25个简单的WordPress安全技巧可在2020年确保您的网站安全

我听说许多网站所有者抱怨WordPress安全。人们认为开放源代码脚本容易受到各种攻击。那是事实吗?如果是这样,您如何保护WordPress网站?


幸运的是,缺乏内置的WordPress安全性是一个神话。实际上,有时情况恰恰相反– WordPress网站比其在线兄弟姐妹安全得多.

今天,我计划讨论很多简单的技巧,这些技巧可以帮助您进一步保护WordPress网站.

在实施了这些策略并进行了连续的WordPress安全检查之后,您将可以很好地确保WordPress网站的安全.

WordPress安全:保护您的WordPress网站的简单技巧

目录:

��保护您的虚拟主机
��防止登录攻击和暴力破解
��保护您的WordPress仪表板
��保护您的WordPress数据库
��保护您的主题和插件

(a)部分:通过确保托管安全来保护WordPress网站

几乎所有托管公司都声称为WordPress提供了优化的环境,但是他们这样做吗??

1.只与好主人一起工作

您只应使用可靠,高质量和安全的托管服务。这条建议似乎很明显,对吧?

或多或少,每个人都认为自己的主机很棒,直到第一次出现故障。在现实世界中,并非所有托管公司和托管产品都是平等创建的.

如果您查看我们的一项托管调查,就会发现在总体托管质量以及托管设置的各个方面(例如安全性,可靠性,速度等)方面,人们的体验有何不同.

有些房东只是低于标准杆,在压力下表现不佳.

这里的坏消息是,在大多数情况下,您甚至都不知道主机对您的网站安全性没有足够重视。诸如黑客攻击增加,频繁停机,性能低下之类的事情都可能是由于缺乏适当的安全机制而导致的.

现实情况是您并没有真正去 "修复主机." 最简单,最好的解决方案是切换到更安全的其他主机.

通常,您支付的费用越多,新主机的性能就会越好,但是您也可以考虑一些预算选项.

如果您想深入了解本主题,我们将比较最佳托管选项,以及前面提到的调查,您可以在其中查看其他人的发言。.

如果您急忙的话,这里有个简短的建议:

  • �� 最佳电源设置. 金斯塔。每月$ 100,您最多可以托管5个网站并欢迎100,000位访客.
  • �� 入门级托管主机. 飞轮。每月只需​​$ 13.00,您就可以托管一个网站并欢迎5,000位访客.
  • �� 预算选择. SiteGround。每月只需​​$ 3.95,您可以托管一个网站.

2.保护wp-config.php文件

wp-config.php文件包含有关WordPress安装的重要信息,它是网站根目录中最重要的文件。保护它意味着保护您的WordPress博客的核心.

这种策略使黑客很难破坏您网站的安全性,因为wp-config.php文件变得不可访问.

另外,保护过程非常容易。只需获取wp-config.php文件并将其移到比您的根目录更高的级别.

现在,问题是,如果将其存储在其他位置,服务器将如何访问它?在当前的WordPress体系结构中,配置文件设置被设置为优先级列表中的最高级别。因此,即使将其存储在根目录上方的一个文件夹中,WordPress仍然可以看到它.

3.禁止文件编辑

如果用户具有对WordPress仪表板的管理员访问权限,则他们可以编辑WordPress安装中包含的任何文件。这包括所有插件和主题.

如果您不允许文件编辑,那么即使黑客获得了对您的WordPress仪表板的管理员访问权限,也没有人可以修改任何文件.

为此,请将以下内容添加到wp-config.php文件中(最后):

define(’DISALLOW_FILE_EDIT’,true);

4.仔细设置目录权限

错误的目录权限可能会致命,尤其是在共享主机环境中工作时.

在这种情况下,更改文件和目录权限是在托管级别保护网站安全的好方法。将目录权限设置为 "755" 和文件到 "644" 保护整个文件系统–目录,子目录和单个文件.

可以通过托管控制面板中的文件管理器手动完成此操作,也可以通过终端(与SSH连接)完成此操作–使用 "chmod" 命令.

有关更多信息,您可以阅读有关正确内容的内容。 WordPress许可方案 或安装iThemes安全插件以检查您当前的权限设置.

5.使用.htaccess禁用目录列表

如果您在网站上创建了一个新目录并且未在其中添加index.html文件,您可能会惊讶地发现您的访问者可以获得该目录中所有内容的完整目录清单.

例如,如果您创建一个名为 "数据", 您只需在浏览器中输入http://www.example.com/data/即可查看该目录中的所有内容。不需要密码或任何东西.

您可以通过在.htaccess文件中添加以下代码行来防止这种情况:

选项全部-索引

6.阻止所有热链接

假设您在线定位图片,并希望在您的网站上共享它。首先,您需要获得许可或为该图像付款,否则,这样做的可能性很大。但是,如果获得许可,则可以直接拉出图像的URL,然后使用该URL将照片放置在您的帖子中。这里的主要问题是图像显示在您的站点上,但是托管在另一个站点的服务器上.

从这个角度来看,您无法控制照片是否保留在服务器上。但重要的是要意识到人们可能会对您的网站这样做.

如果您想保护自己的WordPress网站,则热链接基本上是另一个人拍摄您的照片并窃取您的服务器带宽以在其自己的网站上显示图像。最后,您会看到加载速度变慢,并且服务器成本很高.

虽然有 一些防止热链接的手动技术, 最简单的方法是为该工作找到一个WordPress安全插件。例如, 一站式WP安全性和防火墙 插件包括用于阻止所有热链接的内置工具.


多合一WP安全性和防火墙 多合一WP安全性 & 防火墙功能

作者: 提示和技巧总部,彼得·彼得雷斯基,鲁胡尔,常春藤

当前版本:4.4.3

上次更新时间:2020年3月11日

一整套wp安全和防火墙.zip


96%的评分


800,000+安装


WP 4.7+要求

7.了解并保护免受DDoS攻击

DDoS攻击是对服务器带宽的一种常见攻击,攻击者在其中使用多个程序和系统来使服务器过载。尽管此类攻击不会危害您的网站文件,但如果无法解决,则可能会使您的网站长时间崩溃。通常,只有在大型公司(例如GitHub或Target)发生DDoS攻击时,您才知道它。他们是由许多所谓的网络恐怖分子进行的,因此动机可能仅仅是造成严重破坏.

也就是说,您不一定要成为《财富》 500强公司.

如果您对此感到担心,建议您注册 苏库里 要么 云耀斑 保费计划。这些解决方案具有Web应用程序防火墙,可分析正在使用的带宽并完全阻止DDoS攻击.

(b)部分:通过保护登录页面并防止暴力攻击来保护WordPress网站

每个人都知道标准的WordPress登录页面URL。您可以从那里访问网站的后端,这就是人们试图强行闯入的原因。只需在域名末尾添加/wp-login.php或/ wp-admin /即可.

我建议您自定义登录页面的URL,甚至页面的交互。这是我开始保护我的网站时要做的第一件事.

为什么?因为通常是用户的过失导致他们的网站被黑。作为网站所有者,您必须承担一些责任。所以关键的问题是 这样做是为了保护您的网站免遭黑客入侵?保护登录页面并防止暴力攻击是您可以做的最好的事情之一.

以下是确保WordPress网站登录页面安全的一些建议:

8.设置网站锁定功能并禁止用户

失败登录尝试的锁定功能可以解决连续暴力尝试的巨大问题。每当尝试使用重复的错误密码进行黑客攻击时,该网站就会被锁定,并且您会收到有关此未经授权的活动的通知.

我发现 iThemes安全性 插件是目前最好的此类插件之一,而且我已经使用了一段时间。插件在这方面有很多提供。加上30多种其他出色的WordPress安全措施,您可以在插件禁止攻击者的IP地址之前指定一定数量的失败登录尝试.


iThemes安全性(以前更好的WP安全性) iThemes安全性(以前更好的WP安全性)

作者: i主题

当前版本:7.7.1

上次更新时间:2020年4月20日

更好的wp-security.7.7.1.zip


94%的评分


900,000+安装


WP 5.2+要求

9.为WordPress安全性使用两因素身份验证

在登录页面上引入两因素身份验证(2FA)模块是另一种很好的安全措施。在这种情况下,用户提供两个不同组件的登录详细信息。网站所有者决定这两个是什么。它可以是常规密码,后跟一个密码提示问题,一个密码,一组字符,或更流行的Google Authenticator应用程序,该应用程序会将密码发送到您的手机。这样,只有拥有您电话的人(您)才能登录到您的网站.

我更喜欢在任何网站上部署2FA时使用密码。的 Google身份验证器 插件只需几下即可帮助我.


Google Authenticator – WordPress两因素验证(2FA,MFA) Google Authenticator – WordPress两因素验证(2FA,MFA)

作者: 迷你橙

当前版本:5.4.5

上次更新时间:2020年5月15日

miniorange-2-factor-authentication.zip


90%的评价


20,000+安装


3.0.1要求

10.使用您的电子邮件登录

默认情况下,您必须输入用户名才能登录WordPress。使用电子邮件ID代替用户名是一种更安全的方法。原因很明显。用户名很容易预测,而电子邮件ID则不容易。此外,任何WordPress用户帐户均使用唯一的电子邮件地址创建,使其成为登录的有效标识符.

几个WordPress安全插件可让您设置登录页面,以便所有用户都必须使用其电子邮件地址登录.

11.重命名您的登录URL以保护您的WordPress网站

更改登录URL是一件容易的事。默认情况下,可以通过wp-login.php或添加到网站主URL的wp-admin轻松访问WordPress登录页面.

当黑客知道您登录页面的直接URL时,他们可以尝试强行闯入。他们尝试使用GWDb(Guess Work Database,即猜测的用户名和密码的数据库登录;例如,用户名:admin和password: p @ ssword…以及数百万个这样的组合).

至此,我们已经限制了用户登录尝试并将用户名替换为电子邮件ID。现在我们可以替换登录URL,摆脱99%的直接暴力攻击.

这个小技巧将限制未经授权的实体访问登录页面。只有拥有确切网址的人才能做到.

更改登录URL的最简单方法是使用适当命名的插件WPS隐藏登录。使用非常简单;只需输入新的登录页面URL并保存更改。您可以将URL设置为所需的任何内容.


WPS隐藏登录 WPS隐藏登录

作者: WPServeur,NicolasKulka,tabrisrp

当前版本:1.5.6

上次更新时间:2020年3月9日

wps-hide-login.1.5.6.zip


98%评级


600,000+安装


WP 4.1+要求

12.调整密码

使用您的密码并定期更改密码以保护您的WordPress网站。通过添加其他单词并延长密码长度来提高其强度.

请注意,我们并不一定建议您继续在密码中添加更多的大写和小写字母,数字和特殊字符。许多人选择了较长的密码短语,因为这几乎是黑客无法预测的,但比起一堆随机数字和字母更容易记住.

有个 流行漫画xkcd 有关如何欺骗一些看似安全的密码的方式:

密码强度

事实证明,使用复杂的短语通常会更安全,并且容易记住10倍.

13.使用密码管理器

好的,我们都知道我们应该经常更改密码,并且应该很难破解它们。我们知道我们 "应该" 这样做,但这并不总是我们有时间.

这是一些高质量的密码管理器起作用的地方。它们不仅会为您生成安全密码,还将它们存储在安全的保管库中,这将使您免于记住密码的麻烦.

��这是我们对市场上最好的密码管理器的深入比较.

14.自动将空闲用户注销到您的站点

在屏幕上打开您网站的wp-admin面板的用户可能会构成严重的WordPress安全威胁。任何路人都可以更改您网站上的信息,更改某人的用户帐户,甚至完全破坏您的网站。您可以通过确保人们在闲置了一段时间后将其注销来避免这种情况.

您可以使用类似以下的插件进行设置 防弹安全. 该插件可让您为闲置的用户设置自定义的时间限制,之后他们将自动注销.


防弹安全 防弹安全

作者: AITpro网站安全

当前版本:4.0

上次更新时间:2020年4月29日

bulletproof-security.4.0.zip


96%的评分


60,000+安装


WP 3.8+要求

(c)部分:通过管理仪表板保护您的WordPress网站

对于黑客来说,网站最吸引人的部分是管理仪表板,它实际上是所有仪表板中最受保护的部分。因此,攻击最强的部分是真正的挑战。如果成功完成,它将为黑客带来道德上的胜利,并为他们带来巨大的损害.

保护您的WordPress网站管理控制台的方法如下:

15.保护wp-admin目录

wp-admin目录是任何WordPress网站的心脏。因此,如果您网站的这一部分遭到破坏,则整个网站可能会遭到破坏.

防止这种情况的一种可能方法是用密码保护wp-admin目录。通过这种WordPress安全措施,网站所有者可以通过提交两个密码来访问仪表板。一个保护登录页面,另一个保护WordPress管理区域.

进行设置通常需要通过cPanel调整托管设置。不过,如果您这样做并不难 遵循正确的步骤.

16.使用SSL加密数据

实施SSL(安全套接字层)证书是保护管理员面板安全的一项明智之举。 SSL可确保用户浏览器与服务器之间的数据安全传输,从而使黑客难以破坏连接或欺骗您的信息.

为您的WordPress网站获取SSL证书很简单。您可以从第三方公司购买一个,或者检查托管公司是否免费提供了一个.

让我们加密

我在大多数网站上都使用“免费加密的开源加密SSL证书”。任何像SiteGround这样的优质托管公司,都通过其托管软件包提供免费的Let’s Encrypt SSL证书.

SSL证书还会影响您网站的Google排名。 Google倾向于 使用SSL将网站排名更高 比那些没有它的人这意味着更多的流量。现在谁不想要那个?

在WordPress网站上启用SSL非常简单。在99%的情况下,您所需要做的就是安装Really Simple SSL插件并激活它。无需其他设置.


真正简单的SSL 真正简单的SSL

作者: Rogier Lankhorst,马克·沃尔特斯

当前版本:3.3.3

上次更新时间:2020年5月18日

true-simple-ssl.3.3.3.zip


100%评分


4,000,000+安装


WP 4.6+要求

17.小心添加用户帐户

如果您运行WordPress博客,或者说是多作者博客,那么您需要与多个访问管理面板的人打交道。这可能会使您的网站更容易受到WordPress安全威胁的攻击.

您可以使用类似的插件 强制使用强密码 如果要确保用户输入的所有密码都是安全的。这只是一种预防措施,但是比让多个用户使用弱密码更好.


强制使用强密码 强制使用强密码

作者: 杰森·科斯珀(Jason Cosper)

当前版本:1.8.0

上次更新时间:2017年11月9日

force-strong-passwords.1.8.zip


86%的评价


10,000+次安装


WP 3.7+要求

18.更改管理员用户名

在安装WordPress期间,您永远不要选择 "管理员" 作为您的主要管理员帐户的用户名。这样的易于猜测的用户名对于黑客来说是可接近的。他们只需要输入密码即可,然后整个网站就会被人误用.

管理员用户名更改

我无法告诉您我浏览了多少次网站日志,并找到了使用用户名登录的尝试 "管理员".

iThemes Security插件可以通过立即禁止任何尝试使用该用户名登录的IP地址来阻止此类尝试.

19.监视文件

如果您想增加WordPress的安全性,请通过类似插件的方法监视网站文件的更改 围栏, 或再次,iThemes Security.


Wordfence安全性–防火墙和恶意软件扫描 Wordfence安全性–防火墙 & 恶意软件扫描

作者: 围栏

当前版本:7.4.7

上次更新时间:2020年4月23日

wordfence.7.4.7.zip


96%的评分


3,000,000+安装


WP 3.9+要求

(d)部分:通过数据库保护您的WordPress网站

您网站的所有数据和信息都存储在数据库中。照顾它至关重要。您可以采取一些措施来提高安全性:

20.更改WordPress数据库表前缀

如果您曾经安装过WordPress,那么您将熟悉WordPress数据库使用的wp-table前缀。我建议您将其更改为独特的内容.

使用默认前缀会使您的站点数据库易于受到SQL注入攻击。可以通过将wp-更改为其他术语来防止此类攻击。例如,您可以将其设置为mywp-或wpnew-.

如果您已经使用默认前缀安装了WordPress网站,则可以使用 一些插件 改变它像插件 WP-DB管理器 或iThemes Security可以帮助您完成工作,只需单击一个按钮即可。 (确保对数据库进行任何操作之前先备份站点).


WP-DB管理器 WP-DB管理器

作者: Lester’GaMerZ’Chan

当前版本:2.80.3

上次更新时间:2020年5月20日

wp-dbmanager.2.80.3.zip


88%的评价


100,000+安装


WP 4.0+要求

21.定期进行备份以保护您的WordPress网站

无论您的WordPress网站多么安全,总会有改进的余地。但归根结底,无论发生什么情况,将异地备份保存在某处也许都是最好的解药.

如果您有备份,则可以随时将WordPress网站恢复到工作状态。有一些插件可以在这方面为您提供帮助。例如,所有这些.

如果您正在寻找高级解决方案,那么我建议 VaultPress 由Automattic提供,这很棒。我已经设置好了,所以它每周都会创建备份。如果发生任何不良情况,我只需单击一下即可轻松恢复该网站.

我知道一些较大的网站每小时都会运行备份,但是对于大多数组织而言,这是完全过时的。更不用说,由于每个备份文件都会占用驱动器上的空间,因此您需要确保在创建新备份后删除其中的大多数备份。也就是说,我建议大多数组织每周或每月备份一次.

除了备份外,VaultPress还会检查我的网站是否存在恶意软件,并在发生任何可疑事件时提醒我.

22.为您的数据库设置强密码

必须为主数据库用户提供一个强密码,因为该密码是WordPress用来访问数据库的密码.

与往常一样,密码使用大写,小写,数字和特殊字符。密码短语也很出色。我再次建议使用LastPass来随机生成和存储密码。一个免费,快速的工具,可以用来设置强密码。 安全密码生成器.

密码

23.监视您的审核日志

当您运行WordPress多站点或处理多作者网站时,必须了解正在发生什么类型的用户活动。您的作者和贡献者可能正在更改密码,但是您可能不想发生其他事情。例如,主题和窗口小部件更改显然仅保留给管理员使用。当您查看审核日志时,可以确保您的管理员和参与者没有在未经批准的情况下尝试更改您网站上的某些内容.

审核日志

WP安全审核日志 插件提供了此活动的完整列表,以及电子邮件通知和报告。简单来说,审核日志可以帮助您查看编写者登录时遇到的麻烦。但是,该插件也可能会泄露您一个用户的恶意活动。.


WP活动日志(以前为WP安全审核日志) WP活动日志(以前为WP安全审核日志)

作者: WP白色安全

当前版本:4.1.0

上次更新时间:2020年5月26日

wp-security-audit-log.4.1.0.zip


96%的评分


100,000 +安装


WP 3.6+要求

(e)部分:通过主题和插件保护您的WordPress网站

主题和插件是任何WordPress网站的基本要素。不幸的是,它们也可能构成严重的安全威胁。让我们了解如何以正确的方式保护您的WordPress主题和插件:

24.定期更新WordPress安全性

每个好的软件产品都受到其开发人员的支持,并且会不时地进行更新。这些更新旨在修复错误,有时还具有重要的安全补丁。 WordPress及其插件没有什么不同.

不更新主题和插件可能意味着麻烦。许多黑客仅仅依靠一个事实,即人们不必费心去更新他们的插件和主题。这些黑客经常会利用已经修复的错误.

因此,如果您使用的是任何WordPress产品,请定期进行更新。插件,主题,应有尽有。好消息是WordPress会自动为其用户推出更新,因此您会收到一封电子邮件,通知您有关更新以及仪表板中修补程序的信息。.

至于插件,必须通过以下方式手动更新: 外挂程式 在您的仪表板中。插件具有新版本时,它会通知您并提供立即更新的链接.

更新插件

或者,您可以选择托管的WordPress托管计划。除了许多其他功能和对WordPress安全性的改进之外,质量托管主机还可以自动更新WordPress网站的所有元素.

一些托管托管服务提供商包括Kinsta,SiteGround和Flywheel。您可以在此处了解有关顶级托管WordPress托管的更多信息.

25.删除您的WordPress版本号

您当前的WordPress版本号很容易找到。它基本上位于您网站的源代码视图中。您也可以在信息中心的底部看到它(但这对保护您的WordPress网站无所谓).

版本号

事情就是这样:如果黑客知道您使用的是哪个版本的WordPress,那么他们更容易量身打造完美的攻击.

您可以使用我上面提到的几乎每个WordPress安全插件隐藏您的版本号.

对于更手动的方法(并且还要从RSS feed中删除版本号),请考虑将以下函数添加到functions.php文件中:

函数wpbeginner_remove_version(){
返回”;
}
add_filter(’the_generator’,’wpbeginner_remove_version’);

关于如何保护您的WordPress网站的最终想法

如果您是初学者,那么可以接受很多东西。但是,我在本文中提到的一切都是朝着正确方向迈出的一步。您越在乎WordPress的安全性,黑客越难破解.

话虽这么说,网站性能可能与安全同样重要。基本上,如果没有一个快速加载的网站,您的访问者将永远不会有机会使用您的内容。一般的网站访问者只会等待2秒钟,然后沮丧并离开.

以下是一些可以帮助您赢得性能比赛并确保您的网站快速加载闪电的资源:

  • Use️使用优质的CDN。其中一些甚至是免费的。以下是一些热门选项的比较:MaxCDN,CloudFlare,Amazon CloudFront,Akamai Edge,Fastly
  • ��️调整网站内容。这是11种加快WordPress速度的方法

如果您对如何保护WordPress网站有任何疑问,请在评论中告诉我们,我们将为您解答!那么您的WordPress安全挑战是什么?

别忘了加入我们的速成班,以加快WordPress网站的速度。通过一些简单的修复,您甚至可以减少50-80%的加载时间:

由Ahmad Awais,Joe Warnimont,Karol K撰写.

*这篇文章包含会员链接,这意味着,如果您单击其中一个产品链接,然后购买该产品,我们将收取一小笔费用。不用担心,您仍然需要支付标准金额,因此您无需承担任何费用.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map