WordPress是迄今为止最流行的内容管理系统(CMS)(它们占据了互联网的32%),主要是因为它非常易于使用,而且即使是新手也可以发布博客。正是这种非常受欢迎使得WordPress成为黑客的诱人目标。Sucuri报告显示,34,271个受感染网站中有83%是WordPress。在这种情况下,每个WordPress网站所有者都必须尽一切可能使你的网站安全。

下面介绍了提高wordpress安全性的五个小技巧,可以使你的WordPress网站和服务器更加安全。

使用强密码并避免使用“ADMIN”作为用户名

使用强密码

毫无疑问,在尝试保护你的私人数据和个人信息不被黑客破解时,请使用安全性较强的用户名和密码组合,虽然很多网站在注册时都会提示输入大写字母+小写字母+数字的组合,但大部分人还是为了好几而习惯使用很简单的密码,比如:admin123456、admin111等等。

一旦攻击者知道了一些关于你的个人信息,他们就可以很容易地猜出你的生日或你孩子的姓名,或者可以用作密码的任何其他个人信息。

要设置强密码,建议你选择一下密码组合:

  • 一串不应该有任何意义的字符。
  • 不应该是一个可识别的词,比如:某个地点、某个事物等等。
  • 绝对不可以是个人生活中的名称或数字。
  • 应该将字母,数字和特殊字符的某些组合串在一起,最好是随机排序。

这将是一个更难以记住的密码,但是为了更加安全,必须做出一点牺牲。你可以将密码托管给浏览器,这样就不用每次登录都重新输入一遍密码。如果需要强密码生成,可以去网上搜索强密码生成。

避免使用admin作为用户名

使用“admin”作为用户名,这是WordPress网站所有者中非常常见的错误。

永远不应该将“admin”用作管理员ID,因为这是黑客首先猜测的管理员ID。设置管理员ID时,你应该采取与密码相同的步骤:

  • 创建具有管理员权限的新用户。
  • 将一系列随机字母,数字和特殊字符串在一起。
  • 将管理员ID中使用的一个或两个字母大写,使其更加困难。
  • 不要忘记从WordPress中删除“旧管理员”用户。

采取这些预防措施可以使你的密码和管理员ID不会被黑客或攻击者轻易识破。

使用SSL进行数据加密

当双方之间发送消息时,网络犯罪分子可能会等待并拦截两个参与者之间的消息。在大多数情况下,任何一方都不知道他们的消息已被劫持,而且该信息已被盗。通过使用安全套接字层(SSL),可以防止这种可能性。要获得安全的套接字层证书,你的网站必须转移到HTTPS,这意味着你的网站主机可能必须参与进行切换。

SSL证书具有公钥和私钥,它们一起工作以建立加密的连接。一旦申请了证书签名请求,就会在服务器上建立这对密钥,然后SSL证书颁发者将在保留公钥的同时向你发出私钥。

证书颁发者永远不会看到私钥,这有助于确保整个安排保持安全。一旦在你的服务器上设置了它,它就不会被网络犯罪分子攻击,并且你的所有通信都是安全的。

对于你的WordPress地址和站点地址,你的站点URL的开头必须更改为https://。有关SSL证书申请及部署,请参考: Apache服务器配置SSL证书流程如何申请免费的DV SSL证书和通配符证书

使用双重验证用户身份信息

为提高Web WordPress网站的整体安全性,你可以采取的最简单的安全措施之一是实施双因素身份验证。

这个术语的含义是,除了为用户提供使用密码登录站点的机会之外,他们还需要通过额外的安全步骤来获取访问权限。这通常被设置为专门生成的代码,通过电子邮件发送给用户。

通过实施双因素身份验证,几乎可以消除所有暴力攻击,并且你的站点可以抵御这种强大的攻击。

Two-Factor 是你可以免费使用的WordPress双因素身份验证插件之一。安装并激活插件后,你可以配置以下2FA方法:

  • 电子邮件(通过电子邮件发送验证码)
  • 基于时间的一次性密码(代码通过Google身份验证器应用生成)
  • 通用第二因素(需要第三方设备)

wordperss有很多类似的验证插件,这里不再一一列举。

经常更新wordpress和插件

防止被网络黑客攻击的最佳方法是让你的WordPress网站经常更新。同样,Sucuri的2017年报告显示,39.3%被黑客攻击的WordPress网站安装的是旧版本的wordpress。

升级旧版本的wordpress和wordpress插件
升级旧版本的wordpress和wordpress插件

每当wordrpess和插件发布更新时,开发者们通常是对从先前版本的WordPress和插件中找到漏洞和弱点,并且更新有助于弥补这些漏洞或完全替换它们。如果你没有尽快应用这些更新,那么你的站点将容易受到攻击,因为互联网上的犯罪分子将会知道所有这些相同的漏洞。

黑客喜欢攻击旧版本的WordPress,因为它们已经变得相对过时了,并且通常无法抵御确定的攻击。当WordPress发布更新时,它们通常会显示在仪表板的通知部分中,当你发现某些可用时,应尽早应用这些更新。

为此,你只需导航到WordPress仪表板,然后单击“更新”菜单选项。这将显示所有可用的更新,你可以选择要应用的更新,但你当然应该应用所有与安全性有关的更新。