如果你拥有WordPress网站,则应了解潜在的WordPress安全漏洞。 如果站点所有者很注意网站和服务器漏洞,则可以避免大多数WordPress安全问题。在本文中,我们将介绍一些最常见的网站漏洞,这些漏洞可能会危害你的WordPress网站,并介绍了可以采取哪些步骤来增强网站的安全性。

服务器安全

并非所有的Web主机(服务器)都是安全的,从长远来看,最终会因安全性问题而花更多的钱,推荐使用知名的主机提供商,比如“阿里云”、“腾讯云”、“华为云”等等,知名的主机提供商都会有及时的售后服务,安全性相对来说更高。

同时,你的主机应该及时进行系统更新和修补漏洞,以确保不会因为服务器漏洞而影响到网站的正常运行。

WordPress管理员用户名

管理员的WordPress用户名是最常遭到攻击的WordPress安全漏洞,因为它提供了对网站的管理页面的最简单访问。暴力破解是利用WordPress登录名的最常见方法。

暴力破解是一种尝试正确猜测用户名和密码组合以获得对WordPress网站后端的访问的尝试。暴力破解之所以有效,是因为WordPress不会限制某人可以进行的登录尝试次数。

你可以使用WordPress安全插件(例如iThemes Security Pro)来限制登录尝试的次数,从而增强WordPress登录的安全性。限制登录尝试只是WordPress暴力保护的第一步 。

注意WordPress密码安全性对于保护WordPress登录名也至关重要,这就是为什么你应该使用密码管理器生成随机的强密码并安全地存储它们的原因。强迫网站上的每个WordPress用户使用强密码,将大大降低暴力破解的有效性。

此外,添加WordPress双重身份验证是保护网站登录信息的最佳方法之一。双重身份验证要求用户除了其用户名和密码之外,还使用身份验证令牌登录WordPress。即使直接从用户的电子邮件中窃取了正确的用户名和密码,如果用户使用移动应用程序接收其身份验证令牌,仍然可以防止恶意登录尝试。双重身份验证为你的WordPress网站增加了难以置信的强大安全性,并且可以使用iThemes Security这样的插件轻松添加。

过时的插件

当你的WordPress网站运行的插件,主题或WordPress版本过时时,你的网站上就会存在已知漏洞的风险。更新不仅是针对新功能或错误修复;它们还可以包括已知漏洞的安全补丁。即使这是最容易预防的WordPress安全漏洞,大多数成功的黑客还是使用过时软件中的漏洞。

自动更新可确保你获得关键的安全补丁程序,从而保护你的网站免受WordPress安全漏洞的侵害,此外,它还减少了维护WordPress网站所花费的时间。

PHP漏洞

WordPress网站上的PHP代码也应包含在WordPress安全漏洞列表中。利用PHP代码是黑客用来访问WordPress网站的常用方法,因此,通过限制陌生PHP代码运行来降低风险至关重要。卸载并完全删除WordPress网站上所有不必要的插件和主题,以限制网站上的访问点和可执行代码的数量。

另外,避免使用废弃的WordPress插件。如果你的WordPress网站上安装的任何插件在六个月或更长时间内都没有收到更新,则证明该插件可能会放其维护更新。没有任何最新更新的插件并不一定意味着它已被放弃,它可能意味着它已完成功能,并且仅会接收更新以确保与WordPress和PHP的最新版本兼容。

不要从不受信任的来源安装插件和主题

建议仅从受信任的来源安装WordPress插件和主题。你只应安装从WordPress.org,或知名商业存储库或直接从信誉良好的开发人员处获得的软件。你将要避免使用“空”版本的商业插件,因为它们可能包含恶意代码。

总结:可以通过采用主动的WordPress安全方法来缓解大多数WordPress安全漏洞。