忙碌的自由工作者的 WordPress 安全指南 (2024)
已發表: 2024-11-22儘管 WordPress 的建置是為了安全,但它並不完全安全。它需要定期維護,當您管理客戶的 WordPress 時,您的責任會更大。
本 WordPress 安全指南列出了自由工作者和代理商自動為其客戶的 WordPress 網站提供安全保護的有效「一勞永逸」方法。對於您加入的每個新客戶,請遵循此清單以防範未來的威脅。
準備好?讓我們開始吧。
- 1保護 WordPress 網站的 16 個 WordPress 安全性策略
- 1.1 1. 為客戶站點選擇安全託管
- 1.2 2. 使用值得信賴的 WordPress 主題
- 1.3 3. 在一個儀表板中追蹤所有站點
- 1.4 4. 保持 WordPress、主題和外掛更新
- 1.5 5.以紮實的安全保障強化安全保障
- 1.6 6. 啟用 2FA 並限制登入嘗試
- 1.7 7. 分配所需的使用者權限
- 1.8 8. 自動封鎖垃圾郵件
- 1.9 9. 自動化 WordPress 備份
- 1.10 10. 設定自動惡意軟體掃描
- 1.11 11. 使用 CDN 防禦 DDoS 攻擊
- 1.12 12.安裝SSL憑證
- 1.13 13.刪除未使用的主題和插件
- 1.14 14.自動註銷空閒用戶
- 1.15 15.啟用Web應用程式防火牆(WAF)
- 1.16 16. 客戶站點的外包支持
- 2從正確的基礎開始
- 管理客戶的自由工作者的3 個WordPress 安全常見問題解答
保護 WordPress 網站的 16 個 WordPress 安全性策略
就像 WordPress 安全性在於遵循最佳實踐一樣,使用可靠、值得信賴的工具也同樣重要,您可以設定並忘記。話雖如此,這裡是 WordPress 安全策略,以及正確實施這些策略的正確工具和可行步驟。
1.為客戶站點選擇安全託管
建立堅實的基礎至關重要。對於 WordPress 網站,首先要選擇安全性、針對 WordPress 最佳化的網站寄存。您客戶的所有網站資料都將儲存在網站託管中,因此使用值得信賴的主機(例如 SiteGround)至關重要。
選擇 SiteGround 的 WordPress 優化託管計劃是完美的,因為它提供了完整的安全性 - 它將處理我們將在本文中討論的大部分策略。
例如,透過 SiteGround,您可以免費獲得安全優化器和速度優化器插件,因此您無需購買第三方選項。它會自動安裝和更新 WordPress 版本以保持最新。最後,它還包括高級快取解決方案、Web 應用程式防火牆 (WAF)、每日備份以及免費 CDN 和 SSL 憑證。
SiteGround 以其屢獲殊榮的 24/7 客戶支援而聞名,因此您不必 24/7 為您的客戶提供服務。當您無法聯繫時,您可以利用 SiteGround 的支援來回覆您的客戶。為了簡化事情,因為您將管理多個客戶端,選擇可以為您處理大部分事情的網站託管是明智且合乎邏輯的。
取得站點地面
SiteGround 提供的內容比我們討論的要多得多。閱讀這篇文章,了解 SiteGround 的 WordPress 優化託管功能,以便您可以充分利用它們的潛力。
2.使用值得信賴的WordPress主題
同樣,使用信譽良好、安全且值得信賴的 WordPress 主題可以降低可能破壞客戶網站的駭客攻擊或效能問題的風險。像 Divi 這樣的優質主題還可以為您帶來許多好處,例如定期更新、HTTPS 安全性、外掛相容性以及漏洞防護。
Divi 是一個安全的 WordPress 主題,受到超過一百萬網站所有者的信任。這是一個高度可自訂的主題,可讓您設計任何網站類型並使用其高級工具套件編輯其每個角落:
- 可視化拖放建構器,透過移動元素設計網站
- Divi Quick Sites 可在兩分鐘內產生功能齊全的網站
- Divi AI 讓AI為您創建網站
- 還有許多工具,例如內建的對比測試、數千個預先設計的頁面佈局和數百個內容元素,可以建立獨特的網站。
但 Divi 真正脫穎而出的是它對安全的關注。以下是我們如何確保 Divi 是 Divi 用戶的安全主題:
- 定期更新:我們更新 Divi 並修復錯誤,以確保其安全性並針對最佳效能進行最佳化。
- 與安全外掛程式的兼容性: Divi 旨在與流行的 WordPress 安全性外掛程式相容,因此您可以輕鬆增強客戶網站的安全性。
- 全面的文件和支援:您可以存取我們的詳細文件和專門支持,以安全地配置主題並解決任何安全問題。
- 使用者驗證和存取控制: Divi 登入表單模組可讓您將存取權限限制為僅授權成員。
- 最大限度地減少第三方依賴性:Divi 透過減少對第三方腳本和程式庫的依賴,最大限度地減少外部程式碼的潛在安全風險。
- 效能優化:增強的效能降低了拒絕服務 (DoS) 攻擊的風險,間接提高了使用 Divi 的網站的整體安全性。
您的客戶可能不會,但您知道安全的重要性,因此請為他們的所有網站使用 Divi 等安全主題。 Divi 不僅安全,而且非常適合代理商和自由工作者。 Divi 的年費為89 美元,您可以無限次下載和安裝,因此無需為每個客戶購買單獨的許可證 - 一個 Divi 會員資格足以管理您的投資組合網站。
獲取迪維
3. 在一個儀表板中追蹤所有站點
在沒有追蹤工具的情況下手動管理多個 WordPress 網站可能很快就會失控。登入不同的 WordPress 儀表板、記住使用者名稱和密碼以及追蹤更新可能會變得令人難以承受。這就是為什麼您應該使用像 Divi Dash 這樣的 WordPress 網站管理員。
Divi Dash 是一款 WordPress 網站管理器,可讓您確保客戶的網站始終保持最新狀態。您可以在一個儀表板中追蹤客戶的 WordPress、外掛和主題更新。它還會向您顯示網站運行狀況、資料庫和 WordPress 報告,以便您可以在一個地方優化所有網站,而無需登入各個網站。您可以使用 Divi Dash 執行以下任務:
- 大量更新WordPress、外掛和主題
- 安排外掛程式、主題和 WordPress 的自動更新
- 一鍵登入客戶的 WordPress 儀表板
- 透過刪除垃圾留言、垃圾貼文等來優化 WordPress 資料庫。
- 提前監控並修復站點健康問題
- 協作並將使用者角色指派給團隊成員
WordPress 管理儀表板簡化了在一個地方維護多個網站的安全性。借助 Divi Dash,您可以透過自動更新來進一步優化它,以避免忽視的風險,而忽略可能會導致未來的威脅。
最棒的是,只要您擁有 Divi 會員資格,Divi Dash 就完全免費。當您以89 美元購買 Divi 會員資格時,您可以在優雅主題會員區域訪問 Divi Dash,因此無需單獨支付 WordPress 網站管理員費用。
取得 Divi Dash(Divi 免費)
4. 保持 WordPress、主題和外掛更新
不更新 WordPress、外掛和主題就像為威脅敞開大門一樣。如果不定期更新,您客戶的網站就會變得容易受到攻擊,因為這些更新通常可以解決關鍵的安全性問題。因此,保護客戶網站安全最重要的事情就是保持 WordPress、主題和外掛程式處於最新狀態。
然而,說起來容易做起來難,尤其是對於管理網站組合的自由工作者和機構。這對手動操作來說是一項挑戰,但使用 Divi Dash 則不然,它可以讓您透過幾次點擊在一個儀表板中批次更新和安排不同 WordPress 網站的自動更新。
您可以使用「更新」部分右上角的「更新所有內容」按鈕來更新所有內容。您可以透過造訪網站、主題和外掛程式來查看各個外掛程式、主題或網站。您還可以在特定的日期和時間自動更新,這樣您就可以設定它並忘記它。
養成保持 WordPress、主題和外掛最新的規則。 Divi Dash(您的 Divi 會員免費)讓管理 WordPress 變得輕而易舉。您可以大量更新或安排自動更新,以避免追蹤所有內容。
5.以紮實的安全保障強化安全保障
更新 WordPress、外掛和主題不足以提高網站安全性。您需要一個專用的 WordPress 安全性外掛程式(例如 Solid Security)來啟用必要的設定並自動保護客戶的網站。
可靠的安全性的主要特點
- 惡意軟體掃描
- 暴力攻擊預防
- 雙重認證 (2FA)
- 限制登入嘗試
- 強密碼執行
- 文件權限檢查
- 停用 XML-RPC(針對 DDoS 攻擊和暴力嘗試)
- 更改預設 WordPress 登入 URL
- 禁用目錄索引
- wp-admin 的 IP 白名單
- 自動資料庫備份
- HTTP 安全標頭
- 使用者活動記錄和監控
- 文件更改檢測和警報
透過使用 Solid Security,您可以自動執行許多關鍵的安全任務,最大限度地降低人為錯誤的風險,同時確保客戶的 WordPress 網站受到持續監控和保護。
本文中提到的許多任務都可以單獨使用這個插件來處理!
獲得可靠的安全保障
然而,僅僅安裝插件是不夠的。您需要配置正確的設定才能部署最佳的安全性。這是我們有關配置 Solid Security 的深入教學。
6.啟用 2FA 並限制登入嘗試
多個使用者登入和登出 WordPress 可能會帶來安全風險。因此,您需要追蹤 WordPress 用戶登入。您可以執行一些操作,例如設定 2FA、限制登入嘗試以及隱藏 WordPress 登入 URL。
首先,設定 2FA 僅允許授權使用者(例如您的客戶、您和團隊成員)存取 WordPress。要設定 2FA,您可以安裝 Solid Security 插件,該插件僅在使用者輸入正確的身份驗證代碼時才允許成功登入。
接下來,您應該限制登入嘗試。駭客嘗試多種密碼組合來獲得未經授權的存取。透過設定限制,您可以降低這些攻擊的風險並保護敏感資料。 Solid Security 還允許您設定強力保護。
最後,您需要隱藏客戶的 WordPress 登入 URL,讓駭客難以猜測使用者名稱和密碼。使用 Solid Security 的隱藏後端設定來修改登入 URL 並隱藏預設 URL。它是最好的安全插件之一,但您也可以檢查 JetPack 以了解更多功能。
獲得可靠的安全保障
7. 分配所需的使用者權限
您還需要確保僅將必要的權限指派給具有特定使用者角色的團隊成員,以便有限的人員擁有完整的網站存取權。理想情況下,您的客戶應該具有管理員存取權限,但他們可能不會經常管理其網站。對於這些情況,您可以將存取權限指派給受信任的團隊成員。
與 WordPress 角色編輯器不同,Divi Dash 和 Divi 角色編輯器可讓您輕鬆地精細管理使用者存取。
只需單擊即可新增更多用戶、刪除用戶以及登入網站。 Divi Teams 也與 Divi Dash 合作,因此您的所有團隊成員都可以免費存取 Divi Dash。他們不需要追蹤您所有客戶的使用者名稱和密碼——Divi Dash 會將它們與每個客戶和使用者個人資料一起儲存。
使用Divi 角色編輯器,您可以根據每個用戶端的特定請求來變更不同使用者角色的存取權限。例如,要限製商店經理對 Divi Page Builder 的訪問,請停用商店經理的 Page Builder 設定。
使用 Divi Dash 和 Divi Role Editor 監控使用者存取並保護您的用戶端網站免受未經授權的存取。透過僅授予團隊成員必要的權限,您還可以保護管理員設定等關鍵頁面。
為了提高安全性,您還應該定期監控客戶網站上的使用者活動。要自動執行此步驟,請安裝 WP 活動日誌插件,該插件會追蹤並通知您可疑活動。
取得 WP 活動日誌
8. 自動封鎖垃圾郵件
隨著客戶網站的發展,垃圾評論和表單提交的風險也會增加。為了避免手動清理垃圾郵件,請使用 Solid Security 進行自動保護:
- 黑名單功能:封鎖已知的垃圾郵件 IP 位址或整個範圍以防止存取。
- reCAPTCHA 整合:整合 Google reCAPTCHA 以保護電子郵件、評論和聯絡表單,確保只有真實使用者才能提交條目。
- 機器人封鎖:防止機器人透過評論部分、聯絡表單和註冊表單發送垃圾郵件。
雖然 Solid Security 提供了強大的一般保護,但您可以透過添加專門的反垃圾郵件外掛程式(例如 CleanTalk)來進一步增強防禦,該外掛程式可以跨評論、表單和 WooCommerce 頁面提供即時垃圾郵件過濾。
每隔一段時間,您就可以使用 Divi Dash 手動優化客戶的 WordPress 資料庫。對於客戶的網站,捲動至「最佳化」部分,然後按一下「全部刪除」。這將清除垃圾評論和垃圾項目。
透過結合 Solid Security、CleanTalk 和 Divi Dash,您可以有效保護客戶的網站免受垃圾郵件的侵害,同時簡化清潔過程。
9. 自動化 WordPress 備份
WordPress網站需要定期備份,以便當駭客危害您的網站時,您可以快速恢復未受損的版本並還原您的網站。作為自由工作者或代理機構,手動備份每個網站可能具有挑戰性,尤其是當您必須每天執行此操作時。
您可以自動執行定期備份,以便每天自動下載客戶網站的最新版本並將其儲存在雲端儲存中,而無需您的參與。有了 UpdraftPlus,一切都有可能。
它創建每日備份,將其儲存在雲端儲存上,並透過加密來保護儲存的資料。
UpdraftPlus 還包括一個易於使用的遷移工具,只需點擊幾下即可複製整個網站或將其移至新主機。這使得您的網站更新速度更快,減少了停機時間,並消除了轉移網站的常見麻煩。
請閱讀我們深入的 UpdraftPlus 評論,以正確配置它並啟用更多設定來提高網站安全性。
取得UpdraftPlus
10. 設定自動惡意軟體掃描
跳過定期的惡意軟體掃描可能會使您客戶的網站成為駭客的容易攻擊目標。這可能會導致資訊被盜、搜尋排名下降以及失去客戶信任。
但是,手動檢查每個網站需要時間,並且您可能會錯過一些威脅。為了讓事情變得更簡單,請使用 JetPack,它會自動掃描安全性問題並即時偵測威脅,從而確保網站安全,而無需您不斷監控它們。
另一個不錯的選擇是 Solid Security,它還提供強大的惡意軟體掃描和自動監控功能。
透過這種方式,您可以自動掃描所有用戶端網站的惡意軟體,並保護它們免受線上威脅。您不需要手動執行此操作;該插件可以做到這一點。您只會收到任何可疑活動的通知,以便您可以立即採取行動並避免發生事故。
取得噴氣背包
11. 使用 CDN 防禦 DDoS 攻擊
DDoS 是分散式阻斷服務的縮寫,攻擊意味著垃圾郵件流量淹沒您的網站,使其無法被真實使用者存取。您的網站越受歡迎,就越容易受到 DDoS 攻擊的影響。
如果沒有 CDN,WordPress 網站很容易受到 DDoS 攻擊,過多的流量可能會導致網站速度變慢甚至崩潰。像 Cloudflare 這樣的內容交付網路 (CDN) 透過將流量分散到全球許多伺服器來幫助保護您的網站。這可以使網站在高流量期間平穩運行,並使訪客的頁面載入速度更快。
如果您使用 Siteground,您將獲得 Cloudflare 及其 WordPress 託管方案。由於 Cloudflare 和 Siteground 是整合的,因此在 WordPress 網站上啟動 Cloudflare 和配置 DNS 記錄變得很容易。
取得 Cloudflare
12.安裝SSL憑證
客戶經常忽略安裝 SSL 證書,但他們不知道這會極大地影響他們的網站安全。如果沒有 HTTPS 加密,使用者和網站之間的資料可能會被竄改,從而可能洩漏敏感資訊。
如果您使用值得信賴且安全的 WordPress 託管服務,那麼這不是問題。像 Siteground 這樣的主機可以輕鬆啟動 SSL 憑證。轉到SSL管理員並輸入您想要 HTTPS 加密的網域。
取得站點地面
13.刪除未使用的主題和插件
您可能想知道保留未使用的主題或外掛有什麼危害。問題是,如果不更新,這些主題和外掛程式可能會使網站容易受到攻擊。
與保持所有內容更新一樣重要的是刪除未使用的主題和外掛程式。為此,您可以使用 Divi Dash 單獨查看每個客戶網站。不活動的主題和外掛被標記為「不活動」。選擇並卸載它們。
這是一次性的做法,但要定期進行練習,以刪除不需要的主題和插件,以確保您的網站安全並優化以獲得快速效能。
使用 Divi 主題免費取得 Divi Dash
14.自動註銷空閒用戶
您的一些團隊成員在完成當天的工作後仍保持 WordPress 登入狀態。這可能會導致駭客在入侵您團隊成員的裝置後劫持您客戶的網站。這就是為什麼您需要在 WordPress 用戶變成不活動後自動登出。
若要解決此問題,請安裝 Inactive Logout 插件,該插件會在一段時間後自動登出空閒用戶。設定您希望在不活動後註銷用戶的時間,僅此而已。
15.啟用網路應用程式防火牆(WAF)
Web 應用程式防火牆 (WAF) 是一種安全工具,用於監視和過濾傳入流量,以保護 WordPress 網站免受 SQL 注入、跨網站腳本 (XSS) 和 DDoS 攻擊等惡意攻擊。啟用 WAF 至關重要,因為它為客戶的網站添加了重要的保護層並防止漏洞被利用。
好處是 Cloudflare 提供內建 WAF 作為其服務的一部分,使您可以保護客戶的網站免受各種網路威脅,而無需單獨配置 WAF 系統。
取得 Cloudflare
16. 客戶站點的外包支持
即使一切都正確,您客戶的網站也會遇到一些小錯誤或錯誤,這可能會給駭客提供進入的機會。這就是為什麼您應該定期監控網站並修復出現的任何錯誤和問題。
問題是,網站很多,你要如何跟上?如果您是 Divi 用戶並選擇了 Divi VIP,您可以為您的客戶提供高級支持,無需額外費用。
這意味著您和您的客戶都可以獲得 24/7 的支持,回應時間為 30 分鐘或更短。每當出現問題時,Divi 專家都會在那裡解決問題,無需您幹預。不要忘記,透過 Divi VIP,您可以在 Divi Marketplace 上獲得獨家折扣。
從正確的基礎開始
客戶 WordPress 網站的安全性取決於堅實的基礎。借助合適的 WordPress 主機和強大的主題,您可以保護您的客戶免受許多威脅。 Siteground 和 Divi 是一個安全的組合,具有不可抗拒的優勢:
- Siteground 提供針對WordPress 最佳化的託管服務,具有 Cloudflare 等內建安全功能、安全性外掛程式、每日備份、快取解決方案以及對網站問題的一流支援。
- Divi 是一款一體化、高度可自訂的 WordPress 主題和頁面建立器(也適用於第三方主題),具有獨特的功能,例如分割測試、條件、主題建構器等,可幫助您建立令人驚嘆的網站你的客戶。
- Divi 還包括更多內容。例如,存取用於社交媒體和電子郵件選擇的高級外掛程式(Bloom 和 Monarch)、在幾分鐘內產生網站的 Divi Quick Sites、無限的安裝和下載,以及為您提供高效運行客戶網站的完整解決方案的高級支援。
- Divi Dash 是免費的,您的 Divi 會員資格只需89 美元/年。您無需支付單獨的 WordPress 網站管理員來管理客戶端網站的費用。
獲取迪維