WordPress 网站安全防护设置
WordPress 网站安全性对于每个网站所有者来说都是一个非常重要的话题。
如果您对自己的网站非常重视,那么您需要注意 WordPress 安全防护。否则,您可能会成为 Google 每天列入恶意软件和网络钓鱼黑名单的 10,000 多个网站之一。
在本指南中,我们将分享我们最重要的 WordPress 安全提示,以帮助您保护您的网站免受黑客和恶意软件的攻击。
虽然 WordPress 核心软件非常安全并由数百名开发人员定期审核,但仍有很多工作要做才能保证您的网站安全。
在 小兽WordPress,我们认为安全不仅仅是消除风险,它还涉及降低风险。作为网站所有者,即使您不懂技术,也可以做很多事情来提高 WordPress 的安全性。
在本文中,我们整理了一系列可采取的步骤来保护您的网站免受安全漏洞的侵害。
为了方便起见,我们创建了一个目录来帮助您轻松浏览我们的终极 WordPress 安全指南。
WordPress 安全基础知识
为什么网站安全很重要
被黑客入侵的WordPress 网站可能会严重损害您企业的收入和声誉。黑客可以窃取用户信息和密码、安装恶意软件,甚至向您的用户分发恶意软件。
最糟糕的是,您可能会发现自己向黑客支付勒索软件只是为了重新获得对您网站的访问权限。
每天,谷歌都会向 1200 万至 1400 万用户发出警告,他们试图访问的网站可能包含恶意软件或窃取信息。
此外,Google 每天还会将大约 10,000 多个网站列入恶意软件或网络钓鱼黑名单。
正如拥有实体店的企业主有责任保护自己的财产一样,在线企业主也需要格外注意他们的 WordPress 安全。
保持 WordPress 更新
WordPress 是开源软件,会定期维护和更新。默认情况下,WordPress 会自动安装小更新。
对于主要版本,您需要手动启动更新。
WordPress 还附带了数千个插件和主题,您可以将其安装在您的网站上。这些插件和主题由第三方开发人员维护,他们也会定期发布更新。
这些 WordPress 更新对于 WordPress 网站的安全性和稳定性至关重要。您需要确保您的 WordPress核心、插件和主题都是最新的。
使用强密码和用户权限
最常见的 WordPress 黑客攻击是使用被盗密码。您可以使用网站独有的更强密码来降低这种攻击难度。
我们谈论的不仅仅是 WordPress 管理区域。请记住为您的 FTP 帐户、数据库、WordPress 托管帐户和使用您网站域名的自定义电子邮件地址创建强密码。
许多初学者不喜欢使用强密码,因为这些密码很难记住。好消息是,您不再需要记住密码,因为您可以使用密码管理器。
请参阅有关如何管理 WordPress 密码的指南以获取更多信息。
降低风险的另一种方法是,除非绝对必要,否则不要让任何人访问您的 WordPress 管理员帐户。
如果您拥有一个大型团队或客座作者,那么在向您的 WordPress 网站添加新用户帐户和作者之前,请确保您了解WordPress 中的用户角色和功能。
了解 WordPress 服务器的作用
您的WordPress 服务器服务在 WordPress 网站的安全性中起着最重要的作用。像阿里云、谷歌云或SiteGround这样的优质共享托管服务提供商会采取额外措施来保护其服务器免受常见威胁。
以下仅列举了优秀网络托管公司在后台保护您的网站和数据的几种方法:
他们持续监控网络以发现可疑活动。
所有好的托管公司都配有工具来防止大规模DDoS 攻击。
他们保持服务器软件、PHP 版本和硬件保持更新,以防止黑客利用旧版本中已知的安全漏洞。
他们有随时可部署的灾难恢复和事故计划,以便在发生重大事故时保护您的数据。
在共享托管计划中,您与许多其他客户共享服务器资源。存在跨站点污染的风险,黑客可以使用邻近站点攻击您的网站。
相比之下,使用托管 WordPress 托管服务可以为您的网站提供更安全的平台。托管 WordPress 托管公司提供自动备份、自动 WordPress 更新和更高级的安全配置来保护您的网站
只需几个简单步骤即可实现 WordPress 安全(无需编码)
我们知道,提高 WordPress 安全性对于初学者来说可能是一件可怕的事情,尤其是如果您不懂技术的话。猜猜看 – 您并不孤单。
我们已经帮助数千名 WordPress 用户加强了他们的 WordPress 安全性。
我们将向您展示如何只需几次单击(无需编码)即可提高 WordPress 的安全性。
如果您可以点击,您就可以做到这一点!
1. 安装 WordPress 备份解决方案
备份是抵御任何 WordPress 攻击的第一道防线。请记住,没有什么是 100% 安全的。如果政府网站可能被黑客入侵,那么您的网站也可能被黑客入侵。
如果发生不好的事情,备份可以让您快速恢复您的 WordPress 网站。
您可以使用许多免费和付费的WordPress 备份插件。关于备份,您需要知道的最重要的事情是,您必须定期将完整站点备份保存到远程位置(而不是您的托管帐户)。
我们建议将其存储在 Amazon、Dropbox 等云服务或 Stash 等私有云上。
根据您更新网站的频率,理想的设置可能是每天一次或实时备份。
幸运的是,这可以通过使用Duplicator、UpdraftPlus或BlogVault等插件轻松实现。它们都很可靠,最重要的是易于使用(无需编码)。
有关更多详细信息,请参阅有关如何备份您的 WordPress 网站的指南。
安装信誉良好的 WordPress 安全插件
备份后,我们需要做的下一件事是建立一个审计和监控系统,跟踪您网站上发生的所有事情。
这包括文件完整性监控、登录尝试失败、恶意软件扫描等。
值得庆幸的是,您可以通过安装最好的 WordPress 安全插件之一(例如 Wordfence Security)轻松解决此问题。
Wordfence是一个 WordPress 安全插件,可帮助您保护您的网站免受黑客、恶意软件、DDOS 和暴力攻击等安全威胁。
它配备了网站应用程序防火墙,可以过滤进入您网站的所有流量并阻止可疑请求。
它有一个恶意软件扫描程序,可以扫描您的所有 WordPress 核心文件、主题、插件和上传文件夹以查找更改和可疑代码。这可以帮助您清理被黑的 WordPress 网站。
基本的 Wordfence 插件是免费的,但它还附带一个高级版本,让您可以访问更高级的功能,例如国家/地区阻止、实时更新的防火墙规则、计划扫描等。
话虽如此,让我们看看如何安装和轻松设置 Wordfence 以获得最大的安全性。
启用 Web 应用程序防火墙 (WAF)
保护您的网站并对 WordPress 安全充满信心的最简单方法是使用 Web 应用程序防火墙 (WAF)。
网站防火墙会在恶意流量到达您的网站之前将其拦截。
DNS级网站防火墙通过其云代理服务器路由您的网站流量。这样它就可以只向您的 Web 服务器发送真正的流量。
应用程序级防火墙会在流量到达服务器后但在加载大多数 WordPress 脚本之前对其进行检查。此方法在减少服务器负载方面不如 DNS 级防火墙有效。
将您的 WordPress 网站迁移到 SSL/HTTPS
SSL(安全套接字层)是一种协议,用于加密您的网站和用户浏览器之间的数据传输。这种加密使他人更难嗅探和窃取信息。
一旦启用 SSL,您的网站地址将使用HTTPS 而不是 HTTP。您还会在浏览器中看到网站地址旁边有一个挂锁或类似的图标标志。
SSL 证书通常由证书颁发机构颁发,价格每年从 80 美元到数百美元不等。由于成本增加,过去大多数网站所有者选择继续使用不安全的协议。
为了解决这个问题,一个名为 Let’s Encrypt 的非营利组织决定向网站所有者提供免费的 SSL 证书。他们的项目得到了 Google Chrome、Facebook、Mozilla 等多家公司的支持。
现在,对所有 WordPress 网站使用 SSL 比以往更加简单。
DIY 用户的 WordPress 安全
如果您按照我们到目前为止提到的方法去做,那么您的状态就非常好了。
但与往常一样,您还可以采取更多措施来加强 WordPress 的安全性。
请记住,其中一些步骤可能需要编码知识。
更改默认管理员用户名
过去,WordPress 管理员的默认用户名是“admin”。由于用户名占登录凭据的一半,这让黑客更容易进行暴力攻击。
值得庆幸的是,WordPress 已经改变了这一点,现在要求您在安装 WordPress时选择自定义用户名。
但是,一些一键式 WordPress 安装程序仍将默认管理员用户名设置为“admin”。如果您发现这种情况,那么最好切换您的网络托管。
由于 WordPress 默认不允许您更改用户名,因此您可以使用三种方法来更改用户名。
创建一个新的管理员用户名并删除旧的。
使用用户名更改器插件
从 phpMyAdmin 更新用户名
我们在有关如何正确更改 WordPress 用户名的详细指南中介绍了所有这三个内容。
注意:需要明确的是,我们讨论的是更改名为“admin”的用户名,而不是管理员用户角色(有时也称为“admin”)。
禁用文件编辑
WordPress 带有内置代码编辑器,允许您直接从 WordPress 管理区域编辑主题和插件文件。
如果使用不当,该功能可能会带来安全风险,因此我们建议将其关闭。
您可以通过将以下代码添加到您的wp-config.php文件或使用WPCode等代码片段插件(推荐)轻松完成此操作:
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
在某些 WordPress 目录中禁用 PHP 文件执行
加强 WordPress 安全性的另一种方法是禁用不需要的目录中的 PHP 文件执行,例如/wp-content/uploads/。
您可以通过打开记事本等文本编辑器并粘贴以下代码来执行此操作:
<Files *.php> deny from all </Files>
接下来,您需要将此文件保存为.htaccess ,并使用FTP 客户端将其上传到/wp-content/uploads/您网站上的文件夹。
有关更详细的说明,请参阅有关如何在某些 WordPress 目录中禁用 PHP 执行的指南。
限制登录尝试次数
默认情况下,WordPress 允许用户随意尝试登录。这会使您的 WordPress 网站容易受到暴力攻击。黑客会尝试使用不同的组合登录来破解密码。
这个问题可以通过限制用户登录失败次数来轻松解决。如果您使用前面提到的 Web 应用程序防火墙,那么这个问题会自动解决。
但是,如果您没有设置防火墙,那么您可以继续执行以下步骤。
首先,您需要安装并激活免费的Limit Login Attempts Reloaded插件。有关更多详细信息,请参阅有关如何安装 WordPress 插件的分步指南。
激活后,插件将开始限制用户的登录尝试次数。
默认设置适用于大多数网站,但是,您可以通过访问“设置»限制登录尝试次数”页面并单击顶部的“设置”选项卡来自定义设置。例如,为了遵守 GDPR 法律,您可以单击“GDPR 合规性”复选框。
添加双因素身份验证 (2FA)
双重身份验证方法要求用户登录两个不同的步骤:
第一步是用户名和密码。
第二步要求您使用黑客无法访问的设备或应用程序(例如您的智能手机)的代码。
大多数顶级在线网站(例如 Google、Facebook 和 Twitter)都允许您为自己的帐户启用此功能。您还可以将相同的功能添加到您的 WordPress 网站。
首先,您需要安装并激活WP 2FA – 双因素身份验证插件。有关更多详细信息,请参阅有关如何安装 WordPress 插件的分步指南。
更改 WordPress 数据库前缀
默认情况下,WordPress 使用作为WordPress 数据库wp_中所有表的前缀。
如果您的 WordPress 网站使用默认数据库前缀,那么黑客就更容易猜出您的表名。这就是我们建议更改它的原因。
您可以按照我们的分步教程来更改数据库前缀,了解如何更改 WordPress 数据库前缀以提高安全性。
注意:如果操作不当,更改数据库前缀可能会破坏您的网站。只有当您对自己的编码技能感到满意时才可以这样做。
密码保护 WordPress 管理员和登录页面
通常情况下,黑客可以不受任何限制地请求您的 wp-admin 文件夹和登录页面。这让他们可以尝试黑客技巧或运行 DDoS 攻击。
您可以在服务器端添加额外的密码保护,这将有效地阻止这些请求。
禁用目录索引和浏览
当您在 Web 浏览器中输入某个网站文件夹的地址时,index.html如果该网页存在,则将显示该网页。如果不存在,则将显示该文件夹中的文件列表。这称为目录浏览。
黑客可以利用目录浏览来查明您是否拥有任何具有已知漏洞的文件,以便他们可以利用这些文件来获取访问权限。
目录浏览功能还可能被其他人用来查看您的文件、复制图片、找出您的目录结构和其他信息。因此,我们强烈建议您关闭目录索引和浏览功能。
您需要使用 FTP 或托管服务提供商的文件管理器连接到您的网站。接下来,.htaccess在您网站的根目录中找到该文件。如果您在那里看不到它,请参阅我们的指南,了解为什么您在 WordPress 中看不到 .htaccess 文件。
之后,您需要在.htaccess 文件末尾添加以下行:
Options -Indexes
不要忘记保存并将 .htaccess 文件上传回您的网站。
在 WordPress 中禁用 XML-RPC
XML-RPC 是 WordPress 的核心 API,可帮助您将 WordPress 网站与 Web 和移动应用程序连接起来。自 WordPress 3.5 起,它已默认启用。
然而,由于其强大的特性,XML-RPC 可以显著放大暴力攻击。
例如,如果黑客通常想在你的网站上尝试 500 个不同的密码,那么他们就必须进行 500 次单独的登录尝试。Limit Login Attempts Reloaded 插件可以捕获并阻止这种情况。
但是使用 XML-RPC,黑客可以使用该system.multicall函数通过 20 或 50 个请求尝试数千个密码。
这就是为什么如果您不使用 XML-RPC,我们建议您禁用它。
提示: .htaccess 方法是最好的方法,因为它占用的资源最少。其他方法对初学者来说更简单。
或者,如果您使用我们前面提到的 Web 应用程序防火墙 (WAF),则会自动处理此问题。
在 WordPress 中自动注销空闲用户
登录的用户有时会离开屏幕,这会带来安全风险。有人可能会劫持他们的会话、更改密码或更改他们的帐户。
这就是许多银行和金融网站自动注销不活跃用户的原因。您也可以在 WordPress 网站上设置类似的功能。
您需要安装并激活“非活动注销”插件。激活后,请访问“设置”»“非活动注销”页面以自定义注销设置。
只需设置时间长度并添加注销消息即可。然后,不要忘记点击页面底部的“保存更改”按钮来保存您的设置。
将安全问题添加到 WordPress 登录屏幕
在 WordPress 登录屏幕添加安全问题可以使他人更难以获得未经授权的访问。
您可以通过安装双因素身份验证插件来添加安全问题。激活后,您需要访问多因素身份验证»双因素页面来配置插件的设置。
这将允许您向您的网站添加各种类型的双因素身份验证,包括安全问题。
扫描 WordPress 中的恶意软件和漏洞
如果您安装了WordPress 安全插件,那么它会定期检查恶意软件和安全漏洞的迹象。
但是,如果您发现网站流量或搜索排名突然下降,则可能需要手动扫描恶意软件。您可以使用 WordPress 安全插件或最好的恶意软件和安全扫描程序之一来执行此操作。
运行这些在线扫描非常简单。您只需输入您的网站网址,他们的爬虫就会浏览您的网站以查找已知的恶意软件和恶意代码。
现在,请记住,大多数 WordPress 安全扫描程序只能在您的网站包含恶意软件时向您发出警告。它们无法删除恶意软件或清理被黑的 WordPress 网站。
这将带我们进入下一部分,清理恶意软件和被黑的 WordPress 网站。
修复被黑的WordPress网站
许多 WordPress 用户直到他们的网站被黑客入侵后才意识到备份和网站安全的重要性。
黑客在受影响的网站上安装后门,如果这些后门没有得到正确修复,那么您的网站很可能会再次遭到黑客攻击。
对于喜欢冒险和 DIY 的用户,我们编制了有关修复被黑的 WordPress 网站的分步指南。
然而,清理 WordPress 网站可能非常困难且耗时。我们的建议是让专业人士来处理。
额外提示:聘请 WordPress 维护服务
作为一名忙碌的小企业主,您可能没有时间监控网站安全并保护其免受漏洞攻击。因此,为了减轻您的负担,您可以聘请 WordPress 维护服务进行 24/7 安全监控。
小兽WordPress 以实惠的价格提供全面的WordPress 网站维护。它包括安全监控、常规云备份、WordPress 更新、正常运行时间监控等。
只需选择适合您需求的每月维护服务包,您将获得更安全的 WordPress 网站和额外的空闲时间来处理业务的其他方面。
