终极WordPress安全指南及教程
WordPress安全对每个网站所有者来说都是一个极其重要的话题。谷歌每天将大约10,000多个网站列入恶意软件黑名单,每周将大约50,000个网络钓鱼名单。
如果您对您的网站很认真,那么您需要关注WordPress安全最佳实践。在本指南中,我们将分享所有顶级WordPress安全提示,以帮助您保护您的网站免受黑客和恶意软件的侵害。
虽然WordPress核心软件非常安全,并且由数百名开发人员定期审核,但可以做很多事情来确保您的网站安全。
我们认为安全不仅仅是消除风险。这也是关于降低风险的。作为网站所有者,您可以做很多事情来提高WordPress的安全性(即使您不精通技术)。
我们可以采取一些可操作的步骤来保护您的网站免受安全漏洞的侵害。
为了方便,我们创建了一个内容表,以帮助您轻松浏览我们的终极WordPress安全指南。
目录
WordPress安全基础知识
- 为什么WordPress安全性很重要?
- 保持WordPress更新
- 密码和用户权限
- 网络托管的作用
简单步骤的WordPress安全性(无编码)
- 安装WordPress备份解决方案
- 最佳WordPress安全插件
- 启用Web应用程序防火墙(WAF)
- 将WordPress网站移动到SSL/HTTPS
面向DIY用户的WordPress安全性
- 更改默认的“管理员”用户名
- 禁用文件编辑
- 禁用PHP文件执行
- 限制登录尝试
- 添加双重认证
- 更改WordPress数据库前缀
- 密码保护WP-Admin和登录
- 禁用目录索引和浏览
- 在WordPress中禁用XML-RPC
- 自动注销闲置用户
- 在WordPress登录中添加安全提示问题
- 扫描WordPress的恶意软件和漏洞
- 修复被黑客入侵的WordPress网站
准备好了吗?让我们开始吧。
为什么网站安全很重要?
被黑客入侵的WordPress网站可能会对您的业务收入和声誉造成严重损害。黑客可以窃取用户信息、密码、安装恶意软件,甚至可以将恶意软件分发给您的用户。
最糟糕的是,您可能会发现自己向黑客支付勒索软件只是为了重新访问您的网站。
2016年3月,谷歌报告称,超过5000万网站用户被警告,他们正在访问的网站可能包含恶意软件或窃取信息。
此外,谷歌每周将大约20,000个恶意软件网站和大约50,000个网络钓鱼网站列入黑名单。
如果您的网站是企业,那么您需要特别注意您的WordPress安全性。
与企业主有责任保护他们的实体商店建筑类似,作为在线企业主,您有责任保护您的企业网站。
保持WordPress更新
WordPress是一个开源软件,定期维护和更新。默认情况下,WordPress会自动安装小更新。对于主要版本,您需要手动启动更新。
WordPress还附带了数千个插件和主题,您可以在您的网站上安装。这些插件和主题由第三方开发人员维护,他们也定期发布更新。
这些WordPress更新对您的WordPress网站的安全性和稳定性至关重要。您需要确保您的WordPress核心、插件和主题是最新的。
强密码和用户权限
最常见的WordPress黑客尝试使用被盗密码。通过使用网站独有的更强密码,您可以使这变得困难。不仅适用于WordPress管理区域,也适用于FTP帐户、数据库、WordPress托管帐户以及使用您网站域名的自定义电子邮件地址。
许多初学者不喜欢使用强密码,因为它们很难记住。好消息是,你不再需要记住密码了。您可以使用密码管理器。请参阅我们关于如何管理WordPress密码的指南。
降低风险的另一种方法是,除非您绝对必须这样做,否则不要让任何人访问您的WordPress管理员帐户。如果您有大型团队或客座作者,那么在向WordPress网站添加新用户帐户和作者之前,请确保您了解WordPress中的用户角色和功能。
WordPress托管的作用
您的WordPress托管服务在WordPress网站的安全性中起着最重要的作用。像Hostinger、Bluehost或Siteground这样的优秀共享托管提供商会采取额外措施来保护其服务器免受常见威胁。
以下是一家好的网络托管公司在后台如何保护您的网站和数据。
- 他们不断监控他们的网络是否有可疑活动。
- 所有好的托管公司都有防止大规模DDOS攻击的工具
- 他们保持服务器软件、php版本和硬件的最新状态,以防止黑客利用旧版本中已知的安全漏洞。
- 他们已准备好部署灾难恢复和事故计划,使他们能够在发生重大事故时保护您的数据。
在共享托管计划中,您可以与许多其他客户共享服务器资源。这打开了跨站点污染的风险,黑客可以使用相邻站点来攻击您的网站。
使用托管WordPress托管服务为您的网站提供了一个更安全的平台。托管WordPress托管公司提供自动备份、自动WordPress更新和更高级的安全配置,以保护您的网站
简单步骤的WordPress安全性(无编码)
我们知道,提高WordPress的安全性对初学者来说可能是一个可怕的想法。特别是如果你不是技术人员。你猜怎么着——你并不孤单。
我们已经帮助成千上万的WordPress用户加强了他们的WordPress安全性。
我们将向您展示如何只需点击几下即可提高WordPress的安全性(无需编码)。
如果你能点击,你可以做到!
安装WordPress备份解决方案
备份是您抵御任何WordPress攻击的第一道防线。记住,没有什么是100%安全的。如果政府网站可以被黑客入侵,那么你的网站也可以被黑客入侵。
备份允许您快速恢复WordPress网站,以防发生不良情况。
您可以使用许多免费和付费的WordPress备份插件。当涉及到备份时,您需要知道的最重要的事情是,您必须定期将全站备份保存到远程位置(而不是您的托管帐户)。
我们建议将其存储在亚马逊、Dropbox等云服务或Stash等私有云上。
根据您更新网站的频率,理想的设置可能是每天一次或实时备份。
谢天谢地,这可以通过使用Duplicator、UpdraftPlus或BlogVault等插件轻松完成。它们既可靠,最重要的是易于使用(无需编码)。
最佳WordPress安全插件
备份后,我们需要做的下一件事是建立一个审计和监控系统,以跟踪您网站上发生的一切。
这包括文件完整性监控、登录尝试失败、恶意软件扫描等。
谢天谢地,最好的免费WordPress安全插件Sucuri Scanner可以解决这一切。
您需要安装并激活免费的Sucuri Security插件。有关更多详细信息,请参阅我们关于如何安装WordPress插件的分步指南。
激活后,您需要转到WordPress管理员中的Sucuri菜单。您将被要求做的第一件事是生成一个免费的API密钥。这可以实现审计日志记录、完整性检查、电子邮件警报和其他重要功能。
接下来,您需要做的是单击设置菜单中的“硬化”选项卡。浏览每个选项,然后单击“应用硬化”按钮。
这些选项可以帮助您锁定黑客在攻击中经常使用的关键区域。付费升级的唯一强化选项是Web应用程序防火墙,我们将在下一步中解释,所以暂时跳过它。
我们还在本文后面介绍了许多“强化”选项,适用于那些想在不使用插件的情况下这样做的人,或者那些需要“数据库前缀更改”或“更改管理员用户名”等额外步骤的人。
在硬化部分之后,默认插件设置对大多数网站来说已经足够好,不需要任何更改。我们建议定制的唯一东西是“电子邮件警报”。
默认警报设置可能会使您的收件箱中出现混乱的电子邮件。我们建议接收关键操作的警报,如插件更改、新用户注册等。您可以通过前往Sucuri设置?警报来配置警报。
这个WordPress安全插件非常强大,因此请浏览所有选项卡和设置,以查看它所做的一切,如恶意软件扫描、审计日志、登录尝试跟踪失败等。
启用Web应用程序防火墙(WAF)
保护您的网站并对您的WordPress安全性充满信心的最简单方法是使用Web应用程序防火墙(WAF)。
网站防火墙甚至在到达您的网站之前就阻止了所有恶意流量。
DNS级网站防火墙-这些防火墙通过其云代理服务器路由您的网站流量。这允许他们只向您的网络服务器发送真正的流量。
应用程序级别防火墙-这些防火墙插件在流量到达您的服务器后,但在加载大多数WordPress脚本之前检查流量。这种方法在减少服务器负载方面不如DNS级防火墙有效。
我们使用并推荐Sucuri作为WordPress的最佳网络应用程序防火墙。您可以阅读Sucuri如何在一个月内帮助我们阻止了45万次WordPress攻击。
Sucuri防火墙最好的部分是,它还附带了恶意软件清理和黑名单删除保证。基本上,如果你在他们的监督下被黑客入侵,他们保证他们会修复你的网站(无论你有多少页面)。
这是一个相当强大的保修,因为修复被黑客入侵的网站很昂贵。安全专家通常每小时收费250美元。而您可以以每年199美元的价格获得整个Sucuri安全堆栈。
使用Sucuri防火墙提高您的WordPress安全性?
Sucuri并不是唯一的DNS级防火墙提供商。另一个受欢迎的竞争对手是Cloudflare。查看我们对Sucuri与Cloudflare(优点和缺点)的比较。
将您的WordPress网站移动到SSL/HTTPS
SSL(安全套接字层)是一种加密网站和用户浏览器之间数据传输的协议。这种加密使人们更难嗅探和窃取信息。
启用SSL后,您的网站将使用HTTPS而不是HTTP,您还将在浏览器中的网站地址旁边看到一个挂锁标志。
SSL证书通常由证书颁发机构颁发,其价格每年从80美元到数百美元不等。由于成本增加,大多数网站所有者选择继续使用不安全的协议。
为了解决这个问题,一个名为Let’s Encrypt的非营利组织决定向网站所有者提供免费的SSL证书。他们的项目得到了Google Chrome、Facebook、Mozilla和更多公司的支持。
现在,开始为您的所有WordPress网站使用SSL比以往任何时候都更容易。许多托管公司现在为您的WordPress网站提供免费的SSL证书。
如果您的托管公司不提供,那么您可以从Domain.com购买一个。他们拥有市场上最好、最可靠的SSL交易。它附带10,000美元的安全保修和TrustLogo安全印章。
面向DIY用户的WordPress安全性
如果你做了我们到目前为止提到的所有事情,那么你的状态相当不错。
但像往常一样,你可以做更多事情来加强你的WordPress安全性。
其中一些步骤可能需要编码知识。
更改默认的“管理员”用户名
在过去,默认的WordPress管理员用户名是“admin”。由于用户名占登录凭据的一半,这使得黑客更容易进行暴力攻击。
谢天谢地,WordPress已经改变了这一点,现在要求您在安装WordPress时选择自定义用户名。
然而,一些一键式WordPress安装程序仍然将默认管理员用户名设置为“管理员”。如果您注意到这种情况,那么切换您的网络托管可能是一个好主意。
由于WordPress默认不允许您更改用户名,因此您可以使用三种方法来更改用户名。
- 创建一个新的管理员用户名并删除旧用户名。
- 使用用户名更改插件
- 从phpMyAdmin更新用户名
我们在关于如何正确更改WordPress用户名的详细指南中涵盖了所有这三个部分(一步一步)。
注意:我们谈论的是名为“管理员”的用户名,而不是管理员角色。
禁用文件编辑
WordPress内置代码编辑器,允许您直接从WordPress管理区域编辑主题和插件文件。在坏人手中,此功能可能存在安全风险,这就是为什么我们建议将其关闭。
您可以通过在wp-config.php文件中添加以下代码来轻松做到这一点。
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
或者,您可以使用我们上面提到的免费Sucuri插件中的硬化功能一键完成此操作。
在某些WordPress目录中禁用PHP文件执行
强化WordPress安全性的另一种方法是在不需要的目录中禁用PHP文件执行,例如/wp-content/uploads/。
您可以通过打开像记事本这样的文本编辑器并粘贴此代码来做到这一点:
<Files *.php>
deny from all
</Files>
接下来,您需要将此文件保存为.htaccess,并使用FTP客户端将其上传到您网站上的/wp-content/uploads/文件夹。
有关更详细的解释,请参阅我们关于如何在某些WordPress目录中禁用PHP执行的指南
或者,您可以使用我们上面提到的免费Sucuri插件中的硬化功能一键完成此操作。
限制登录尝试
默认情况下,WordPress允许用户尝试任意多次登录。这使您的WordPress网站容易受到暴力攻击。黑客试图通过尝试使用不同组合登录来破解密码。
这可以通过限制用户可以进行失败的登录尝试来轻松修复。如果您正在使用前面提到的Web应用程序防火墙,那么这会自动处理。
但是,如果您没有防火墙设置,请继续执行以下步骤。
首先,您需要安装并激活登录锁定插件。有关更多详细信息,请参阅我们关于如何安装WordPress插件的分步指南。
激活后,访问设置?登录锁定页面以设置插件。
有关详细说明,请查看我们的指南,了解如何以及为什么限制在WordPress中的登录尝试。
添加双重认证
双重身份验证技术要求用户使用两步身份验证方法登录。第一个是用户名和密码,第二步要求您使用单独的设备或应用程序进行身份验证。
大多数顶级在线网站,如谷歌、脸书、推特,都允许您为您的帐户启用它。您还可以为您的WordPress网站添加相同的功能。
首先,您需要安装并激活双重认证插件。激活后,您需要单击WordPress管理边栏中的“双因素授权”链接。
接下来,您需要在手机上安装并打开一个身份验证器应用程序。有几个可用,如谷歌身份验证器、Authy和LastPass身份验证器。
我们建议使用LastPass Authenticator或Authy,因为它们都允许您将帐户备份到云端。如果您的手机丢失、重置或购买新手机,这非常有用。您所有的帐户登录信息都将轻松恢复。
我们将在教程中使用LastPass身份验证器。然而,所有授权应用程序的说明都是相似的。打开您的身份验证器应用程序,然后单击添加按钮。
系统会询问您是想手动扫描网站还是扫描条形码。选择扫描条形码选项,然后将手机的摄像头对准插件设置页面上显示的二维码。
仅此而已,您的身份验证应用程序现在将保存它。下次登录网站时,输入密码后,系统会要求您输入双重认证代码。
只需在手机上打开身份验证器应用程序,然后输入您在上面看到的代码。
更改WordPress数据库前缀
默认情况下,WordPress使用wp_作为WordPress数据库中所有表的前缀。如果您的WordPress网站使用默认数据库前缀,那么黑客更容易猜出您的表名是什么。这就是为什么我们建议更改它。
您可以按照我们关于如何更改WordPress数据库前缀以提高安全性的分步教程来更改数据库前缀。
注意:如果做得不正确,这可能会破坏您的网站。只有当您对编码技能感到满意时,才能继续。
密码保护WordPress管理和登录页面
通常,黑客可以不受任何限制地请求您的wp-admin文件夹和登录页面。这允许他们尝试黑客技巧或运行DDoS攻击。
您可以在服务器端级别添加额外的密码保护,这将有效地阻止这些请求。
按照我们关于如何用密码保护您的WordPress管理员(wp-admin)目录的分步说明进行操作。
禁用目录索引和浏览
黑客可以使用目录浏览来了解您是否有任何具有已知漏洞的文件,这样他们就可以利用这些文件来获得访问权限。
其他人也可以使用目录浏览来查看您的文件、复制图像、查找您的目录结构和其他信息。这就是为什么强烈建议您关闭目录索引和浏览。
您需要使用FTP或cPanel的文件管理器连接到您的网站。接下来,在您网站的根目录中找到.htaccess文件。
之后,您需要在.htaccess文件的末尾添加以下行:
Options -Indexes
不要忘记保存.htaccess文件并将其上传回您的网站。有关此主题的更多信息,请参阅我们关于如何在WordPress中禁用目录浏览的文章。
在WordPress中禁用XML-RPC
XML-RPC在WordPress 3.5中默认启用,因为它有助于将您的WordPress网站与Web和移动应用程序连接。
由于其强大的性质,XML-RPC可以显著放大暴力攻击。
例如,传统上,如果黑客想在您的网站上尝试500个不同的密码,他们必须进行500次单独的登录尝试,这将被登录锁定插件捕获和阻止。
但使用XML-RPC,黑客可以使用system.multicall功能尝试数千个密码,例如20或50个请求。
这就是为什么如果您不使用XML-RPC,那么我们建议您禁用它。
在WordPress中禁用XML-RPC有3种方法,我们在关于如何在WordPress中禁用XML-RPC的分步教程中涵盖了所有这些方法。
提示:.htaccess方法是最好的,因为它的资源密集度最低。
如果您正在使用前面提到的Web应用程序防火墙,那么这可以由防火墙处理。
在WordPress中自动注销闲置用户
登录的用户有时会远离屏幕,这会带来安全风险。有人可以劫持他们的会话、更改密码或更改他们的帐户。
这就是为什么许多银行和金融网站会自动注销不活跃的用户。您也可以在WordPress网站上实现类似的功能。
您需要安装并激活非活动注销插件。激活后,访问设置»不活动注销页面以配置插件设置。
只需设置时间持续时间并添加注销消息。不要忘记单击保存更改按钮来存储您的设置。
向WordPress登录屏幕添加安全提示问题
在WordPress登录屏幕上添加安全提示问题会使某人更难获得未经授权的访问。
您可以通过安装WP安全问题插件来添加安全问题。激活后,您需要访问设置?安全提示问题页面来配置插件设置。
有关更详细的说明,请参阅我们关于如何向WordPress登录屏幕添加安全问题的教程。
扫描WordPress的恶意软件和漏洞
如果您安装了WordPress安全插件,那么这些插件将定期检查恶意软件和安全漏洞的迹象。
但是,如果您看到网站流量或搜索排名突然下降,那么您可能需要手动运行扫描。您可以使用WordPress安全插件,或使用这些恶意软件和安全扫描仪之一。
运行这些在线扫描非常直接,您只需输入您的网站URL,它们的爬虫就会通过您的网站来查找已知的恶意软件和恶意代码。
现在请记住,大多数WordPress安全扫描仪可以扫描您的网站。他们无法删除恶意软件或清理被黑客入侵的WordPress网站。
这把我们带到了下一节,清理恶意软件和被黑客入侵的WordPress网站。
修复被黑客入侵的WordPress网站
许多WordPress用户在网站被黑客入侵之前没有意识到备份和网站安全的重要性。
清理WordPress网站可能非常困难和耗时。我们的第一个建议是让专业人士来处理它。
黑客在受影响的网站上安装后门,如果这些后门没有正确修复,那么您的网站可能会再次被黑客入侵。
允许像Sucuri这样的专业安全公司修复您的网站将确保您的网站可以安全再次使用。它还将保护您免受任何未来的攻击。
对于喜欢冒险和DIY的用户,我们汇编了修复被黑客入侵的WordPress网站的分步指南。
奖励提示:身份盗窃和网络保护
作为小企业主,我们保护我们的数字和金融身份至关重要,因为不这样做可能会导致重大损失。黑客和罪犯可以使用您的身份窃取您的网站域名,入侵您的银行账户,甚至犯下您可以承担的犯罪。
2020年,联邦贸易委员会(FTC)报告了470万起身份盗窃和信用卡欺诈事件。
这就是为什么我们建议使用像Aura这样的身份盗窃保护服务(我们自己也使用Aura)。
他们通过免费的VPN(虚拟专用网络)提供设备和wifi网络保护,无论您身在何处,都可以使用军用级加密保护您的互联网连接。当您从星巴克等公共场所旅行或连接到WordPress管理员时,这非常适合,因此您可以安全、私密地在线工作。
他们的暗网监控服务使用人工智能不断监控暗网,并在您的密码、社会安全号码和银行账户被盗时提醒您。
这使您可以更快地采取行动,更好地保护您的数字身份。
评论被关闭。