28 個 WordPress 安全最佳實踐和技巧

已發表: 2024-01-05

WordPress 是一個功能強大的內容管理系統(CMS),但它的流行意味著成為駭客們同樣關注的目標。 如果沒有必要的安全措施,您的網站可能容易受到攻擊。

幸運的是,您可以採取多種措施來確保網站安全。 其範圍從簡單的任務(例如更新插件和執行備份)到更複雜的策略(例如遷移到具有更強安全措施的託管提供者)。

在本文中,我們將引導您完成 28 個 WordPress 安全最佳實踐,以幫助您確保您的網站受到保護。

1. 保持 WordPress、外掛和主題更新

過時的軟體對網站構成巨大威脅。 當外掛程式或主題數月或數年沒有更新時,駭客將有更多時間尋找軟體中的漏洞並找到進入使用它的網站的方法。

簡而言之:如果您使用舊版的 WordPress,您的網站很容易受到攻擊。 這也適用於您網站上的任何外掛程式或主題。

重要的是要記住 WordPress 非常受歡迎。 它為大約 43% 的已知網站提供支援。 這意味著存在安全問題的單一插件可能會導致數百或數千個網站向網路犯罪分子敞開大門。

保護自己免受這些漏洞影響的最簡單方法是讓 WordPress 及其所有元件保持最新狀態。 這可以像每天檢查儀表板以查看可用的更新並執行它們一樣簡單。

WordPress 儀表板中提供了更新

對於插件,您可以將它們配置為逐一自動更新。 為此,請前往插件 → 安裝的插件,然後針對要自動更新的插件點擊啟用自動更新

在 WordPress 中開啟自動更新

2. 更改預設的“admin”用戶名

WordPress 用戶可能犯的最大安全錯誤之一是選擇「admin」或「administrator」等使用者名稱。 這些是 WordPress 為您設定的預設使用者名,保留它們可以讓攻擊者更容易強行進入。

許多駭客試圖透過嘗試盡可能多的使用者名稱和密碼組合來闖入網站。 這稱為暴力攻擊。 如果有人已經知道您的用戶名,則意味著他們只需猜測一個登入因素。

一旦設定了管理員帳戶的使用者名,WordPress 就不允許您更改它。 要進行更改,您需要建立一個新帳戶,為其授予管理員使用者角色,然後刪除舊帳戶。

您可以透過前往「使用者」→「新增項目」來完成此操作。 然後,輸入帳戶的詳細信息,包括難以猜測的用戶名,然後從“角色”選單中選擇“管理員”

在 WordPress 中重設密碼

下次建立 WordPress 網站時,您需要將管理員使用者名稱設定為不同的內容。 這個簡單的更改將使攻擊者更難存取該帳戶。

3. 使用強密碼並定期更改

如果您使用「1234」等簡單密碼或每個帳戶都使用相同的密碼,那麼有人造訪您的網站只是時間問題。

雖然有多種方法可以重新獲得被盜帳戶的存取權限,但這個過程可能很艱難。 此外,駭客可能會對您的內容和聲譽造成無法彌補的損害。

當您在 WordPress 中建立新帳戶時,CMS 將為您產生一個強密碼。 這通常是字母、數字和特殊字元的組合。

您可以使用此密碼或將其變更為更容易記住的密碼(同時保留字母和數字的混合)。

在 WordPress 中建立強密碼

如果您難以記住它,您甚至可以使用憑證管理員。 密碼管理器可以幫助您為所有帳戶產生安全密碼並確保其安全。

為了提高安全性,您需要定期更改密碼。 這樣,如果憑證洩露,您的帳戶將是安全的。

4. 實施雙重認證(2FA)

與許多其他網站一樣,WordPress 需要使用者名稱和密碼才能登入。這意味著登入安全性很大程度上取決於您的憑證的強度。

WordPress 登入畫面

即使使用最強的密碼,有人也有可能存取您的帳戶或您網站上的其他帳戶。 避免這種漏洞的有效方法是使用雙重認證 (2FA)。

當您啟用 2FA 時,您的網站將需要一種額外的驗證方法供使用者登入。通常,這是透過簡訊、電子郵件或身份驗證應用程式發送的一次性代碼。

由於駭客無法存取您的行動裝置或電子郵件,因此他們將無法登入您的帳戶。 有些網站提供使用 2FA 的選項,而其他網站則強制執行。

如果您使用 Jetpack,則可以允許使用者使用其 WordPress.com 帳戶登入。 還有一個使用 WordPress.com 的 2FA 功能的選項。

在 WordPress.com 中啟用雙重認證

您可以透過導覽至Jetpack → 設定並找到WordPress.com 登入部分來找到這些設定。 然後,只需切換相應的開關即可。

5.透過SSL憑證使用HTTPS加密

安全通訊端層 (SSL) 憑證可讓您的網站透過 HTTPS(HTTP 的安全性版本)載入。 此證書驗證您的網站是否真實,以及瀏覽器和伺服器之間的通訊是否已加密。

您可以從多個機構(例如 Let's Encrypt)免費取得 SSL 憑證。 許多 WordPress 網路主機會自動為您的網站設定 SSL 憑證。 其他網站主機將允許您透過 cPanel 手動設定憑證。

6.安裝信譽良好的安全插件

WordPress 安全性外掛通常附帶一系列功能和工具,可協助您保護您的網站。 這些通常包括:

  • 垃圾郵件防護
  • 拒絕服務 (DDoS) 攻擊防護
  • Web 應用程式防火牆 (WAF)
  • 惡意軟體掃描與清理
  • 自動備份

您可以找到單獨執行每個任務的 WordPress 外掛。 但如果您選擇全面的安全工具,您將能夠從同一個位置管理多個功能,這可以讓您的工作更輕鬆。

事實上,使用正確的外掛程式可以幫助您檢查 WordPress 最佳安全實踐清單中的多項內容。 Jetpack Security 包括剛才提到的所有功能以及許多其他功能。

7.定期備份您的網站

定期備份資料可以說是確保資料安全最重要的事情。 對於網站來說,在出現安全漏洞或故障時,完整備份可以成為救星。

如果您的網站遭到駭客攻擊或無法正常運行,解決問題的最簡單方法可能是恢復最近的備份。 備份越新,遺失任何關鍵資訊的可能性就越小。

一旦網站再次正常運行,您就可以採取必要的措施來保護其免受進一步的攻擊。

WordPress 有很多備份選項。 一些網站主機提供自動備份作為託管計劃的一部分(通常如果它是託管服務)。 但是,最好不要只依賴這些備份。 如果您的伺服器因編碼錯誤、主機錯誤或駭客攻擊而受到損害,備份也可能受到損害。

更好的選擇是使用異地儲存備份的插件。 Jetpack VaultPress Backup 就是這樣的選項之一。 該工具可作為單獨的外掛程式使用,也可作為前面提到的 Jetpack Security 套裝組合的一部分。 每當您進行更改時,它都會自動備份您的網站。

Jetpack VaultPress 備份首頁

如果您不斷在網站上添加新內容,這些即時備份是理想的選擇。 這意味著您將始終擁有最新版本的副本。 另外,備份儲存在異地,因此即使您的網站完全癱瘓,您也始終可以存取它們。

8.使用Web應用程式防火牆(WAF)

WAF 是一種防火牆,旨在過濾進出網站的流量。 它使用規則來過濾特定類型的流量,並且可以將已知的惡意 IP 列入黑名單。

WAF 旨在協助您阻止常見類型的網路攻擊,包括 SQL 注入、跨站點腳本 (XSS) 和跨站點請求偽造 (CSRF)。 他們之所以能夠做到這一點,要歸功於他們複雜的規則系統。

防火牆的規則越全面,就越有效。 許多安全插件(包括 Jetpack Security)都擁有複雜的 WAF,其規則集是根據多年處理 WordPress 攻擊的經驗而設計的。

儘管您可以手動設定和設定 WAF,但最好的選擇是使用網路主機或為您設定的安全插件。 這樣,您就可以利用他們現有的威脅資料庫並簡單地打開防火牆。

9.定期掃描惡意軟體

掃描您的網站是否有惡意軟體涉及使用第三方工具或安全性外掛程式。 該軟體會檢查您網站的文件、外掛程式和主題以查找惡意軟體感染。 如果它偵測到任何問題,它會讓您知道問題出在哪裡。

Jetpack Scan 網頁

還記得您曾經在電腦上執行防毒掃描並且需要很長時間嗎? 現在,大多數防毒軟體只是在背景運行,只有在出現問題時才會打擾您。 使用 Jetpack Security 進行惡意軟體掃描同樣可以無縫進行。

而且,與其他僅告訴您有問題的工具不同,如果 Jetpack 發現問題,它通常會提供解決問題的解決方案 - 通常只需單擊即可。

如果您採取措施保護您的網站,惡意軟體感染應該會非常罕見。 即便如此,設定自動惡意軟體掃描也沒什麼壞處,以防您遭受零時差漏洞或其他難以阻止的攻擊類型。

10. 封鎖表單和評論垃圾郵件

任何具有開放評論部分或表單的 WordPress 網站都可能會遇到垃圾郵件。 其範圍包括競爭對手發布其網站連結、攻擊者共享惡意 URL 或嘗試使用腳本以獲得未經授權的存取。

解決此問題的簡單方法是審核網站上的評論。 但隨著您的網站的發展,過濾垃圾評論可能會成為全職工作。 有數千條訊息等待審核的情況並不罕見。

您可以嘗試使用驗證碼來阻止機器人垃圾郵件提交,但您將不可避免地惹惱某些用戶,並減少您的網站蓬勃發展所需的合法參與度和轉換率。

最好的選擇是使用 Akismet。 該工具完全在後台運行,以阻止評論和表單上的垃圾郵件提交,因此您甚至不會注意到它的發生。 合法用戶無需解決謎題、回答謎語,甚至無需點擊某個框框即可繼續。

所有這一切的準確率高達 98%。

Akismet 也可以自訂,立即刪除某些評論並保留其他評論供您手動審核、批准或拒絕。

您可以將 Akismet 作為自己的插件獲取,但如果您致力於以最少的努力(和費用)提高整體安全性和用戶體驗,您也可以將其作為 Jetpack 安全計劃的一部分獲取。

11.使用FTP實現安全檔案權限

基於 UNIX 的系統中的每個檔案和資料夾都有一組權限。 這些權限由三個數字組表示。 例如,「777」表示每個使用者對檔案或目錄具有完全的寫入、讀取和執行權限。

三個數字中的第一個代表誰擁有該檔案或目錄。 第二個數字代表所有者群組中的帳戶,第三個數字代表每個其他使用者。

在上面的範例中,每個 7 表示每種類型的使用者都具有讀取 (4)、寫入 (2) 和執行 (1) 權限。 如果你把這些數值加起來,你會得到七。

您指派給 WordPress 檔案和目錄的檔案權限將控制誰可以存取、讀取和編輯它們。 WordPress 的建議檔案權限為目錄 755 和檔案 644。

要設定這些權限,您需要透過 FileZilla 等檔案傳輸協定 (FTP) 工具連接到您的網站。 您可以從您的託管帳戶取得 FTP 憑證。

連接到網站後,導航到根目錄(通常標記為public_html )。 在此資料夾中,您可以選擇所需的任何子目錄或文件,右鍵單擊它,然後選擇“文件權限”選項。

在 FileZillal 中編輯檔案權限

將彈出一個新窗口,您可以在其中透過數字值欄位設定所選檔案或目錄的權限。

編輯 wp-includes 的檔案權限

如果您變更目錄的權限,您也會看到一個選項,顯示「遞迴到子目錄」 。 這將使您能夠為所有子目錄或檔案設定相同的權限。

請注意,當涉及 WordPress 檔案的最佳權限時,該規則會有一些例外。 其中之一是wp-config.php文件,我們將在下一節中討論該文件。

12. 保護您的 wp-config.php 文件

wp-config.php檔案包含有關您的網站及其資料庫的重要資訊。 它是最重要的 WordPress 核心檔案之一,這意味著您應該採取額外的步驟來保護它。

就權限而言,最好將wp-config.php設定為 400 或 440。如果您還記得上一節的細分,您就會知道這些權限值轉換為:

  • 400:只有所有者才能讀取該檔案。
  • 440:只有所有者和所有者群組中的使用者才能讀取該檔案。

這完全刪除了wp-config.php的寫入權限。 這通常是一個安全的選擇,因為它可以防止任何人修改文件的設定。

保護wp-config.php 的另一種方法是將根目錄移至根目錄之上。 如果 WordPress 在預設位置找不到該文件,它將在上一級目錄中查找該文件。

這意味著 WordPress 仍將正常運行,但攻擊者可能會因為找不到該檔案而被愚弄。

13. 停用wp-config.php檔案中的檔案編輯

WordPress 提供了多種編輯文件的選項。 其中之一是使用外掛程式和主題文件編輯器,這些編輯器可從儀表板中取得。

這些檔案編輯器使您能夠更改網站的程式碼,而無需透過 FTP 連接到網站。 這種方法的缺點是,如果駭客獲得了有權使用這些編輯器的帳戶的存取權限,他們可能會對您的網站造成嚴重破壞。

因此,您可能需要考慮在 WordPress 中停用文件編輯。 您可以透過開啟wp-config.php檔案並向其中添加以下程式碼行來完成此操作:

 define('DISALLOW_FILE_EDIT', true);

請注意,某些主題和外掛程式會自動停用文件編輯。 如果您在儀表板中沒有看到文件或主題編輯器,則您可能正在使用這些工具之一。

14. 限制 .htaccess 檔案中的目錄瀏覽

如果啟用目錄瀏覽,您可以造訪yourwebsite.com/content/ 。 您將看到該資料夾內的子目錄和檔案的列表,而不是收到 403 禁止錯誤。

如果您想保護您的站點,則必須停用目錄瀏覽。 如果任何人都可以看到您網站資料夾的內容,他們就可以獲得很多信息,例如您使用的主題和外掛程式。 他們還可以不受限制地瀏覽媒體文件,從隱私的角度來看,這很糟糕。

大多數 WordPress 網路主機預設禁用目錄瀏覽。 如果您的裝置不提供此功能,您可以透過編輯目錄中的.htaccess檔案自行啟用它。

為此,請打開該文件並添加以下程式碼行:

 Options -Indexes

儲存變更並關閉文件。 現在,如果您嘗試透過瀏覽器導航到某個目錄,您將收到一條錯誤訊息,指出您無權存取該目錄。

15.限制對wp-admin目錄的訪問

wp-admin是 WordPress 目錄的預設位置。 如果您造訪網站的主頁並將/wp-admin新增至 URL 末尾,您將進入 WordPress 儀表板(瀏覽登入頁面後)。

此架構是 WordPress 網站的標準架構。 這使得您和攻擊者都可以輕鬆找到和存取儀表板。

保護 WordPress 管理員的一種方法是使用密碼保護它。 這樣,使用者在通過登入頁面後將需要輸入不同的密碼。

如果您的 Web 主機使用 cPanel,您可以使用目錄隱私wp-admin目錄新增密碼 工具。

在cpanel中找到“目錄隱私”

進入此工具後,瀏覽資料夾,直到找到wp-admin目錄。 點擊編輯 按鈕,然後在下一頁勾選「密碼保護此目錄」選項。

密碼保護目錄的選項

現在目錄隱私工具會要求您為wp-admin設定密碼。 儲存密碼後,請嘗試存取 WordPress 儀表板。 密碼彈出視窗應直接出現在瀏覽器中。

16. 隱藏您的wp-admin登入 URL

保護 WordPress 管理員的另一種方法是更改​​登入頁面的 URL。 如果您將此策略與上一節中介紹的附加密碼保護結合起來,則任何攻擊者都無法進入您網站的儀表板。

您可以手動變更wp-login URL,但使用外掛程式可以簡化流程。 WPS 隱藏登入是一個簡單的工具,可讓您設定新的登入 URL,而無需編輯任何網站程式碼。

WPS隱藏登入插件

安裝外掛程式後,請前往「設定」→「WPS 隱藏登入」並尋找顯示「登入 url」的部分。 使用該選項旁邊的欄位並將預設登入 URL 替換為自訂 URL。

您可能想要使用字母和數字的隨機組合。 這將使攻擊者更難以猜測。 只需確保為新登入頁面添加書籤,或設定您可以記住的 URL。

17. 限制登入嘗試

如前所述,攻擊者可以透過嘗試使用者名稱和密碼的多種組合來存取您的網站。 設定強密碼可能是阻止他們嘗試的有效方法,但您還可以採取另一件事來阻止暴力攻擊。

這涉及限制用戶在特定時間內可以進行的登入嘗試次數。 此限制不會影響一般用戶,但足以阻止使用機器人的暴力攻擊。 透過限制他們嘗試新憑證的頻率,您可以最大限度地減少他們成功的機會。

您可以使用許多工具來限制 WordPress 中的登入嘗試。 如果您使用 Jetpack,則可以使用其強力保護功能。 這會自動限制 Jetpack 識別為惡意的登入嘗試。

使用 Jetpack 開啟暴力攻擊保護的選項

Jetpack 還可以幫助您將 IP 位址列入白名單,這樣它們就不會被暴力保護工具封鎖。 您可以將其用於您和同事的 IP 位址,以防止誤報。

探索 Jetpack 的優勢

了解 Jetpack 如何幫助您保護、加速和發展您的 WordPress 網站。 第一年享受高達 50% 的折扣。

探索計劃

18.自動註銷空閒用戶

許多網站會在一段時間後讓您退出帳戶。 這是一項安全措施,旨在防止其他人在存取您的電腦時劫持您的會話。

根據您登入的位置,這可能不是問題,但這仍然是值得實施的安全措施。 如果其他人有權存取您網站的儀表板,則尤其如此。

WordPress 不會自動登出使用者。 要新增此功能,您需要使用像 Inactive Logout 這樣的插件。

不活動的註銷插件

安裝插件後,前往設定→非活動登出→常規設定。 尋找空閒超時選項並將值設為您想要的任何計時器(以分鐘為單位)。

設定空閒超時(以分鐘為單位)

現在,如果用戶在這段時間內處於空閒狀態,他們將自動登出。 該插件還允許您配置一條訊息,通知他們會話關閉的原因,這樣他們返回時就不會感到困惑。

19.更改預設的WordPress資料庫前綴

每個 WordPress 資料庫都有一個名稱。 預設情況下,該名稱是 wp_something,其中「something」代表資料庫的實際名稱。

這裡真正重要的是前綴。 預設情況下,WordPress 使用wp_前綴,這意味著攻擊者可以輕鬆猜出資料庫的全名。

簡單地更改前綴可能會使攻擊者的任務變得更加困難。 不幸的是,更改 WordPress 資料庫前綴並不是那麼簡單。

此過程需要您編輯兩個核心檔案並對資料庫本身進行更改。 因此,在執行其他操作之前,您需要執行完整的網站備份,其中包括所有檔案和資料庫。 這樣,如果出現任何問題,您可以恢復備份。

首先,透過 FTP 造訪網站並前往wp-config.php檔案。 打開文件並在裡面找到這一行:

 $table_prefix = 'wp_';

您可以繼續將“wp_”前綴替換為其他內容,例如“newprefix_”。 但這只是一個例子。 你會想要選擇一些難以猜測的東西。

現在,儲存檔案並使用 phpMyAdmin 存取資料庫。 從左側清單中選擇 WordPress 資料庫,然後按一下螢幕頂部表格清單上方選單中的SQL

這將開啟一個頁面,您可以在其中執行影響資料庫的 SQL 命令。 現在您需要做的是替換資料庫中所有表的現有表前綴。 預設情況下,這意味著下表:

  • wp_選項
  • wp_postmeta
  • wp_帖子
  • wp_term_關係
  • wp_term_taxonomy
  • wp_術語
  • wp_commentmeta
  • wp_評論
  • wp_連結

請記住,某些外掛程式也可能會為資料庫新增資料表。 您還需要更新這些表的前綴。

對於每個表,您需要執行以下 SQL 命令:

 RENAME table wp_xxxx TO newname_xxxx;

“xxxx”佔位符代表底線後面的每個表的名稱。 同樣,您需要將newname_前綴更改為您先前在修改wp-config.php時設定的前綴。

根據需要對資料庫中的每個表重複此過程。 準備好後,您可以返回儀表板。

更改資料庫前綴可能會破壞網站上任何活動的外掛程式和主題。 這些工具將無法識別更新的資料庫,除非您停用並重新啟用它們。

因此,您需要仔細檢查網站上的每個外掛程式和主題並遵循該過程。 完成後,檢查您的網站以確保一切正常。

20.隱藏你的WordPress版本

過去,WordPress 過去常常在頁腳中顯示網站正在使用的軟體版本。 我們的想法是,這些資訊對於故障排除很有用,如果前端訪問者可以輕鬆獲得這些信息,那麼查找起來就會容易得多。

這種方法的問題在於,顯示版本號碼意味著攻擊者可以找到特定於該版本的漏洞。 這為惡意行為者提供了大量信息,他們可以利用這些信息對您的網站進行攻擊。

另外,此功能對您沒有任何實際好處。 畢竟,您始終可以從儀表板檢查網站的 WordPress 版本。

較新版本的 WordPress 不再在前端顯示該資訊。 如果您可以在頁腳中看到版本號,則表示您的網站已過期 WordPress 更新。

21. 保持 PHP 版本最新

您可能知道,WordPress 主要基於 PHP 建置。 它依賴這種程式語言來執行大部分管理任務。

PHP也是一個軟體。 這意味著它會定期更新新功能和功能,並提高效能。

WordPress 要求您的伺服器執行 PHP 7.4 或更高版本。 PHP 有更新的版本,每個版本都為軟體帶來了效能和安全性升級。 這些升級也適用於 WordPress 本身。

大多數信譽良好的網站主機都會在新版本發佈時更新其伺服器上的 PHP。 有些提供者甚至允許您手動在版本之間切換(這對於排除 WordPress 網站上的錯誤可能是必要的)。

您可以透過導覽至 WordPress 儀表板中的「設定」→「網站運作狀況」→「資訊」→「伺服器」來檢查網站執行的 PHP 版本。 在這裡您將看到伺服器配置的概述,包括它使用的 PHP 版本。

WordPress 中的伺服器訊息

如果該版本已過時,您可能需要聯絡您的網站寄存服務商。 他們也許能夠為您更新 PHP。 即便如此,這也是你不該做的事情 如果您使用的是信譽良好的託管提供者,則需要這樣做,因為他們會為您處理。

22.關閉PHP錯誤報告

WordPress 附帶了一個偵錯工具,使 CMS 能夠記錄 PHP 錯誤。 您可以使用這些錯誤報告來解決您網站上的技術問題。

不幸的是,這些報告也可能導致安全性問題。 如果攻擊者能夠存取 PHP 錯誤日誌,他們就可以獲得大量有關您的網站如何運作的資訊。 他們也許能夠查看您網站上哪些外掛程式處於活動狀態(如果它們顯示錯誤),以及您網站上有 PHP 問題的重要文件。

除非您正在主動排除 WordPress 中的錯誤,否則不需要啟用 PHP 錯誤報告。 如果您使用它來診斷問題,您會希望在獲得所需資訊後立即停用 WordPress 偵錯模式。

停用 PHP 錯誤報告需要您修改位於 WordPress 根目錄中的wp-config.php文件 目錄。 您可以透過 FTP 存取該目錄,如前所示。

然後,打開wp-config.php檔案並添加以下程式碼行:

 define ( 'WP_DEBUG', true );

改變真實的 值為 並儲存文件。 這將停用 WordPress 中的錯誤日誌。

您可以根據需要隨時重新打開它們。 您只需將該值變更回true即可。

23.刪除不必要的外掛和主題

外掛和主題使 WordPress 成為一個多功能平台。 它們會為您的網站添加新功能,並使您能夠自訂其設計。

問題是有些人安裝了幾十個外掛和主題,但只使用其中的幾個。 例如,在選擇您最喜歡的主題之前,您可能會嘗試許多不同的主題,但永遠不要卸載其餘的主題。

您網站上的每個活動外掛程式都會帶來安全風險。 通常,對於定期更新且有信譽良好的開發團隊支援的插件來說,這種風險很小。 對於過時的插件或不再接收更新的插件,這種風險會急劇增加。

這同樣適用於主題。 網站上不使用的主題可能會導致漏洞。

如果您沒有積極使用特定主題或插件,最安全的選擇是卸載它(而不僅僅是停用它)。 這只需要幾分鐘,但它可以對您網站的安全產生巨大的影響。 另外,如果您改變主意,您可以隨時重新安裝已刪除的外掛程式或主題。

然而,這裡有一個例外。 您可能想要保留預設主題(如已安裝的「二十二十三」 )但處於非活動狀態,以便進行故障排除。

24.刪除不必要的使用者帳戶

根據經驗,除非絕對必要,否則任何人都不應訪問您的網站。 如果您確實需要授予某人存取權限(以發佈內容、執行維護或更新網站),您需要確保沒有為他們分配比他們需要的權限更多的使用者角色。

一旦某人不再需要訪問該網站,您可以繼續刪除他們的帳戶。 這將防止他們未經您的批准而更改網站。

這些用戶帳戶會帶來另一個風險。 有些人可能會重複使用其個人帳戶中的憑證來登入您的網站。 如果這些憑證在安全漏洞中洩露,攻擊者將能夠使用它們來存取您的網站。

在 WordPress 中刪除使用者帳戶很簡單。 為此,請前往使用者 → 所有使用者並選擇一個帳戶。 確定要刪除的帳戶後,將滑鼠懸停在該帳戶上並按一下「刪除」

請注意,僅當您是管理員時才會顯示此選項。 只要沒有其他人有權存取管理員帳戶,您就應該是唯一有權刪除使用者帳戶的人。

25. 監控使用者活動

如果您正在使用的 WordPress 網站中其他人可以存取儀表板來發佈內容、對網站進行更改以及更新,那麼您遲早會遇到安全問題。 例如,某人的憑證可能被盜或安裝會為網站帶來安全風險的插件。

因此,管理員最好注意其他人在使用網站時所做的事情。

活動日誌是監視特定事件並記錄事件發生時間的工具。 您可以訪問該日誌並查看誰在何時做了什麼。 這使您能夠發現可能對網站安全性產生負面影響的事件和操作。

預設情況下,WordPress 中不提供此功能,但您可以使用外掛程式添加它。 Jetpack Security 包含一個儲存過去 30 天資料的活動日誌。

日誌在異地託管。 因此,如果您無法訪問該站點,您可以在恢復最近的備份之前檢查日誌以了解發生了什麼。

26. 使用 CDN 降低 DDoS 攻擊的風險

內容交付網路 (CDN) 可以幫助您大幅縮短載入時間。 他們透過使用分佈在世界各地的資料中心網路來快取您的網站來做到這一點。 當有人造訪該網站時,CDN 會攔截請求並從最近的伺服器載入副本。

除了減少載入時間之外,使用 CDN 還具有許多好處。 例如,您的伺服器壓力較小,這意味著您的網站將能夠更好地處理流量的大幅成長。 此外,CDN 可以在遭受攻擊時充當屏障。

如果您的網站是 DDoS 攻擊的目標,​​CDN 可以快速將其關閉。 如果網路偵測到連線有異常情況,許多 CDN 可能會要求訪客驗證他們是否是人類。 由於 DDoS 攻擊依賴機器人,因此它們通常無法繞過這些類型的安全檢查。

即使 DDoS 攻擊成功到達 CDN,CDN 的資料中心也是為了管理大量湧入的流量而建構的。 同時,您的網站本身將受到 CDN 的保護。

您可以將任何您想要的 CDN 與 WordPress 整合。 Jetpack CDN 的設定非常簡單。 您可以在 Jetpack 外掛程式中免費啟用它,CDN 將開始快取您網站上的媒體檔案。

27. 遷移到注重安全的託管供應商

每個網站主機都有自己的賣點。 例如,一些託管提供者更注重安全性和效能,而其他託管提供者則優先考慮實惠的價格。

理想情況下,您會選擇一個承諾提供一流效能和安全性的網路主機(並且不會收取不公平的費用)。 有許多網路主機符合這些標準並為您處理基本的安全任務。 這些任務可能包括:

  • 備份
  • 設定WAF
  • 保護您免受 DDoS 攻擊
  • 惡意軟體掃描與清理

如果您想花更多的時間和精力來運行您的網站,而不是花更少的時間和精力來保護網站免受攻擊,那麼您需要選擇一個重視安全性的主機。 首先,您可能需要取得推薦的 WordPress 主機清單。

提供託管計劃的網站主機往往在安全性方面提供更多服務。 當然,這些服務將比不受管理的計劃有點昂貴,但它們可以幫助您放心。

28.考慮企業安全解決方案

如果您經營企業級網站,則您的安全措施應超越更新外掛程式和備份。 您需要一個安全解決方案,為您的網站提供端到端的保護。

WPSCAN具有市場上WordPress安全漏洞的最大資料庫。

WPSCAN提供以企業為中心的安全解決方案。 這可以根據您公司的需求和您擁有的網站量身定制。 您可以直接與WPSCAN聯繫以評估網站的安全性並要求報價。

經常問的問題

此WordPress安全提示清單涵蓋了保護您的網站的最重要措施。 如果您仍然對如何提高網站的安全性有任何疑問,那麼本節將旨在回答它們。

這些WordPress安全最佳實踐可以減輕哪些常見威脅?

本指南涵蓋了從基本的保護措施到更高級安全實踐的所有內容。 如果您花時間實施本文概述的所有措施,則應保護您的網站免受最常見的威脅。 其中包括蠻力攻擊,資料竊取和惡意軟體。

這些措施的最終目標是確保沒有惡意演員可以訪問您的網站並造成損害。 他們還可以防止沒有經驗的用戶(例如安裝不良插件)犯錯。

改善WordPress安全性的最簡單方法是什麼?

如果您沒有時間在本指南中實施所有措施,那麼您可以做的最好的事情就是設定WordPress安全外掛。 這些工具將自動啟用無數功能,以幫助保護您的網站。

JetPack Security是一種多合一的解決方案,可自動執行許多基本任務。 它執行即時備份,設置防火牆,掃描並為惡意軟體提供快速修復,保護您的網站免受垃圾郵件的侵害,等等。 它還為您提供了對活動日誌的訪問,因此您可以識別網站上可能導致安全問題的任何操作(並執行了這些問題)。

WordPress的最佳安全外掛是什麼?

有許多WordPress安全外掛程式可供選擇,但是JetPack Security是市場上最全面的解決方案之一。 它處理了本文中討論的大多數安全慣例,包括備份,惡意軟體掃描和刪除以及垃圾郵件保護。

如何備份WordPress網站,我應該在哪裡儲存備份?

有多種備份WordPress網站的方法。 您可以手動備份所有文件和資料庫,使用為您完成的插件,或註冊包含一些有限備份的託管計劃。

在大多數情況下,您不想在本地或僅在一個位置儲存備份。 這就是為什麼通常不建議僅依靠單獨託管備份的原因。 雲端備份往往更安全,因為大多數供應商為了冗餘而儲存多個副本。

JetPack安全性包括即時雲端備份。 一切都儲存在場外,每次您更改網站時都會做出新的備份。

我應該多久更新一次WordPress網站?

理想情況下,您應該在有更新後立即更新WordPress及其元件。 使用任何軟體的最新版本都會提高您的網站的安全性和效能。 另外,它為您提供了最新功能的存取權限。

許多更新集中在修補安全漏洞。 理想情況下,您需要每天檢查您的網站以獲取更新。 您甚至可以為外掛程式啟用自動更新。 JetPack Security(最佳的即時安全性和備份外掛程式)都是可能的。

我應該多久掃描一次WordPress網站以獲取惡意軟體?

如果可以的話,您應該每天掃描網站以獲取惡意軟體。 由於這是一項至關重要的任務,因此自動化它是有意義的。 這樣,即使您不可用,您的安全插件或惡意軟體掃描器仍將注意漏洞。

JetPack安全性包括自動惡意軟體掃描。 外掛程式會定期掃描您的網站,並通知您是否發現任何可疑的東西。

噴射背包安全性:全力以赴的WordPress保護與備份

保護WordPress網站可能是很多工作。 您需要執行定期備份,執行更新,掃描網站中的惡意軟體等等。 此外,您還需要確保任何可以存取您網站的人都使用強大的使用者名稱和密碼。

諸如JetPack Security之類的多合一解決方案可以為您處理大多數這些任務。 您將獲得自動備份和掃描,垃圾郵件保護,強大的防火牆等。 您需要做的就是安裝插件並啟用這些功能。

您準備好提高網站的安全性了嗎? 立即開始使用Jetpack Security!