• 主頁
  • 文章
  • 指導
  • WordPress 安全性:保護您的網站免受黑客攻擊的 8 個步驟

WordPress 安全性:保護您的網站免受黑客攻擊的 8 個步驟

已發表: 2019-02-26

網站安全是一個嚴重的問題,但許多人可能不知道它有多嚴重。 但是,當您了解到每天有不少於 50,000 個獨立網站被黑客入侵時,您就會開始對這個問題有所了解。

問題是,今天的大多數網站都是在 WordPress 平台上運行的。 這意味著落入黑客的網站中有很大一部分是基於 WordPress 的。

雖然 WordPress 本身已盡最大努力確保在其 CMS 上運行的網站是安全的,但仍會發生錯誤。 在這篇文章中,我們將討論如何確保不會發生這種情況。

不過在那之前……

為什麼首先需要 WordPress 安全性?

根據您網站的內容,當有人破壞您的安全性時,可能會出現很多問題。 其中一些是:

  • 上傳惡意軟件——黑客可能出於不同原因將惡意軟件上傳到您的網站服務器。

他們可以使用它來收集有關您的網站的數據和信息,以及出於某種原因您如何運行它。 他們甚至可以通過這種方式將惡意軟件自動下載到訪問者的計算機上。

這不僅會破壞您對網站訪問者的善意,還會使您的網站被列入黑名單。 發生這種情況時,幾乎不可能恢復您的聲譽。

  • 竊取用戶信息——如果您的網站存儲了用戶信息(包含姓名、出生日期、年齡、性別等的個人資料),這對黑客來說很重要。

他們可以收集這些數據並在黑網上出售給數據挖掘公司或其他感興趣的人員。 這構成了對用戶以信任方式提交給您的數據的破壞,並違反了您保證其數據安全的承諾。

  • 竊取財務信息——這在用於運營在線商店的 WordPress 網站上非常常見。 有時,它可能不是一個嚴格基於電子商務的網站,而是一個銷售產品或其他產品的網站。

發生這種情況時,黑客擁有所有他們需要的一切來敲詐所有曾經向您的網站提交信用卡/付款詳細信息的人。 除了這會讓您的許多客戶感到不適之外,如果他們知道違規行為來自您,他們將不會樂意再次向您購買。

  • 操縱你的收入——你的網站可能會從聯盟來源、廣告流等等中獲得收入。 如果黑客獲得訪問權限,他們可以將您的會員/廣告/收入來源詳細信息更改為他們的,並將您的銷售轉移到他們這邊。

他們甚至可以更改您的收款賬戶並將您的收入存入他們自己的賬戶。

當然,這些只是當您的 WordPress 網站不夠安全時可能出現的一些問題。 黑客可能想要訪問您的網站還有許多其他原因。 因此,您有責任確保他們很難做到這一點。

確保您的 WordPress 網站安全

想要將您的網站從黑客的簡單目標列表中刪除嗎? 您可以執行以下操作:

1. 保護您的登錄頁面

在您的網站完全被黑客入侵之前,黑客必須進入管理頁面。 如果您使用 WordPress 默認設置,他們所要做的就是在您的域名末尾添加 / wp-admin/wp-login.php ,它們位於管理頁面。

甚至在不知不覺中,你已經讓他們輕鬆了一步。

要解決此問題,請自定義您的登錄頁面,使其僅顯示一個特別指定的地址。 這樣,您就可以遠離大多數黑客的網格。

2.實施網站鎖定

蠻力攻擊因能夠嘗試多個密碼直到獲得正確的密碼而蓬勃發展。 這使黑客可以自由地嘗試許多可能的組合,然後再闖入您的儀表板。

解決此問題的一種簡單方法是指定用戶在被管理區域屏蔽之前可以進行的失敗嘗試次數。

這一舉措的最佳部分是,當任何此類活動被記錄時,您也會收到通知,幫助您保持更緊密的聯繫。 許多 WordPress 防火牆和安全插件可讓您執行此操作。

可能值得一看。

3.選擇好的託管公司

不要成為那些認為相對昂貴的託管公司讓您為品牌付費的人。 通常,這些是為您提供多層安全性而不是更便宜的選項的那些。

除了支付這些額外費用帶來的額外好處外,您還可以為所有努力獲得更好的安全性。 如果您不知道如何選擇合適的主機,您可以按照我們關於如何選擇 WordPress 主機的終極指南進行操作。

4.遠離無效的主題

WordPress 包含大量可在您的網站上使用的付費和免費主題。 這些主題由知道自己在做什麼的高技能開發人員設計和編碼。 主題也已經過 WordPress 測試,以確保它符合設置標準。

但是,一些網站免費提供付費主題的破解/無效版本。 在您得知破解的主題包含可能嚴重損害您的網站的惡意代碼之前,這聽起來可能很划算。 請參閱我們的指南,了解如何為您的網站選擇完美的主題。

5.禁用文件編輯

默認情況下,您的 WordPress 網站具有代碼編輯器功能,可讓您更改主題和插件。 您可以通過轉到AppearancesPlugins下的Editor儀表板來找到它。

當黑客訪問您的網站時,他們可以到這裡插入惡意代碼——您甚至不會知道它,直到為時已晚。

在您發現有問題之前,對抗此類攻擊的最佳方法是禁用編輯插件和主題的功能。

6. 更新您的網站

保護您的 WordPress 網站可以做的最簡單的事情之一就是確保它不時保持更新。

當有新的更新出現時,這意味著開發人員發現了一個他們認為足夠重要的缺陷,可以進行修補。 不縮小這個差距會讓你很容易受到他們看到的缺陷的影響,讓知道如何繞過這種缺陷的人很容易利用你。

插件和 PHP 也是如此——它們也可以更新,並且應該在收到通知後立即更新。 這是我們將 WordPress 網站升級到最新 PHP 版本的指南。

請注意,在對您的 WordPress 網站進行任何更新之前,強烈建議您創建整個網站的備份。

7. 禁用 XML-RPC 功能

隨著 WordPress 的推出,自動包含 XML-RPC 功能。

如果我們不看看它的好的方面,這將是不友好的。 畢竟,這就是使您的 WordPress 帳戶與您的移動和桌面應用程序無縫連接變得容易的原因。

但是,它也使得蠻力攻擊很容易以更快的速度發生。

例如,當您啟用該功能時,黑客不需要猜測 500 次密碼。 他們需要做的只是使用system.multicall函數發出大約 50 個請求,然後他們就可以在同一時間範圍內嘗試數千個密碼。

對此的簡單解決方法是禁用該功能,尤其是在您不使用它的情況下。

8. 註銷空閒用戶

並非每次黑客都需要從遠程位置訪問您的網站。 如果您的網站上有多個用戶,那麼這樣的黑客可能會四處遊蕩,直到用戶離開他們的計算機。

這就是為什麼你永遠不應該讓任何人在儀表板區域閒置太久。 如果您觀察過許多銀行和金融網站,這與他們用來保護用戶數據安全的模型相同。

完成此操作的方法之一是安裝 Idle User Logout 插件。 配置它以說明您希望每個用戶在需要再次登錄之前花費空閒的時間,然後您就可以開始了。

說了這麼多,做好最壞的準備是個好習慣。 雖然您必須執行上述操作,但請確保您不時備份您的網站,您可以使用免費的備份插件(如我們的 WPvivid 備份插件)輕鬆完成此操作。 這樣,如果發生任何事情,您始終可以從最後一個備份點恢復。

不過,我們不希望你這樣。

有一些我們在此處未提及的用於保護您的 WordPress 網站的提示嗎? 請在評論中讓我們知道它們。

本文涵蓋了 WordPress 保護的最基本步驟,我們還創建了一份終極指南,介紹如何從您可能還需要的各個方面保護 WordPress 網站。