WordPress 以不安全着称。 大多数网站所有者认为,该平台的开源性质使其容易受到任何攻击和安全漏洞的攻击。 然而,情况远非如此。 大多数 WordPress 安全漏洞来自人为错误。 因此,只要采取与任何平台相同的预防措施,就可以保护任何 WordPress 网站。 虽然没有一个平台是完美的,但您可以通过一些预防措施来保护您的 WordPress 博客。
保护登录页面以防止暴力攻击WordPress 登录页面是该平台受攻击最多的功能。 它是您网站管理后端的大门。 正因为如此,黑客试图暴力破解它。 虽然您应该使用自定义登录页面,但如果您必须使用 WordPress 提供的内容,您可以通过以下方式保护您的博客。
添加锁定功能并禁止用户锁定插件通过在检测到重复失败的登录尝试后锁定站点来防止暴力攻击。 然后,您将收到有关这些未经授权登录的通知。 虽然大多数安全插件都提供此功能,但您也需要一个可以禁止攻击者 IP 地址的插件。
使用两因素身份验证2 因素身份验证 (2FA) 也是一种非常有效的安全措施。 它使用两个不同的组件登录。 您作为网站所有者决定这些组件是什么。 您可以选择使用密码和秘密问题、代码、字符或身份验证移动应用程序,例如 Google Authenticator 应用程序。
制作电子邮件 ID 而不是用户名电子邮件地址是独一无二的,因此难以预测。 WordPress 要求每个帐户都有一个唯一的电子邮件地址。 因此,将其用作帐户标识符也很有意义。
重命名您的登录网址
如果您无法在安装中添加插件,您可以随时更改登录页面的网址。 这是一个简单的功能,可以立即使您的网站安全性提高 99%。
安全密码
更改和使用强密码始终是任何网站、WordPress 或其他网站的好技巧。 事实上,您应该对所有帐户使用这种做法,而不仅仅是您自己的网站。 定期更改密码很有意义。
注销空闲用户当用户在他们的屏幕上打开您的网站时,他们会构成安全威胁。 任何人都可以停下来更改信息。 他们甚至可以更改用户的帐户或劫持整个网站。 您可以通过在设定的时间限制后自动将其注销来消除这种威胁。
保护 WordPress 管理仪表板虽然登录页面受到的攻击最多,但黑客确实想要您的管理仪表板。 因此,您必须使其成为您网站中最受保护的部分。
保护 Wp-Admin 目录因此,您的大部分 WordPress 安全工作都应该涉及“/wp-admin”目录。 对于初学者,您应该保护文件夹密码。 您可能必须提交两个密码才能访问仪表板,但这对于增加的安全性来说是一个很小的代价。
使用 SSL 加密
SSL(安全套接层)总是一个好的举措。 如果您希望 Google 和其他主要搜索引擎列出您的网站,这也是 SEO 要求。 您应该尽快为您的博客获得 SSL 证书。 这也是保护您的管理区域的好方法。
限制您的用户帐户使用您只需要尽可能多的用户帐户。 您永远不想让多个人访问您的管理仪表板。 该特权应该只授予那些真正需要它来维护您的博客的人。 即使这样,您仍然希望以某种方式限制访问。
使用电子邮件 ID 而不是用户名 使用不同的管理员用户名就像登录页面一样,每个人都知道默认的 WordPress 'admin' 帐户。 人们只需要猜测您的密码,他们就在您的网站上。 您可以通过更改管理员帐户的用户名来停止此操作。
监控您的文件最后,您应该始终通过 Wordfence 等插件监控您的文件是否存在未经授权的更改。
保护数据库如果他们无法从前门进入,黑客就会尝试后门。 您网站的数据在数据库中。 尽可能保护它。
更改表前缀为了跟踪您网站的信息,WordPress 为其创建的所有数据库表分配了一个前缀。 您应该将其更改为独特的东西。 默认前缀使您的站点容易受到 SQL 注入攻击。
定期备份
您永远无法完美地保护您的博客,但您可以确保始终可以将其恢复正常。 您只需要定期进行异地备份。
强数据库密码与您的用户帐户一样,您需要为数据库帐户设置一个强密码。
监控和审核日志WordPress 和 MySQL 记录一切。 如果您需要查看您的网站发生了什么,您可以查看这些日志文件。 这样,您将知道发生了什么变化以及谁做出了这些变化。
保护您的服务器您的网站托管解决方案可能会提供安全的网络基础设施,但您永远不应该完全听从它们; 重要的是要保护您的用户数据以及他们访问您的私人文件的方式。始终确保您的网站尽可能安全。
安全的 Wp-config.php此文件包含您网站的默认设置和数据库信息。 因此,它是站点根目录中最重要的文件。 因此,您希望使其无法访问。
禁止文件编辑任何有权访问您的 WordPress 仪表板的人都可以更改您的 WordPress 文件,包括您的插件和主题。 您可以通过设置“define('DISALLOW_FILE_EDIT', true);”来停止此操作 wp-config 文件中的标志。
使用安全的 FTP 访问您应该只使用 SFTP 或 SSH 将文件上传到您的站点。 安全 FTP 确保您的文件传输始终安全。 如果你的主人已经提供了,那就太好了。 但是,您可以根据需要手动执行此操作。
安全目录权限错误的权限会导致违规。 因此,您希望将它们重新编写为您的网站运行所必需的内容。 通常,您希望将目录权限设置为“755”,将文件设置为“644”。
禁用目录列表在大多数 Web 服务器上,如果一个目录没有 index.html 或另一个注册的“默认”页面,如果有人访问该目录,服务器将生成一个完整的目录列表。 您必须在网站的 .htaccess 文件中手动关闭此功能。
阻止盗链Hotlinking 允许您将图像和媒体从一个网站复制和发布到另一个网站。 虽然它使共享成为可能,但它也窃取了原始服务器的带宽。 只需在您的网站上阻止此功能,您就可以提高网站性能并降低托管费用。
防御 DDoS 攻击DDoS 攻击是任何网站上最常见的与服务器相关的攻击。 攻击者使用多个程序和系统来超载您的服务器。 虽然它可以保护您的文件,但如果不解决,它可能会使您的网站崩溃。
保护您的 WordPress 博客的其他方法这些只是保护 WordPress 博客或网站的一些方法。 随着新威胁的出现,世界各地的 WordPress 开发团队和开发人员加紧应对挑战,以确保您的数据和页面安全。 您只需要使您的 WordPress 安装、主题和插件与最新版本保持同步即可。 其他方法包括使用托管 WordPress 托管、隐藏您的版本号以及随时了解 WordPress 社区中的任何安全发展。 社区为您提供了提出问题并获得答案的机会,而这些是您无法从简单的博客文章中获得的。 有了这个建议,您可以放心,您的网站是尽可能安全的。