WordPress 安全 - 完整分步指南(2020)- MalCare
已發表: 2023-04-21有充分的理由擔心您網站的安全性。 報告告訴我們,每天每分鐘在 WordPress 網站上進行超過 90,000 次黑客攻擊嘗試。
許多網站所有者可能認為他們的網站太小而無法引起黑客的注意。 事實是,由於小型網站對安全性的要求很寬鬆,因此黑客更容易破解小型網站。
無論大小——每個 WordPress 網站都需要採取安全措施。
幸運的是,您可以採取多種措施來保護您的網站免受黑客和機器人的侵害。 在本文中,我們將準確展示您需要採取哪些步驟來確保您的網站安全。
[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”最後的想法”]
網站安全的重要性
WordPress 是世界上最受歡迎的建站平台。 現在互聯網上有 7500 萬個 WordPress 網站,並且每天都在創建數百個新網站。 這種流行是有代價的。
使用它的人越多,它作為黑客目標的吸引力就越大。 Windows 是比 Apple 操作系統更大的目標。 Chrome 是比 Firefox 更大的攻擊目標。 受歡迎程度會引起更多關注,無論好壞。
我們之前提到過小型網站所有者如何認為他們的網站具有免疫力並且不採取必要的預防措施,這使他們成為理想的目標。
當您的網站遭到黑客攻擊時,黑客會利用網站進行惡意活動。 他們可能會對其他網站發起更大的攻擊、發送垃圾郵件、存儲盜版軟件、注入垃圾郵件鏈接、銷售非法產品、使用日本 SEO 垃圾郵件創建附屬鏈接等等。
這就是問題的結束。 事情會像滾雪球一樣迅速蔓延,搜索引擎會向用戶提供欺騙性網站警告,並將您的網站列入黑名單。 報告告訴我們,Google 每週將 50,000 個網絡釣魚活動網站和大約 20,000 個包含惡意軟件的網站列入黑名單!
除此之外,託管服務提供商還可以暫停您的帳戶。 這意味著您的網站將關閉幾天,這將對您的收入產生影響。 如果您等待太久才修復您的網站,它會對您的業務造成無法彌補的損害。
我們都同意採取安全預防措施比修復被黑的 WordPress 網站要好得多。
我們將向您展示如何保護您的網站,但在此之前我們想解決許多讀者都在思考的問題。
[返回頂部↑]
但是 WordPress 不安全嗎?
WordPress 核心是安全的。 WordPress 擁有一支由最優秀的開發人員組成的大軍,他們孜孜不倦地工作以確保 WordPress 核心的安全。 他們不斷改進技術並發布補丁和更新以修復任何故障或錯誤。
很長一段時間以來,WordPress 核心都沒有出現任何重大漏洞。
儘管如此,每天每分鐘仍有超過 90,000 次黑客嘗試在 WordPress 網站上進行。 這背後有兩個主要原因。
首先,WordPress 是一個非常受歡迎的平台。 互聯網上約有 7500 萬個網站建立在 WordPress 上,這吸引了來自世界各地的黑客組織的關注。
另一個原因是存在易受攻擊和過時的主題和插件。 事實上,報告表明過時的主題和插件是更多 WordPress 妥協的主要原因。
(嘿——您可以在我們的WordPress 安全更新文章中閱讀更多相關信息。)
因此,儘管您的 WordPress 是一個安全的平台,但還有其他因素可能導致網站遭到破壞。 因此,採取以下安全措施可以大大節省您的 WordPress 網站。
[返回頂部↑]
[ss_click_to_tweet 鳴叫=”???? 如果您認真對待自己的網站,請注意 WordPress 安全最佳實踐。 ???? 內容=”” 樣式=”默認”]
如何保護 WordPress 網站?
您可以採取 15 種不同的安全措施來保護您的 WordPress 網站。 那些是:
- 安裝 WordPress 安全插件
- 定期備份
- 使用一個好的託管公司
- 使 WordPress 保持最新
- 使用 SSL 證書
- 保護您的 WordPress 登錄頁面
- 設置防火牆
- 強化您的網站
- 採用最小特權原則
- 阻止可疑 IP 地址
- 實施國家封鎖
- 隱藏 WordPress 版本
- 檢查活動日誌
- 僅使用電子郵件地址登錄
- 使用 HTTP 身份驗證
讓我們更深入地了解這些措施。
1. 安裝 WordPress 安全插件
安全插件或服務的主要功能是掃描、清理和保護。 雖然有許多 WordPress 安全插件可供選擇,但並非所有插件都有效。 有些可能提供許多功能,但它只會產生很多噪音。 經驗豐富的黑客可以繞過此類安全插件來入侵您的網站。
MalCare 是最好的 WordPress 安全掃描插件之一。 這就是為什麼 -
我。 MalCare 的惡意軟件掃描器
WordPress 惡意軟件掃描程序需要資源來運行掃描。 許多掃描儀依賴於您的 Web 服務器的資源,但這會降低您網站的速度。
為了克服這一挑戰,MalCare 使用自己的服務器資源來掃描您的網站。 它將您網站的文件傳輸到自己的服務器,然後在那裡運行掃描。 此方法可確保您的網站在掃描過程中不受影響。
許多掃描器只尋找現有的惡意軟件,這意味著它們會錯過新類型的惡意軟件。 MalCare 旨在識別所有類型的惡意軟件,包括新的惡意軟件。
二. MalCare 的惡意軟件清除
MalCare 提供最快的惡意軟件清除服務。 大多數 WordPress 安全服務都提供基於票證的清潔服務。 在這種情況下,如果您的網站被黑客入侵,您需要提出罰單,支付惡意軟件清除費用,然後等待安全人員清理您的網站並回复您。 此過程非常耗時,並且涉及將您網站的訪問權限授予第三方。
MalCare 的 Cleaner 的工作方式不同。 黑客入侵後,時間至關重要。 花費的時間越長,谷歌將您的網站列入黑名單或網絡主機暫停您的網站的可能性就越大。 這就是為什麼 MalCare 提供即時 WordPress 惡意軟件刪除來清理黑客網站的原因。 您需要做的就是單擊一個按鈕,坐下來讓插件在幾分鐘內清理您的網站。
三. MalCare 的 WordPress 保護措施
到目前為止,我們提到的所有措施——從使用防火牆到國家/地區封鎖再到強化您的網站,都是 MalCare 使您只需單擊按鈕即可採取的保護措施。
如何使用 MalCare?
- 要使用 MalCare,您需要先在您的網站上下載並安裝該插件。
- 然後將您的站點添加到 MalCare 儀表板。 該插件將立即開始掃描您的網站。 如果它在您的網站上發現任何惡意文件,它會通知您。
- 您可以使用 MalCare 的自動清理按鈕立即清理您的網站。
[返回頂部↑]
2.定期備份
備份是您的安全網。 如果您的網站出現問題,如果您有網站的副本,則可以將其恢復正常。
那裡有很多備份插件。 由於可供選擇的數量眾多,很容易最終得到不合格的服務。 要選擇正確的備份服務,您需要知道如何選擇備份插件。
此外,審查備份插件將是一件耗時且昂貴的事情。 幸運的是,我們對市場上主要的 WordPress 備份插件進行了比較。 看看最好的 WordPress 備份插件。
[返回頂部↑]
3.使用好的託管公司
兩個最受歡迎的託管服務提供商是共享託管和託管託管。
共享主機很受歡迎,因為它更便宜。 它使全球數百萬人無需大筆投資即可創建自己的網站。 但在共享主機中,您與其他未知網站共享服務器。 通常,當一個網站遭到破壞時,同一服務器上的其他網站也會受到影響。 因此,儘管很受歡迎,共享託管服務提供商卻沒有足夠的能力來處理威脅情況。
如果您負擔得起專用服務器,請始終選擇它。 它在保持 WordPress 網站安全方面做得更好。 您可以檢查虛擬主機如何影響網站安全。
由於有許多託管服務提供商可供選擇,我們對頂級 WordPress 託管進行了比較。 希望它能幫助您決定選擇哪個虛擬主機提供商。
[返回頂部↑]
4. 保持 WordPress 網站處於最新狀態
與任何其他軟件、插件、主題甚至 WordPress 核心一樣,隨著時間的推移會出現漏洞。
當開發人員了解漏洞時,他們會以更新的形式發布補丁。 當網站所有者不更新他們的網站時,漏洞仍然存在。
發布補丁後,開發者公佈更新原因,即漏洞公開。 黑客現在知道安全漏洞及其存在的版本。 他們知道並非每個網站所有者都會立即更新他們的網站,因此他們開始尋找運行易受攻擊版本的網站。 這個時間間隔給了他們成功入侵大量網站的好機會。
舉個例子,統計數據顯示超過 80% 的網站因為沒有更新而被黑!
您必須定期更新您的 WordPress 網站。 了解如何安全地更新您的 WordPress 網站。
您可能會注意到,有些插件和主題的開發人員很長時間沒有更新了。 在大多數情況下,軟件是被開發人員放棄的。 最好從您的網站上刪除插件或主題並安裝替代品。
[返回頂部↑]
5.使用SSL證書
快速瀏覽一下這個網站的網址。
注意到鎖了嗎? 此鎖定意味著該站點正在使用 SSL 證書。 SSL 是一種安全套接字層,可在數據在瀏覽器和網站之間傳輸時對數據進行加密。
為什麼? 因為從訪問者的瀏覽器傳輸到您的網站的數據(如信用卡詳細信息)可能會被攔截和竊取。 因此,即使數據被盜,如果它被加密,黑客也無法使用它。
這是一份指南,可幫助您在網站上安裝 SSL 證書並將 WordPress 網站從 HTTP 遷移到 HTTPS。
[返回頂部↑]
6. 保護您的 WordPress 登錄頁面
登錄頁面是 WordPress 網站中最常受到攻擊的部分之一。 黑客試圖猜測登錄憑據並訪問 WordPress 管理區域,這將使他們能夠完全控製網站。 因此,在您的 WordPress 登錄頁面上實施正確的保護非常重要。 讓我們看看可以讓您保護登錄頁面並提高 WordPress 登錄安全性的不同技術。
我。 使用唯一的用戶名
如果你的用戶名很容易被猜到,那麼黑客只需要弄清楚密碼就可以了。 少了一件需要擔心的事情,這讓黑客的工作變得容易多了。
最常見的 WordPress 用戶名之一是“admin”。 直到幾年前,WordPress 還鼓勵人們使用“admin”作為用戶名。 儘管 WordPress 不再自動建議“admin”,但它仍然被廣泛使用。 因此,您必須採取措施確保您的管理員避免使用“admin”作為用戶名以及這些常用用戶名。
每次創建新用戶帳戶時都要查閱此列表,這對確保您的 WordPress 安全大有幫助。 此外,如果您的任何現有用戶正在使用通用用戶名,請告訴他們更改它。 這是一份指南,他們會發現對如何更改 WordPress 用戶名有幫助?
二. 更改您的顯示名稱
為了滲透您的網站,黑客會瀏覽您的網站並獲取顯示名稱。 他們使用這些名稱的不同組合來嘗試登錄。黑客知道擁有相同用戶名和顯示名稱的情況並不少見。 例如,如果 Sophia Lawrence 是一個顯示名稱,他們可能會嘗試使用sophialawrence或sophia.lawrence 或 sophia作為用戶名登錄。
因此,為了保護您的網站免受此影響,您可以更改您的顯示名稱。
轉到“編輯我的個人資料” 。 然後更改您的“暱稱” 。 保存更新。 現在,選擇“公開顯示名稱” 。 出現一個下拉菜單,您將在其中看到新的顯示名稱。 選擇它並保存設置。
如果黑客試圖使用顯示名稱,他們將不可避免地失敗。
[返回頂部↑]
三. 防止發現用戶名
除了顯示名稱外,另一種可用於從您的網站發現用戶名的方法是通過 WordPress Rest API。 這是一個嚴重的 WordPress 安全問題。 這個 WordPress 核心功能於 2016 年推出,允許任何人在您的網站上發現用戶信息。 他們所需要做的就是運行一個簡單的 URL: example.com/wp-json/wp/v2/users
為防止這種情況發生,請在 functions.php 文件中使用以下代碼片段。 如果您嘗試再次運行該 URL,它將隱藏用戶列表並返回 500 錯誤。
[php]
add_filter('rest_endpoints',函數($endpoints){
如果(isset($endpoints['/wp/v2/users'])){
取消設置($endpoints['/wp/v2/users']);
}
如果 ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {
取消設置( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );
}
返回 $ 端點;
});
[/php]
用戶名是登錄憑證的兩個組成部分之一。 讓我們看看第二個組成部分——密碼,並嘗試弄清楚如何保護它免受黑客攻擊。
[返回頂部↑]
四. 強制使用強密碼
任何密碼都可以保護我的網站,這還不夠嗎? 答案是否定的,因為黑客不斷嘗試猜測 WordPress 網站的密碼以闖入。
他們使用一種稱為暴力攻擊的技術,在這種技術中,他們對機器人進行編程,使其在幾分鐘內嘗試進行數百萬次登錄嘗試來猜測您的憑據。
如果您使用像Passw0rd123$這樣簡單的密碼,機器人會在幾次猜測後破解它。 這就是為什麼擁有一個獨特且複雜的密碼很重要。
WordPress 鼓勵用戶自動生成強密碼,但您仍然可以使用弱密碼創建帳戶。 因此,使用強密碼的責任就落在了您的肩上。
您可以教育您的 WordPress 管理員使用強密碼。 設置強密碼的準則如下:
– 創建長密碼
通常,超過 8-10 個字符的密碼被認為是強密碼,通常難以破解。 您添加到密碼中的每個字符都會使其更強大。 然而,在過去幾年中,密碼破解技術有了長足的進步。 因此,許多 WordPress 安全人員建議使用長度為 15 個字符的密碼。
- 長密碼: pd&&)xG56ZhLNrjl4jjNJ4#h(難記)
- 長密碼: Its wolf was white as you know nothing John Snow(容易記住)
– 使用大寫、小寫和特殊字符的組合
在暴力攻擊中,機器人被編程為執行密碼破解程序。 他們遵循特定的指示,例如,他們會嘗試通過組合不同的小寫字母(“a”、“b”、“c”等)來猜測正確的密碼。 使用像“testpass”這樣簡單的密碼意味著他們只需嘗試幾次就可以破解密碼。
因此,如果您同時使用小寫和大寫字符的組合,他們將需要很長時間才能找出密碼。 然而,一個真正編程良好的機器人每秒可以嘗試幾百萬個密碼。 因此,混合使用特殊字符、數字、小寫字母和大寫字母應該可以理想地使密碼難以預測且難以破解。
- 添加上限 - TestPass
- 添加數字和符號 – TestPass123$
– 避免使用常用詞和公開的細節
“測試”、“管理員”、“登錄”等常用詞是 WordPress 用戶傾向於使用的常用詞。 這些是機器人首先嘗試的一些密碼,因此請避免使用它們。 根據 Splashdata 的信息圖,最常用的前 25 個密碼是:
- 常見的運動和興趣,如“棒球”、“足球”、“星球大戰”、“公主”、“獨唱”等。
- 按順序排列的數字,如“87654321”、“0123456”等。
- 按順序排列的字母,如“abc123”等。
以您的網站為目標的黑客可能會從您的網站獲取詳細信息並進行嘗試。 例如,如果您有一個圍繞您最喜歡的電視節目《權力的遊戲》建立的網站,機器人會嘗試使用該短語的各種組合來闖入您的網站,例如“GoThrones123”或“gameofthrones123”。 為防止這種情況發生,請設計一個不提及與網站相關的任何內容的密碼。
保護密碼可以最大限度地減少安全漏洞的可能性。 但是強密碼很難記住,除非你有一些技巧。
[返回頂部↑]
v. 基於驗證碼的保護
除了使用唯一的用戶名和強密碼外,使用驗證碼是另一種防止對 WordPress 網站進行暴力攻擊的完美方法。
在一定次數的登錄嘗試失敗後,將生成一個 CAPTCHA 以確定用戶是人類還是機器人。 驗證碼被設計為機器人無法讀取。 因此,它阻止了暴力攻擊,因為機器人在解決驗證碼之前無法訪問登錄頁面。
像 MalCare 這樣的 WordPress 安全插件會生成基於圖像的驗證碼,只能由真實的人類用戶解決。
CAPTCHA 旨在防止黑客機器人破解您的憑據,非常棒。
[返回頂部↑]
六. 實施雙因素身份驗證
您是否注意到 Facebook 和 Gmail 等流行服務在用戶嘗試登錄時如何對用戶進行身份驗證? 代碼會發送到與您的帳戶關聯的智能手機,以幫助驗證用戶。 這稱為雙因素身份驗證。
WordPress 不提供雙因素身份驗證。 因此,要在您的 WordPress 網站上實施此操作,您可以按照本指南了解如何添加 WordPress 雙因素身份驗證。
[返回頂部↑]
[ss_click_to_tweet tweet=”每天都有數百個網站遭到黑客攻擊。 立即採取預防措施,保護您的網站免受黑客和機器人的侵害。 “內容=””樣式=”默認”]
7.設置防火牆
在您網站上收到的數百次訪問中,有些是惡意的。 這些訪問者來到您的站點是為了尋找他們可以利用的漏洞來控制您的站點。
WordPress 防火牆會檢查對您網站發出的每個訪問者請求。 無論訪問者使用什麼設備——台式機、智能手機、平板電腦、筆記本電腦——每台設備都與一個 IP 地址相關聯。 如果請求來自可疑 IP,訪問者將被阻止,否則將被允許訪問該站點。 一個好的防火牆是抵禦惡意流量的第一道防線。
像 MalCare 提供的 WordPress 防火牆插件帶有一個高級防火牆,可以提供更好的安全性。 它不僅會檢查您網站上的流量請求,還會記錄不良流量。 這意味著當它遇到一個新的壞 IP 時,它會記錄下來。 如果不良 IP 再次嘗試訪問您的網站,它會立即被阻止。
[返回頂部↑]
8. 強化你的網站
我們確定了黑客利用的 WordPress 網站的一些常見區域。 例如,可能會使用您的安全密鑰來訪問您的網站或在您的網站上安裝惡意插件或主題。 為了保護您的網站免受黑客攻擊,您需要採取措施來加強您的網站。
我們有一份指南可以幫助您採取 WordPress 強化措施。
[返回頂部↑]
9.採用最小特權原則
WordPress 提供 6 個默認的 WordPress 用戶角色:管理員、編輯、作者、貢獻者、訂閱者和超級管理員。 必須仔細分配這些角色。 每個角色都有自己的一套權力和責任。 讓我們來看看它們:
管理員位於層次結構的頂部。 他對網站擁有完全控制權,可以執行以下功能:
- 創建、編輯和刪除內容
- 編輯插件和主題代碼
- 管理所有插件和主題
- 創建、修改和刪除用戶帳戶
隨著層次結構的向下,權限會減少。 編輯不能進行重大更改,但他可以管理類別和鏈接、審核評論、創建、編輯和刪除帖子以及頁面。 作者、貢獻者和訂閱者的權限較少。
最高責任是管理員的責任,應將其權利授予您確信不會濫用權力的人。
如果錯誤的人獲得了管理員權限,他們就可以利用這個角色。 他們可以安裝流氓插件和主題、竊取您的數據並高價出售、存儲非法文件和文件夾等。
[返回頂部↑]
10. 阻止可疑 IP 地址
如果您的網站上安裝了 MalCare 等 WordPress 安全插件,請查看嘗試登錄失敗的 IP 地址的日誌。
請注意他們中的一些人如何使用常見的用戶名(我們在“使用唯一用戶名”部分中談到了這一點),例如“adm2016”。 下圖是在我們的一個網站上嘗試登錄失敗的記錄。
要阻止這些惡意 IP 地址,請將代碼放入您的 .htaccess 文件中:
[php]
訂單允許,拒絕
拒絕來自 61.134.52.164
允許所有
[/php]
將“61.134.52.164”替換為您要禁止的 IP 地址並保存文件。
[返回頂部↑]
11.實施國家封鎖
萬維網使黑客可以訪問全球各地的網站。 他們可能位於俄羅斯,目標是來自紐約的網站。
統計數據顯示,黑客攻擊源頭前五的國家分別是中國、美國、土耳其、巴西和俄羅斯。
如果您安裝了 MalCare,則很容易檢查試圖登錄您網站的用戶。 你可以看到他們的原籍國。
如果您的用戶僅位於美國,那麼來自其他國家/地區的登錄嘗試很可能是惡意的。
在上圖中,我們可以看到來自四個不同國家的登錄嘗試——美國、英國、俄羅斯和中國。
現在,如果您只針對美國等特定國家/地區,則不需要來自其他國家/地區的流量,因此您可以阻止英國、俄羅斯和中國。
要了解如何實施國家/地區封鎖,請借助本指南了解如何在 WordPress 中封鎖一個國家/地區?
[返回頂部↑]
12. 隱藏 WordPress 版本
黑客查明您是否有任何具有已知 WordPress 漏洞的文件的另一種方法是查找您正在使用的 WordPress 版本。 有時,網站所有者會錯過新的 WordPress 更新,從而使他們的網站容易受到攻擊。
黑客可以利用之前版本的核心 WordPress 安裝中可能存在的任何漏洞。 因此,隱藏您正在使用的 WordPress 版本可能會有用。
為此,您需要在 function.php 文件中放置一段代碼。
第 1 步:登錄您的主持人帳戶。 訪問 cPanel > 文件管理器 > public_html。
第 2 步:在 public_html 文件夾中,訪問 wp-content 並選擇您的活動主題的文件夾。
例如,如果您使用默認的 WordPress 主題 Twenty-Nineteen,請選擇名為“twenty ninesteen”的文件夾。
請注意,'personalblogily' 是我們當前使用我們網站的主題,您可以使用不同的主題。
第 3 步:右鍵單擊 function.php 文件並選擇編輯。 在這裡,放置以下代碼。
[php]
函數 wpbeginner_remove_version() {
返回 ”;
}
add_filter('the_generator', 'wpbeginner_remove_version');
[/php]
保存文件,這將刪除 WordPress 版本號,使其不再顯示在您網站的任何位置。
[返回頂部↑]
13. 檢查活動日誌
密切關注 WordPress 網站上發生的一切,可以讓您及早發現可疑行為。 這將幫助您在任何可能的惡意黑客攻擊真正發生並損壞您的 WordPress 網站之前阻止它們。
您可以通過安裝一個插件來做到這一點,以在 WordPress 活動日誌中記錄您的 WordPress 網站上發生的所有事情。 您可以選擇幾種不同的插件。 WP Security Audit Log 就是這樣一個插件。
14. 僅使用電子郵件地址登錄
在 WordPress 登錄頁面,您可以使用您的用戶名或電子郵件 ID 登錄。因此,禁用用戶名可以阻止黑客對您的網站執行暴力攻擊。
有像 No Login by Email Address 這樣的插件可以讓您阻止使用用戶名登錄您的網站。
[返回頂部↑]
15. 使用 HTTP 認證
HTTP 身份驗證為 WordPress 登錄頁面提供了一層保護,是實現 WordPress 安全的重要一步。 要訪問該頁面,用戶需要輸入 HTTP 憑據。 否則,將不允許他們訪問您網站的登錄頁面。
諸如 HTTP Auth 之類的插件有助於在您的登錄頁面上設置此保護層。 請記住與您的用戶共享 HTTP 身份驗證憑據。 否則,他們會發現自己被鎖定,無法登錄您的站點。
這樣,我們就結束了 WordPress 網站的高級安全措施。
[返回頂部↑]
常見但過時的 WordPress 安全措施
在 WordPress 安全領域,網站所有者往往會得到很多建議。 但其中一些建議並不是很有效。 我們將列出一些帶有主要缺點的常見安全建議。 這些措施並不能真正保護您的網站,因為黑客已經找到了繞過這些措施的方法。
- 隱藏 WordPress 登錄頁面
- 設置密碼過期
- 無活動時自動註銷
1.隱藏WordPress登錄頁面
黑客很少針對單個網站。 他們對自動機器人進行編程以對 WordPress 登錄頁面發起攻擊。 任何長期使用 WordPress 的人都知道 WordPress 網站帶有一個默認的登錄頁面 URL,如下所示:' example.com/wp-admin' 。
這使得自動化機器人的工作變得更加容易。 因此,將您的網站登錄頁面更改為“example.com/wrongpage”之類的內容可能會轉移迎面而來的攻擊。
有幾個插件可以幫助您隱藏您的 WordPress 登錄頁面,例如 WPS Hide Login、Hide WP-Admin 等。
缺點:雖然這可以輕鬆防止自動黑客攻擊,但不能保證您的網站是安全的。 這主要是因為像 WPS Hide Login 這樣的工具提供了一個默認的登錄 URL。 因此,成千上萬使用該工具的網站都使用相同的 URL 作為其登錄頁面。 黑客很容易找出URL格式並發起攻擊。
此外,在未正確通知所有用戶的情況下隱藏登錄頁面可能會非常不方便。 它甚至會花費您一天的工作時間。
[返回頂部↑]
2.設置密碼過期
您一定已經註意到,在電子銀行服務中,他們會在特定時間段過後要求您更改密碼。 這是一項安全措施,可確保如果您的帳戶被黑客入侵,黑客只會在有限的時間內利用您的帳戶。 在您的 WordPress 網站上應用相同的措施可以減少損害。
使用過期密碼插件,您可以將用戶密碼設置為在特定天數後過期。 所有用戶都被迫更新他們的密碼。
缺點:此措施確實提供了一定程度的安全性,但黑客會找到超越它的方法。 例如,當他們入侵您的網站時,他們會創建新的用戶帳戶或安裝隱藏的後門。 因此,即使您定期更改密碼,他們也已經創建了其他訪問點。
[返回頂部↑]
3. 沒有活動時自動註銷
對於擁有多個用戶的網站,濫用用戶權利的可能性很高。 對於遠程工作的用戶來說甚至更高。 用戶可能不得不離開辦公桌去處理緊急事務而忘記註銷。
如果有人在此期間濫用網站怎麼辦? 為降低此類濫用的風險,您可以將 WordPress 網站設置為在用戶長時間不活動時自動註銷用戶。
Inactive Logout 插件提供了 Idle Session Logout 功能。 這允許您設置可接受的不活動時間段,例如 10 或 20 分鐘,之後用戶將自動註銷。
缺點:但是如果有人想窺探您的網站,他們很可能會在用戶離開後立即行動。 在這種情況下,註銷閒置用戶並不能防止濫用用戶權利。
[返回頂部↑]
[ss_click_to_tweet tweet=”擔心您的網站安全? ??? 採取這些可行的步驟來保護您的網站免受安全漏洞的侵害。” 內容=”” 樣式=”默認”]
最後的想法
我們知道這真的是一篇很長的文章,而且也有點讓人不知所措。 但在你想去小睡之前,我們建議你這樣做——
- 收藏這篇文章。
- 與朋友和鄰居分享 - 任何您認為會從遵循我們的指南中受益的人。
- 從我們的 WordPress 博客中查看更多指南,例如使用 wp-config.php 保護您的 WordPress 網站。
我們真誠地希望您發現本文對您有所幫助。 我們想留給您最後一個想法 – 採取所有這些安全措施可能會非常困難,因此我們建議運行定期的 WordPress 安全審核並選擇高級 WordPress 安全插件,例如 MalCare 來為您處理安全問題。
借助 MalCare,您將可以使用防火牆、定期惡意軟件掃描、WordPress 強化等出色的安全功能。 知道您網站的安全得到妥善處理,您就可以高枕無憂了。
立即試用我們的 WordPress 安全插件 – MalCare !