只需几个简单步骤即可实现WordPress 安全

如果您正在使用 WordPress,那么您应该始终考虑网站的安全性。WordPress 并不比其他平台更安全或更不安全,但其用户数量、插件和第三方附加组件使其成为攻击者的常见目标。不过别担心,您可以采取一些基本步骤来确保网站安全(即使您不太懂技术)!

目录

 企业可以发现趋势  手机号码数据  调整客户旅程,并根据实时事实做出明智的选择。五。紧急服务:在紧急情况下,手机号码可能很重要。它们用于在危机期间传递信号、困难警告以及与公众对话。  手机号码数据营销和广告的应用手机号码记录在数字广告领域很有用。

  • 不要使用“admin”作为用户名
  • 使用复杂的密码
  • 添加双重身份验证
  • 采用“最小特权”原则
  • 隐藏系统文件
  • 使用 WordPress 安全密钥
  • 禁用文件编辑
  • 隐藏您的登录名并限制登录尝试次数
  • 选择 XML-RPC
  • 获得良好的托管
  • 了解最新动态
  • 定期备份
  • 考虑使用安全插件
  • 使用 CDN 阻止“边缘”攻击
  • 不要忘记日志和监控
  • 还要别的吗?

不要使用“admin”作为用户名

大多数 WordPress“黑客”和攻击不会采取比通过猜测您的密码尝试强行进入您的管理区域更复杂的手段。如果他们不必猜测您的管理员用户名,那么这对他们来说就容易得多!避免使用常用词(如admin)作为用户名可以使暴力攻击的效果大大降低。

如果您正在使用已经有“管理员”用户的旧网站,则可能是时候删除该帐户并将任何内容或访问权限转移到更安全的用户名!

使用复杂的密码

拥有更好的密码会使猜测或暴力破解变得更加困难。一个容易记住的提示是CLU:复杂。长。独特。

但是较长、独特的密码可能很难记住,对吧?这就是1Password和LastPass等工具发挥作用的地方,因为它们各自都有密码生成器。您输入所需的长度,它会为您生成密码。您保存链接,保存密码,然后继续您的一天。根据您希望密码的安全性,设置一个密码(20 个字符是好的)并决定包含不常用的字符(如#或 )是明智的*

添加双重身份验证

即使您采取措施锁定网站,暴力攻 银行吸引客户的 10 种策略 击仍可能是一个问题。双重身份验证可以为您的登录过程增加额外的安全性,并降低他人猜出您的密码的风险。

其原理是,您不仅需要输入登录详细信息,还需要输入您拥有的另一台设备上的一次性代码(通常通过手机上的应用程序)来确认您的身份。这样攻击者就很难伪造

处理 WordPress 身份验证的两个流行插件是Google Authenticator和Rublon Plugin(采用略有不同的方法)。请确保您不会丢失备份代码,否则您可能会被锁定。

采用“最小特权”原则

WordPress.org团队在  br 号码列表 WordPress Codex 中整理了一篇有关角色和功能的精彩文章。我们鼓励您阅读并熟悉它,因为它适用于以下步骤

最低权限的概念很简单。仅授予以下权限:

  • 那些需要它的人,
  • 当他们需要的时候
  • 只在他们需要的时候。

如果有人需要临时管理员访问权限来更改配置,请授予该权限,但在任务完成后将其删除。好消息是,除了采用最佳实践外,您在这里不需要做太多事情。

与普遍看法相反,并非每个访问 Wor

ss 实例的用户都需要归类为管理员角色。将人员分配到适当的角色(如“编辑”或“贡献者”),您将大大降低安全风险。

如果您需要更细粒度的控制,像用户角色编辑器这样的插件可以让您调整访问规则和单独的用户权限。

隐藏系统文件

 

对于 WordPress 安全至关重要。它们通常包含您的系统凭据,并可能泄露有关您网站结构和配置的信息。确保攻击者无法访问它们至关重要。

隐藏这些文件相对容易,但操作不当可能会导致您的网站无法访问。请备份并谨慎操作。Yoast  SEO for WordPress可让您更轻松地完成此过程。只需转到“工具 > 文件编辑器”即可编辑您的.文件。

为了提高 WordPress 的安全性,您需要将其添加到您的文件中以进行保护


这将阻止访问该文件。类似的代码可用于您的文件本身:


使用 WordPress 安全密钥

文件有一个专用区域,您可以在其中提供“身份验证密钥”和“盐”。这些是一组随机值,​​它们对于您的网站是唯一的。WordPress 使用它们来加密存储在 cookie 中的任何信息,这使得攻击者更难通过假装是经过身份验证的用户来潜入。

身份验证密钥和盐的示例

您可以定义自己的随机值,或者使用方便的生成器来获取一组可粘贴的随机值。

禁用文件编辑

如果黑客入侵,他们更改文件的最简单方法就是转到 WordPress 中的“外观 > 编辑器”。为了提高 WordPress 的安全性,您可以通过该编辑器禁用对这些文件的编辑。同样,您可以通过在文件中添加以下代码行来执行此操作:


您仍然可以通过您最喜欢的 (S)FTP 应用程序(或构建流程)编辑模板。只是无法通过 WordPress 本身进行编辑。

隐藏您的登录名并限制登录尝试次数

暴力攻击通常以您的登录表单为目标。因此,更改登录表单的位置可使攻击者更难进入。All in One WP Security & Firewall 插件有一个选项,可简单地将默认 URL)更改为更安全的 URL。

除此之外,您还可以限制从特定 IP 地址登录的尝试次数。有多个 WordPress 插件可以帮助您保护登录表单,防止 IP 地址向您发起大量登录尝试。

选择 XML-RPC

XML-RPC是一种已经存在一段时间的应用程序接口 (API)。它被许多插件和主题使用,因此我们提醒技术水平较低的人注意他们如何实现这一特定的强化技巧。

虽然功能强大,但禁用需要付出代价。这就是为什么我们不建议禁用所有内容,而是对如何访问以及允许哪些内容进行更有选择性的选择。在 WordPress 中,如果您使用Jetpack,则需要格外小心。

有许多插件可以帮助您选择性地实现和默认禁用 XML-RPC 。

获得良好的托管

即使您对网站的安全性非常细心,但如果托管网站的公司不那么细心,您可能什么也没做。

如果攻击者可以访问您的网站托管,他们就可以完全控制一切。这意味着选择(或转移到)一个认真对待托管的主机非常重要。较便宜的托管选项通常没有良好的安全性或备份,或者可能无法提供支持来帮助您清理被黑的网站。

寻找合适的托管合作伙伴可能很复杂 – 但如果您从我们推荐的托管公司开始,就不会那么复杂了。其中一些还带有自己的专用 WordPress 插件,可提供更强大的安全优势。

了解最新动态

定期更新主题、软件、插件和其他组件至关重要。否则,您就会给攻击者敞开大门。如果您是 Yoast SEO 插件的用户,只需按照以下简单步骤更新您的 Yoast SEO 插件即可。

如果您正在运行最新版本的 WordPress,您还可以配置您的网站和插件,以便在有新版本时自动更新。

最后,别忘了查看设置中的其他活动部分。从托管系统到您自己的计算机操作系统,任何运行软件或使用密码的东西都需要保持最新状态。

定期备份

如果出现问题,您需要进行备份,以便安全地回滚到较早的日期。好的托管公司会将备份设施作为其套餐的一部分提供,但如果您想货比三家,有一些出色的插件可供选择。

考虑使用安全插件

如果觉得这一切工作量很大,别担心——防火墙插件和常规安全插件可以提供帮助。这些插件会寻找已知的攻击者和常见的攻击模式,并在他们有机会破坏您的网站之前阻止他们。

一些更受欢迎的安全插件(如Sucuri Security和Wordfence)由雇佣安全研究人员的公司维护,这些研究人员负责监控、培训和修补问题。这有助于保护您的网站免受所有最新威胁的侵害。

您仍需要注意基本事项,但这些插件可以帮助您加强防御,并快速应对新出现的威胁。值得花时间探索它们的设置、阅读它们的文档,并确保您已定制设置以满足您网站的独特需求。

使用 CDN 阻止“边缘”攻击

最好的安全解决方案可以防止攻击者接近您的网站或管理控件。许多内容交付系统都包含复杂的防火墙功能;将性能优化与保护相结合。这些系统可以在网络级别识别和拦截不良流量,并阻止其到达您的网站。

Cloudflare在阻止“不良流量”方面做得尤其出色,甚至有专门为保护 WordPress 网站而开发的规则和扫描。他们的“零信任”安全方法扩展了我们的建议,即采用“最小特权”原则,假设所有流量和请求都是“不良的”,除非证明不是——而且他们的工具在防止常见攻击和暴力攻击方面做得很好。

不要忘记日志和监控

即使采取了最好的保护措施,有时也会出错。如果出错,重要的是能够找出发生了什么,并采取哪些措施防止再次发生。

在您的 WordPress 网站中添加活动日志插件可以极大地帮助您诊断黑客攻击后可能发生的情况,并帮助您关注日常活动。

还要别的吗?

就像优化网站的 SEO 一样,安全性也是您应该时刻关注的事情。您应该探索很多不同的领域,而这份清单只是触及了皮毛。

如果您想了解更多信息,我们建议您浏览 wordpress.org 上的与您的托管公司联系。

滚动至顶部