站點和密鑰：

登錄您的 Google 帳戶（如果您還沒有帳戶，則需要註冊一個）。前往 Google reCaptcha 頁面，然後點擊右上角的“管理控制台”。
單擊右上角的“加號”圖標以註冊新網站。填寫所需信息。
點擊提交按鈕，您將看到如下頁面：

然後，您需要將這些值粘貼到所宣傳的插件設置中的框中。

兩因素身份驗證 (2FA)

使用雙重身份驗證過程將通過防止所謂的“蠻力”攻擊為您的網站登錄頁面增加額外的安全層。這些類型的攻擊是機器人嘗試使用已猜到的密碼和用戶名（通常遵循一些利用已知“弱”密碼（例如 123password 等）的預定義列表）不斷登錄您的網站的地方。機器人將繼續嘗試訪問您的網站，直到成功，這在兩個方面都是壞消息首先，如果密碼正確，您的網站現在已被黑客入侵。其次，這些持續的登錄嘗試會增加服務器負載，從而減慢您的網站的合法性用戶。

幸運的是，有可用的第三方插件可以幫助阻止這種情況。

兩因素插件

Plugin Contributors 的 Two-actor 插件是一個有用且易於使用的插件，它通過強制用戶提供身份驗證代碼及其正常登錄憑據來為網站提供雙重保護。此代碼可以通過電子郵件發送或使用一次性密碼生成器（例如 Google Authenticator）生成。

谷歌身份驗證器插件

Google Authenticator 插件是另一個流行的 2FA 插件，可以部署以保護您的 WordPress 網站。這個完全免費的插件提供了大量的 2FA 身份驗證選項，包括 SMS，當然還可以使用 Google Authenticator 應用程序。設置它相當快速和容易。只需在激活插件時按照提示進行操作。

刪除非活動用戶

攻擊者的另一個容易攻擊目標是長時間未使用的網站用戶帳戶。這樣做的結果是，密碼通常比用戶最近創建帳戶或定期登錄網站時的密碼弱。因此，定期刪除任何不活動的帳戶非常值得。

您可以使用插件輕鬆檢測這些非活動用戶，例如“上次登錄時間”插件。

激活後，它只需在您的管理員用戶列表中添加一個自定義列，該列顯示該用戶上次登錄日期和時間的時間戳。您可以對該列進行排序，從而一目了然地識別非活動用戶，這意味著您可以在適當時刪除它們。

然後在用戶 -> 所有用戶上按添加的“上次登錄”列排序：

限制登錄嘗試

您可以為 WordPress 網站添加額外安全層的另一種方法是限制在特定時間範圍內允許的登錄嘗試次數。這種技術可以阻止不斷猜測登錄的機器人。此外，一些提供此功能的插件還可以阻止登錄嘗試所源自的 IP 地址，從而阻止從該 IP 地址操作的特定機器人將來嘗試對您的站點進行重複攻擊。

提供此功能的一個很好的插件是免費的限制登錄嘗試重新加載插件。

在撰寫本文時，安裝了 1+ 百萬次，您可以確信該插件運行良好。

安裝並激活它後，前往“設置”菜單，然後單擊“限制登錄嘗試”。您將能夠更改一系列參數，包括在用戶被鎖定在網站之外之前允許的重試次數。

限制登錄嘗試是保護您的網站的一種極其有效的方法，這就是我們在所有 Pressidium 託管網站上將其作為默認設置的原因。

注意：如果您使用的是 Jetpack，一個名為“保護模塊”的最新功能版本默認包含限制登錄嘗試系統。 該系統還提供有關登錄嘗試被阻止的信息以及將 IP 列入白名單的選項。 如果您使用此插件，則無需安裝單獨的“限制登錄”插件。

將您的核心文件、插件和主題更新到最新版本

除了許多其他好處之外，更新您的 WordPress 核心、主題和插件對於您網站的安全性至關重要。統計數據顯示，過時的版本、主題和插件是黑客獲取網站訪問權限的最流行方式，因此保持這些網站處於最新狀態是重中之重。

在 Pressidium，我們在首次測試後自動將 WordPress 核心更新到最新版本，以確保不存在會導致我們客戶的網站出現問題的關鍵問題。由於這些更新是自動進行的，因此您可以放心，您的網站始終運行最新版本的 WordPress。

此外，我們通過提供可通過 Pressidium 儀表板訪問的插件更新工具，使我們託管的網站上的插件更新盡可能容易。這使我們的客戶可以一目了然地看到他們的網站插件是否需要更新。如果是這樣，只需在 Pressidium 儀表板中單擊幾下即可進行更新。我們還定期掃描我們託管的網站以查找存在已知漏洞的插件，並將通過電子郵件通知網站所有者此漏洞。如果過時的插件對網站構成極大風險，我們甚至會代表網站所有者主動更新。

更改您的默認登錄 URL

現在我們已經了解了保護登錄頁面的方法（實際上是保護“前門”），讓我們看看隱藏前門的選項，以確保竊賊（或黑客！）甚至無法嘗試進入.

一個很好的方法是通過將默認 WordPress 登錄 URL 更改為自定義 URL 來更改它的位置。這樣做你會立即阻止來自 wp-login 的流量，這反過來意味著你不應該在你的網站上遇到任何暴力攻擊。

WPS Hide Login 是一種允許您快速更改登錄頁面位置的插件。

避免使用無效的主題和插件

無效主題或插件通常包含惡意軟件或旨在造成傷害的修改代碼。它們通常以“便宜”的價格提供，這就是它們吸引人們的原因。畢竟，沒有人真正喜歡在高級主題和插件上花錢。使用一些無效的主題和插件，只需“正版”版本的一小部分成本，您就會明白為什麼它們很有吸引力。

實際上，您使用無效版本所做的“節省”通常會被您的網站感染惡意軟件所產生的成本所掩蓋。即使它們不包含惡意代碼，它們通常也會有煩人的廣告和彈出窗口，可能會破壞插件或主題的體驗。此外，原始開發人員當然不支持它們，這意味著如果出現問題，沒有人可以求助。

簡而言之，不要使用無效的主題或插件……這真的不值得！

結論

被黑的網站不符合任何人的利益（當然除了黑客）。雖然高質量的託管 WordPress 託管可以顯著提高您網站的安全性，但同樣重要的是要記住，作為網站所有者，您也可以在保護您的網站方面發揮作用。

即使遵循上面概述的一些簡單步驟，也可以真正幫助提高您網站的安全性，並且非常值得實施。