最佳 WordPress 安全清單 [終極指南]
已發表: 2022-04-22如果你想保護你的 WordPress 網站,你會在網上找到很多建議,其中一些是好的,一些是徹底的破壞性的,儘管是善意的。
當談到 WordPress 安全性時,您需要能夠信任您的來源並找到不僅可信而且可行且適用的信息。 僅在 2020 年,惡意軟件攻擊就增長了 150% 以上,而且這一數字似乎不會很快放緩。 因此,保護您的 WordPress 網站需要成為您的第一要務。
保護您的 WordPress 網站的最佳方法是安裝一個安全插件並讓它處理繁重的工作。 但即使沒有,您仍然可以通過遵循下面討論的 WordPress 安全檢查表在很大程度上保護您的網站。
TL;DR:使用 MalCare 保護您的 WordPress 網站,並避免定期與安全相關的維護。 WordPress 安全性是您需要修補的迷宮般的漏洞。 請參閱我們的 WordPress 安全檢查表,以確保您不會錯過任何重要的事情。
保護您的 WordPress 網站的最簡單方法
正如我們所說,保護 WordPress 網站的最佳方法是使用安全插件,特別是 MalCare。 MalCare 不僅自動處理 WordPress 安全清單,而且您無需擔心跟踪每一個小細節。
MalCare 具有多項功能,可協同工作以確保您的網站安全。 但它的三大功能可確保您的網站沒有惡意軟件——掃描、防火牆和清理。 使用 MalCare,您可以在 WordPress 網站上安排自動掃描,並在檢測到任何可疑情況時收到警報。 MalCare 還使用智能防火牆保護您的站點,阻止大多數攻擊。 最重要的是,如果您的網站遭到黑客攻擊——鑑於沒有網站可以萬無一失,MalCare 只需單擊一個按鈕即可在幾分鐘內清理您的網站。
您應該選擇 MalCare 的另一個原因是,通過手動安全措施,總是有可能出現人為錯誤。 但是安全性錯誤可能給您帶來的不僅僅是幾美元。 如果黑客攻擊變得更糟,它們可能會導致數據被盜、網站遭到破壞、客戶流失,最重要的是,您的企業會失去信任。
終極 WordPress 安全清單
WordPress 網站有太多元素,以至於跟踪所有內容可能會讓人不知所措。 我們根據您處理任務所需的時間頻率為您編制了一份 WordPress 安全檢查表。
日常安全
網站安全是一個持續的過程,不能是一次性的承諾。 但是有一些方法可以使日常任務自動化。 這些任務可確保您的站點免受任何意外問題或威脅的影響。
掃描您的網站
每天掃描您的網站以查找惡意軟件非常重要。 互聯網上每 38 秒就有一個網站被黑客入侵,您很有可能就是其中之一。 定期掃描您的網站可確保您是第一個知道您網站上的任何威脅或惡意軟件的人,並幫助您在攻擊者對您的網站造成任何損害之前採取行動。
如果每天手動掃描您的網站對您來說似乎很乏味,您可以選擇像 MalCare 這樣的安全解決方案,它允許您每天安排自動掃描,這樣您就不必擔心錯過掃描或不得不親自運行它們.
備份您的網站
備份 WordPress 網站的原因有很多,但其中最重要的是安全性。 如果未及時檢測到,惡意軟件可能會對您的 WordPress 網站造成嚴重破壞,從而導致數據丟失或網站損壞。 通常,如果網站被感染,網絡主機會從其服務器中刪除網站,除非您有網站的獨立備份,否則您將不得不從頭開始。
重要的是每天備份高價值網站,以免丟失任何重要內容。 對於需要實時備份的 WooCommerce 網站尤其如此。 像 BlogVault 這樣的便捷解決方案可以讓這個過程變得非常簡單。 BlogVault 允許您每天或實時安排備份,具體取決於您的要求,並將這些備份存儲在外部服務器上,這樣即使您的網站服務器被黑客入侵,備份仍然保持安全。
每月安全
檢查活動日誌
惡意軟件、廣告軟件或其他類型的惡意程序的黑客攻擊和安裝通常是秘密發生的。 通常,唯一可見的痕跡可以在您站點的活動日誌中找到,這是按時間順序記錄的已執行活動和所做更改的記錄。 因此,最好每月檢查您網站的活動日誌以查找任何不一致或可疑活動。 它可以幫助您追踪一些重要的細節,以防您的網站被黑客入侵,例如涉及哪些 IP 地址,以及它是如何發生的。
如果您的網站是一個高產量的網站,即您每天或每週發佈內容,那麼每月檢查一次活動日誌可能會讓人不知所措,因為網站上有很多變化。 在這種情況下,您可以每週或每兩週檢查一次活動日誌。
WordPress 默認不提供活動日誌,因此您必須依賴插件。 或者,MalCare 為您提供詳細且易於理解的活動日誌以及完整的 WordPress 安全性。
更新您的網站
理想情況下,您應該在發布新更新後立即更新您的 WordPress 網站,但執行每月更新也可以。 通過遵守每月更新計劃,您可以確保您的網站得到很好的保護,並且任何新漏洞都得到了修補。
更新通常很可怕,因為眾所周知它們會破壞網站。 但是,如果您使用 BlogVault 之類的插件,您可以在臨時站點上測試您的更新,並將更改與您的實時站點無縫合併。
檢查搜索控制台
將您的 WordPress 網站添加到 Google 的 Search Console 有許多與 SEO 相關的好處,但它也可以幫助您的網站安全。 Google 的 Search Console 有一個安全問題標籤,可以標記它在您的網站上檢測到的任何惡意軟件,因此不時檢查它可以幫助您檢測惡意軟件。
如果您定期使用 MalCare 掃描您的網站,您將已經在您的網站上檢測到惡意軟件。 但是,查看 Google 是否認為您的網站上正在進行任何可疑活動仍然是一個好習慣。
刪除未使用的主題和插件
刪除舊的和未使用的主題和插件有兩個目的。 首先是加速您的網站,因為太多的文件會導致膨脹和服務器速度下降。 第二個是確保您的網站不會受到他們的攻擊。 未使用的主題和插件通常會被忽略且不更新,從而產生容易被利用的漏洞。 因此,請務必每月檢查您使用的所有主題和插件,並刪除那些已經達到目的的主題和插件。
注意:還要檢查您網站上的任何虛假插件。 惡意軟件通常作為插件文件夾隱藏,但假插件只有一兩個文件,無法在 WordPress 存儲庫中找到,並且具有奇怪的名稱,例如“azzz”或“tiff”。
更新您的憑據
長時間使用相同的憑據或在多個帳戶中重複使用它們是一個主要風險。 為了保護您的 WordPress 網站,請至少每月更新一次密碼。 這可確保任何可能獲得您密碼的黑客都無法使用它,並且還會將您從所有設備上的帳戶中註銷。 雖然有點不方便,但它確保您可以控制對您網站的訪問。
檢查用戶角色和權限
WordPress 網站上的用戶帳戶與管理員帳戶一樣重要。 如果黑客可以訪問任何帳戶,他們可以感染您的站點,升級他們的角色權限,甚至將您鎖定在您自己的站點之外。
確保站點上的每個用戶都只有必要的權限,並刪除舊用戶帳戶。 還要檢查是否有任何用戶權限在未經您授權的情況下被提升,這可能是惡意軟件的跡象。
阻止惡意 IP
阻止或限制惡意 IP 可以讓您的生活變得更加輕鬆。 如果您被黑客入侵,您可以追踪它發生的 IP 地址,並簡單地阻止它。 這會阻止具有該 IP 地址的任何人訪問您的站點。 此方法用於打擊黑客、阻止機器人或巨魔,並將未經授權的用戶拒之門外。 如果您使用防火牆,它會自動為您阻止惡意 IP。
如果您遇到來自該地區的反復攻擊,您還可以阻止整個地理區域。
測試你的備份
如果最壞的情況發生並且您的 WordPress 網站出現故障,您可以依靠備份使其重新啟動並運行。 但是您需要確保您的備份也是安全的。 如果您的備份已被黑客入侵,恢復它們將毫無意義。 同樣,您還需要測試它們是否正常工作,否則您將恢復損壞的站點。 如果您使用 BlogVault,您可以輕鬆地測試您的備份,並確保它們是可靠的。
更新 WordPress 鹽
WordPress 使用鹽作為其加密過程的一部分。 鹽是在加密之前添加到密碼中的隨機字符串。 結果字符串是一個散列,這就是存儲在數據庫中的內容。 這樣,如果黑客能夠從數據庫中獲取散列密碼並對其進行解密,他們仍然不知道密碼的哪一部分實際上是密碼以及什麼是鹽。 他們知道這一點的唯一方法是他們是否可以訪問配置文件中的鹽和安全密鑰。
這類似於密碼在瀏覽器 cookie 中的存儲方式。 您可以保持登錄到任何站點的原因是會話信息存儲在 cookie 中。 但是,如果將明文密碼存儲在那裡,那就很危險了。 所以 WordPress 改為存儲加鹽和散列的版本。 訪問鹽並不意味著您可以解密哈希,但它確實降低了安全級別。 因此,定期更新您的 WordPress salts 非常重要。
為了長期安全
檢查 SSL
SSL 是一種安全協議,旨在加密進出您的網站服務器的任何通信。 這可以阻止攻擊者訪問、讀取或更改任何正在傳輸的信息。
通常,在獲取域或託管計劃時,您會使用 SSL 保護您的網站。 但是,SSL 證書大約每兩年到期一次,您需要確保最早對其進行更新。 如果用戶在您的網站上執行交易,這一點就倍加重要,因為任何安全漏洞都可能導致信用卡詳細信息或銀行賬戶詳細信息洩露。
檢查託管計劃
如果您忘記按時更新您的託管計劃,您的 WordPress 帳戶將被暫停。 這可能會導致許多問題。 您的網站流量會受到打擊,您會失去客戶,甚至可能會丟失數據。 定期檢查您的託管服務還可以讓您分析您的網站流量和服務器使用情況。 過高的服務器使用率是蠻力攻擊的常見症狀,儘早發現此類攻擊更有可能阻止它們。 當您及早收到暴力攻擊警報時,您可以在黑客訪問您的網站之前採取行動並保護您的網站。
一次性措施確保全面安全
雖然需要不斷審查 WordPress 安全性,但您可以採取一些措施,而不必不斷更新。
投資強大的防火牆
防火牆通過過濾掉惡意流量來保護您的 WordPress 網站,並在大多數攻擊感染您的網站之前阻止它們。 有幾種防火牆,如 Web 應用程序防火牆、網絡防火牆或基於雲的防火牆。 MalCare 等強大的 Web 應用程序防火牆允許您過濾網站流量,並根據登錄嘗試次數或地理位置阻止訪問者。
實施 HTTP 身份驗證
HTTP 身份驗證是一種協議,它只允許那些打算訪問它的人訪問 Web 資源。 HTTP 身份驗證通過在請求某個網頁時詢問用戶名和密碼來限制訪問。 現在顯然,您不能對整個網站執行此操作,但為您的管理儀表板或登錄頁面實施它可以顯著減少機器人攻擊的數量。
使用雙重身份驗證
雙因素身份驗證是一種要求用戶提供兩個單獨的密鑰才能訪問帳戶的方法。 例如,如果您嘗試訪問您的電子郵件,通常需要提供用戶名和密碼,但是當您實施雙重身份驗證時,您還必須提供實時創建的密鑰,例如- 時間密碼或 PIN。 這降低了登錄嘗試的次數,並且不會讓您的網站服務器因登錄請求而不堪重負。 它還可以保護您的網站免受暴力攻擊。 您可以使用 2FA 之類的插件為您的站點啟用雙重身份驗證。
限制登錄嘗試
我們已經討論過如何限制登錄嘗試。 默認情況下,WordPress 允許無限制的登錄嘗試,這為黑客嘗試通過暴力攻擊訪問您的 WordPress 帳戶提供了一個成熟的機會。 限制登錄嘗試的最簡單方法是使用像 MalCare 這樣的安全插件,或者您可以將自定義代碼添加到您的 function.php 文件中。
禁用 XML-RPC
與 WP REST API 類似,XML-RPC 是 WordPress 的一項功能,可讓您遠程發佈內容。 如果您使用 WordPress 應用程序或需要啟用引用和 pingback,這很有用,但否則,黑客可以利用它通過暴力攻擊訪問您的網站。 這裡最簡單的解決方案是使用插件或手動禁用它。
禁用目錄瀏覽
當您的服務器找不到網站的索引文件時,它會顯示目錄內容的索引。 如果黑客可以訪問此信息,他們可以檢查您的網站上是否有任何易受攻擊的文件。 這會使您的網站面臨重大安全風險。
為了避免這種情況,您可以通過在 .htaccess 文件中添加一行代碼來禁用目錄瀏覽。 按照以下步驟禁用 WordPress 網站上的目錄瀏覽。
- 通過 FTP 客戶端在您的站點上下載 .htaccess 文件。
- 打開文件並將以下代碼添加到文件底部:
選項所有索引
- 現在保存文件,然後重新上傳。 您必須先從您的站點中刪除原始文件。
限製文件權限
您網站上的文件權限決定了誰可以訪問您網站的哪些部分以及誰可以修改它們。 通常,您的網絡主機會為您配置所有這些信息。 但了解文件權限並確保以最佳方式配置它們仍然是一個很好的做法。
如果您想了解文件權限的工作原理以及如何針對您的網站安全進行優化,請閱讀我們的指南,該指南詳細且適合初學者。
隱藏 wp-config 文件
您網站上的 wp-config 文件充滿了敏感信息,例如密碼、密鑰和鹽。 如果黑客獲得了對文件的訪問權限,這就像為他們在網站上鋪上紅地毯一樣。 wp-config 文件默認位於 public_html 文件夾中,因此黑客知道在哪裡尋找它。 但是您可以更改文件的位置,它仍然可以正常工作,同時有效地隱藏敏感信息。
在特定文件夾中禁用 PHP 執行
黑客可以偽裝成核心 WordPress 文件在您的網站上上傳 PHP 文件並獲得對您網站的訪問權限。 一些像 wp-uploads 這樣的文件夾根本不應該有 PHP 文件。 那麼在這種情況下你會怎麼做呢?
您可以在這些文件夾中禁用 PHP 執行,這樣即使黑客設法通過任何後門進入這些文件,他們也無法訪問您的站點。
為什麼網站安全很重要
WordPress 是一個安全的平台,但它非常受歡迎並吸引了各種關注。 其中一些是邪惡的。 為了確保黑客無法訪問您的網站,您需要確保您的網站安全是最新的,否則您可能會面臨以下可怕的後果:
- 客戶流失
- 數據丟失
- 洩露的私人憑據
- 收入損失
- 法律問題
- 打擊品牌美譽度
- 失去信任
最後的想法
WordPress 的安全性並不神秘。 如果您採取一些步驟來保護您的網站,您將能夠抵禦攻擊和惡意軟件,並避免任何損害。 我們希望這個 WordPress 安全清單可以幫助您加強安全措施。
如果您想要一個不損害您的安全的無憂解決方案,MalCare 是唯一的選擇。 借助自動掃描、高級防火牆和一鍵式清理,MalCare 是一個 360 度的解決方案,可以保護您的站點。
常見問題
如何保護我的 WordPress 網站?
保護您的 WordPress 網站的最簡單方法是安裝像 MalCare 這樣的安全插件。 MalCare 每天掃描您的網站以確保您的網站安全,並使用其先進的防火牆保護您的網站。 它還提供一鍵清理,以防出現黑客攻擊。
WordPress有安全問題嗎?
WordPress 是互聯網上超過一半的網站使用的安全平台。 然而,正是因為這種流行,它才引起了黑客的注意。 您可以使用安全插件保護您的 WordPress 網站,以確保您的網站不受這些元素的影響。
如何在沒有插件的情況下保護我的 WordPress 網站?
如果您希望在不使用插件的情況下保護您的網站,則需要定期執行多項安全檢查。 您必須執行站點掃描、備份、在站點的活動日誌中查找可疑行為,並手動清理您可能檢測到的任何惡意軟件。 黑客可以進入您的網站的方式不勝枚舉,而無需經常保持警惕即可保護您的網站的唯一方法是使用安全插件。