如何保证Wordpress网站的安全

如何保证Wordpress网站的安全

WordPress安全是每个网站所有者极为重要的主题。Google每天将大约10,000多个网站列入恶意软件黑名单,每周将大约50,000个网络钓鱼列入黑名单。如果你认真对待自己的网站,则需要注意WordPress安全最佳实践。在本指南中,我们将分享所有最重要的WordPress安全提示,以帮助你保护网站免受黑客和恶意软件的侵害。

尽管WordPress核心软件非常安全,并且经过数百名开发人员的定期审核,但可以做很多事情来确保你的网站安全。作为网站所有者,你可以做很多事情来提高WordPress的安全性(即使你不是精通技术的人)。你可以采取许多可行的步骤来保护你的网站免受安全漏洞的侵害。

为什么网站安全很重要?

遭到入侵的WordPress网站可能会严重损害你的业务收入和声誉。黑客可以窃取用户信息,密码,安装恶意软件,甚至可以将恶意软件分发给你的用户。更糟糕的是,你可能会发现自己向黑客支付了勒索软件,只是为了重新获得对你网站的访问权限。

2016年3月,谷歌报告称,已经有超过5000万网站用户被警告其访问的网站可能包含恶意软件或窃取信息。此外,Google每周将大约20,000个恶意软件网站列入黑名单,每周将大约50,000个网络钓鱼列入黑名单。如果你的网站是一家公司,那么你需要特别注意WordPress的安全性。与保护所有者的实体店建筑是企业所有者的责任类似,作为在线企业所有者,保护你的企业网站是你的责任。

方法一:保持WordPress更新

WordPress是一个定期维护和更新的开源软件。默认情况下,WordPress自动安装次要更新。对于主要版本,你需要手动启动更新。WordPress还附带了成千上万的插件和主题,你可以在网站上安装它们。这些插件和主题由第三方开发人员维护,它们也定期发布更新。这些WordPress更新对于WordPress网站的安全性和稳定性至关重要。你需要确保WordPress核心,插件和主题是最新的。

方法二:使用强大的密码和用户权限

最常见的WordPress黑客尝试使用被盗密码。你可以使用网站独有的更强密码来解决这个难题。不仅适用于WordPress管理区域,还适用于FTP帐户,数据库,WordPress托管帐户以及使用你站点域名的自定义电子邮件地址。降低风险的另一种方法是,除非绝对必要,否则不授予任何人访问WordPress管理员帐户的权限。如果你有庞大的团队或其他作者,那么在将新的用户帐户和作者添加到WordPress网站之前,请确保你了解WordPress中的用户角色和功能。

方法三:将你的WordPress网站移至SSL / HTTPS

SSL(安全套接字层)是对你的网站和用户浏览器之间的数据传输进行加密的协议。这种加密使某人很难嗅探和窃取信息。

启用S​​SL后,你的网站将使用HTTPS而不是HTTP,并且在浏览器中你的网站地址旁边还会看到一个小绿锁标志。SSL证书通常是由证书颁发机构颁发的,其价格每年从80美元到数百美元不等。由于增加了成本,大多数网站所有者选择继续使用不安全的协议。为了解决这个问题,一个名为Let's Encrypt的非营利组织决定为网站所有者提供免费的SSL证书。他们的项目得到了Google Chrome,Facebook,Mozilla和更多公司的支持。

现在,对你所有的WordPress网站开始使用SSL比以往更加容易。许多托管公司现在为用户网站提供免费的SSL证书。

方法四:更改默认的“管理员”用户名

在过去,默认的WordPress管理员用户名是“ admin”。由于用户名占登录凭据的一半,因此使黑客更容易进行暴力攻击。幸运的是,WordPress自此改变了这一点,现在需要你在安装WordPress时选择自定义用户名。但是,某些一键式WordPress安装程序仍将默认管理员用户名设置为“ admin”。如果你注意到这种情况,那么切换虚拟主机可能是一个好主意。

由于WordPress默认情况下不允许你更改用户名,因此可以使用三种方法来更改用户名:

  • 创建一个新的管理员用户名并删除旧的。
  • 使用用户名更改插件
  • 从phpMyAdmin更新用户名

注意:我们所说的用户名是“ admin”,而不是管理员角色。

方法五:禁用文件编辑

WordPress带有内置的代码编辑器,可让你直接从WordPress管理区域编辑主题和插件文件。如果使用不当,此功能可能会带来安全风险,因此建议你将其关闭。

你可以通过在wp-config.php文件中添加以下代码来轻松实现此目的。

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

方法六:在某些WordPress目录中禁用PHP文件执行

加强WordPress安全性的另一种方法是通过在不需要的目录(例如/ wp-content / uploads /)中禁用PHP文件执行。你可以通过打开文本编辑器(如记事本)并粘贴以下代码来执行此操作:

<Files *.php>
deny from all
</Files>

接下来,你需要将此文件另存为.htaccess并使用FTP客户端将其上传到网站上的/ wp-content / uploads /文件夹中。

方法七:限制登录尝试

默认情况下,WordPress允许用户尝试根据需要多次登录。这使你的WordPress网站容易受到暴力攻击。黑客尝试通过尝试使用不同的组合登录来破解密码。通过限制用户可以进行的失败登录尝试,可以轻松解决此问题。如果你使用的是前面提到的Web应用程序防火墙,则会自动进行处理。但是,如果你没有防火墙设置,请继续以下步骤。

首先,你需要安装并激活Login LockDown插件。激活后,访问设置»登录锁定页面以设置插件。

使用WordPress插件来限制用户登录

方法八:更改WordPress数据库前缀

默认情况下,WordPress使用wp_作为WordPress数据库中所有表的前缀。如果你的WordPress站点使用默认的数据库前缀,那么它使黑客更容易猜测表名是什么。这就是为什么我们建议更改它的原因。

注意:如果操作不正确,可能会破坏你的网站。只有对编码技巧感到满意的情况下,才继续操作。

方法九:密码保护WordPress管理员和登录页面

通常,黑客可以无限制地请求你的wp-admin文件夹和登录页面。这使他们可以尝试黑客技巧或运行DDoS攻击。你可以在服务器端级别上添加其他密码保护,这将有效地阻止这些请求。

方法十:禁用目录索引和浏览

在WordPress中禁用目录浏览

黑客可以使用目录浏览来发现你是否存在任何已知漏洞的文件,因此他们可以利用这些文件获得访问权限。其他人还可以使用目录浏览来查看你的文件,复制图像,查找目录结构以及其他信息。这就是为什么强烈建议你关闭目录索引和浏览的原因。

你需要使用FTP或cPanel的文件管理器连接到你的网站。接下来,在你网站的根目录中找到.htaccess文件。之后,你需要在.htaccess文件的末尾添加以下行:

Options -Indexes

然后将.htaccess文件上传到你的服务器上。