WordPress是开箱即用的出色,非常安全的平台,当然我们也可以做更多的事情,加强保护您的网站免受恶意入侵。这些安全增强的许多功能都易于实现,但其他的一些则需要安装特定的插件来实现。
在教程中,我们将介绍10种不同的策略来增强WordPress堡垒的防御能力。但是首先,让我们深入探讨网站安全的重要性。
保护WordPress网站至关重要
没有平台100%安全。黑客们尝试各种可能性,试图找到进入受保护程度最高的网站的方式。而且由于超过30%的网站使用WordPress,自然而然成为黑客最受欢迎的目标之一。
如果恶意软件入侵了您的网站,则可能会造成很大的损失。
例如,他们可以窃取或以其他方式破坏敏感信息,安装恶意软件,根据自己的需要对网站进行更改,甚至完全关闭。这对您和您的用户都是有害的,如果您正在开展业务,则可能意味着客户和收入的损失。
我们应该采取一些步骤来保护WordPress网站,有许多简单,快速的方法可以提高站点的安全性,也可以采用的一些更复杂的技术。
有效保护WordPress网站的10种方法
下面我们将介绍10种策略,以帮助您提升网站安全性并减少遭受破坏的机会。另外,也会为您指出正确的方向,以开始使用每种技术。您不必实施此列表中的所有建议-但为保护站点而采取的步骤越多,遇到灾难的机会就越小。
1.使用优质主机
就像一个好的学区对您孩子的未来很重要,您网站的基础质量在很多方面都非常重要。可靠的服务器和托管服务商会影响您网站的性能、可靠性、可扩展性,甚至在搜索引擎中的排名。最好的主机提供许多有用的功能,出色的支持以及针对您所选平台的量身定制的服务。
不推荐使用虚拟主机,采用服务器会更好。
- 优质的主机将不断更新其服务、软件和工具,以响应最新的威胁并消除潜在的安全漏洞。
- Web主机通常提供各种针对性的安全功能,例如SSL / TLS证书和DDoS保护。您还应该访问Web应用程序防火墙(WAF),这将有助于监视和阻止对您的站点的严重威胁。
- 您的虚拟主机很可能会提供一种备份网站的方法(在某些情况下,甚至是为您执行),因此,如果您遭到黑客攻击,则可以轻松地恢复到稳定的先前版本。
- 如果您的主机提供可靠的24/7全天候支持,则在遇到安全相关问题时,总会有人为您提供帮助。
此列表应该为您为新站点寻找主机时提供一个良好的起点,即使您正在考虑更改主机。您将要找到一个可以提供所需所有功能的应用程序,并在可靠性和出色的性能方面享有盛誉。
国外的Linode或者Vultr也是我们强烈推荐的服务器托管商;国内我们则首推阿里云、腾讯云等国内顶级云服务器托管商。
2.将站点切换到HTTPS
我们应该将站点切换到安全的超文本传输协议(HTTPS),这是HTTP的更安全的版本。
这些是重要的安全概念,需要理解,但即使您以前从未听说过,也很容易掌握。
HTTP是在您的网站和任何尝试访问它的浏览器之间传输数据的协议。当访问者单击您的主页时,您的所有内容,媒体和网站代码都会通过此协议发送到访问者的位置。
这是必要的,但确实会引入一些潜在的安全问题。恶意人员可能会尝试在传输过程中拦截数据,并将其用于自己的恶意目的。
HTTPS解决了这个问题!它的作用与HTTP相同,但是它还在从一个点到另一个点的传输过程中对站点的数据进行加密,因此无法轻松访问它。
最初,HTTPS主要用于处理敏感客户信息(例如信用卡详细信息)的站点。但是,它在所有站点上都变得越来越普遍,并且诸如WordPress和Google之类的大人物一直在推动其广泛实施。
要将网站切换到HTTPS,首先需要SSL/TLS证书。这会向浏览器传达您的网站是合法的,并且其数据已正确加密。您还可以从某些网站(例如Let’s Encrypt)免费获得一个。
参考阅读:免费SSL证书申请及配置教程
3.创建安全登录凭证
这是一个“不设防,Sherlock”的建议,但伙计们, 仔细选择您的登录凭据非常重要。喜欢真的,真的很重要!
为什么?这使得黑客很难进入您的站点。您可能有丰富的经验,为网络上的其他帐户选择强大的用户名和密码-对WordPress网站进行相同的操作很重要。
创建网站时,您可以自主创建登录用户名和密码。用户名将默认为admin,尽管您可以更改(如果需要),也可以更改。但是由于人们可以通过多种方式来了解您的WordPress用户名,因此如果需要,可以坚持使用默认选项。
但是,您的密码至关重要,并且您需要选择一个安全的密码。最近,在如何选择强密码方面出现了一些转变,建议使用一个简单的四字词组,胜过由随机字母,数字和符号组成的经典组合。这种方法已经在某些圈子中流行了一段时间。
如果所有选择密码的话题您都不感兴趣,则建议您使用WordPress自带的密码生成器,因为它会直接在WordPress后端直接生成一个相当复杂的密码(我表示难以接受)。如此复杂的密码,你应该确保将您的凭据记录存放在安全的地方(例如加密的密码管理器),这样您就不会忘记。
如果您已经创建了站点并最初选择了不理想的登录凭据,则仍然可以更改它们。您可以通过以下方式更改用户名:创建一个新用户,为该用户分配管理员角色,并将所有内容归于该用户,然后删除原始帐户。
至于密码,您只需从WordPress管理控制台转到“用户”>“所有用户”,单击您的用户名,然后在“编辑用户”屏幕上输入新密码即可。
4.启用Web应用程序防火墙
您可能对防火墙的概念很熟悉,它是一个有助于阻止各种有害攻击的程序。最有可能的是,您的计算机上装有某种防火墙。
Web应用防火墙(WAF)是专门为网站设计的防火墙。它可以保护服务器,特定网站或整个网站组。
WordPress网站上的WAF将成为您的网站与网络其余部分之间的障碍。防火墙监视传入的活动,检测攻击,恶意软件和其他有害事件,并阻止任何它认为有风险的事件。
5.实施二步认证身份验证
还有另外一种技术解决方案:二步认证身份验证(也可以通过两步身份验证以及各种其他相似的名称进行)。该术语指的是登录到站点时需要遵循的两步过程。这将可能导致登录比较麻烦,但是在阻止黑客入侵方面有了多重的保障。二步身份验证涉及使用智能手机或其他设备来验证您的登录信息。首先,您将访问WordPress网站,并照常输入您的用户名和密码。然后,唯一的代码将发送到您的移动设备,您需要提供该代码才能完成登录。这使您能够通过显示自己有权访问某些内容(例如特定的手机或平板电脑)来证明自己的身份。
与许多WordPress功能一样,使用专用插件可以轻松添加二步身份验证。二步身份验证是一个不错的选择—它由可靠的开发人员创建,与Google Authenticator兼容,可让您轻松地将此功能添加到您的网站。
另一个选择是Two-Factor插件,该插件以其可靠性而闻名,主要由核心WordPress开发人员构建。与此类别中的任何插件,学习曲线有点陡峭,但它非常安全的。如果您愿意花钱,也可以查看Jetpack的Clef-like高级解决方案。
无论您选择哪种路线,请务必与团队提前计划(如果相关),因为您需要收集他们的电话号码和其他信息才能上手。这样,您的登录页面就已安全并可以使用了。
6.留心添加新的插件和主题(并经常更新)
现成的主题和插件是使用WordPress最好的东西之一。使用这些方便的工具,可以帮助你快速搭建网站,并添加您可以想到的几乎所有功能。
但是,并非所有的插件和主题都是可靠的。
不小心或经验不足的开发人员可能会创建不可靠或不安全的插件。他们可能会使用不良的编码实践,从而使黑客可以轻易利用或不知不觉地干扰关键功能。这一切都意味着您需要非常谨慎地选择要添加到站点中的主题和插件。每个人都应该经过审查,以确保它是一个可靠的选择,不会导致网站或引起问题。有许多要素需要牢记,但是以下建议将帮助您选择高质量的工具:
- 检查用户的评分和评论,以了解其他人是否对相关插件或主题有很好的体验。
- 查看插件或主题的最新更新。如果已经超过六个月,那么它可能就没有那么安全了。
- 一次安装一个新的插件和主题,因此,如果出现任何问题,您将知道原因所在。另外,在添加任何内容之前,请务必备份您的网站。
- 从值得信赖的资源中获取插件和主题,例如WordPress.org主题和插件市场,ThemeForest和CodeCanyon以及可靠的开发人员网站。
最后,将所需的插件和主题安装到网站后,你的工作应该持续进行。
您还需要保证主题和插件为最新版本,以确保它们协同工作并确保免受最新威胁的侵害。您需要转到WordPress仪表板,查找红色通知,这些是可用更新的主题和/或插件,然后单击每个更新旁边的立即更新。
您还可以通过选择所有插件,然后单击此处或WordPress面板中的更新按钮,来批量更新插件。这是一个更快的选择,但是请记住,一次更新所有这些可能导致诊断由于更新而引起的问题变得更加困难。但是,如果选择可靠的插件和主题,那么这应该不是问题。
在继续之前,值得一提的是,您还应该保持更新WordPress至最新版本。较小的补丁程序和安全更新将自动添加,但是您可能需要执行核心版本更新。
注:不要因为WordPress或主题和插件未及时更新而承担风险。
7.配置文件权限
这个话题稍微有点技术性能。
WordPress网站上的许多信息,数据和内容都存储在一系列文件夹和文件中。它们被组织成一个层次结构,并且每一个都被赋予一个权限级别。WordPress文件或文件夹上的权限决定了谁可以查看和编辑它,并且可以设置为允许任何人访问,只能您访问,或者访问两者之间的任何内容。文件权限由WordPress中的三位数字表示,每位数字都有其含义。第一个数字代表单个用户(网站的所有者),第二个数字代表组的用户(例如,您网站的成员),第三个数字代表世界上的每个人。数字本身表示用户,组或世界:
- 0:无法访问该文件。
- 1:只能执行文件。
- 2:可以编辑文件。
- 3:可以编辑和执行文件。
- 4:可以读取文件。
- 5:可以读取并执行文件。
- 6:可以读取和编辑文件。
- 7:可以读取,编辑和执行文件。
因此,例如,如果文件的权限级别为640,则意味着主要用户可以读取和编辑文件,组用户可以读取文件但不能编辑文件,并且其他所有人都无法访问它。这看似过于复杂,但重要的是要确保每个人仅具有您希望他们拥有的站点文件和文件夹的访问级别。
WordPress建议将文件夹的权限级别设置为755,将文件的权限级别设置为644。尽管可以设置任意组合,但您还是可以放心地遵循这些准则。请记住,最好不要给任何人超出他们绝对需要的访问权限,尤其是对核心文件
您还需要记住,理想的权限设置将在某种程度上取决于您的托管服务。
注意:在更改权限级别时,您应该非常小心-选择错误的值(如777)会使您的网站无法访问。
8.是非必要,否则越少的网站管理员
如果只是你在运作WordPress网站,则无需担心此步骤。只是不要在您的网站上给其他人任何帐户,您将是唯一可以进行更改的人。
我将此策略称为“与我同在,我一个人”。
但是,许多人像其他人一样,并最终在其网站上添加了不止一个后台账号。您可能希望让其他作者提供内容,或者可能需要其他人来帮助编辑该内容并管理您的网站。您甚至有可能会与整个用户团队接触,他们会定期访问您的WordPress网站并进行自己的更改。这在很多方面都是有益的,有时甚至是必要的。但是,这也是潜在的安全风险。
进入网站后台的人数越多,出现问题的机会就越大。因此,在不影响网站增长能力的情况下,尽可能减少网站后台用户数量是明智。特别是,请尝试限制具有高特权的管理员和其他用户角色的数量。
这里还有一些建议:
- 将每个用户限制为仅具有执行其工作所需的权限。
- 鼓励用户使用强密码。
- 如果可能的话,请尝试与一个管理员和一小组编辑者保持一致。
- 为离开站点或不再需要引导的用户提供权限。
- 考虑下载一个插件,例如Members,它为WordPress的角色和功能系统提供了一个用户界面。
9.跟踪管理后台活动
如果您有多个后台用户,则最好跟踪他们在网站上的所有活动。WordPress管理后台跟踪活动将帮助您发现其他用户何时在做他们不应该做的事情,并可以指示未经授权的用户是否获得了访问权限。
进行了异常的更改或安装了可疑文件后,您将希望能够找出活动背后的人。
大多数安全性插件都不提供开箱即用的功能,因此您将需要找到专用的解决方案。如果您想采用一种放任自流的方法,则“简单历史记录”将通过创建简化的,易于理解的日志来记录您站点上的重要更改和事件。
要获得更多涉及的跟踪功能,您还可以查看WP安全审核日志,该日志可以密切关注您网站上发生的所有事情,并提供许多有用的高级组件。
一旦安装了合适的插件,明智的做法是定期检查日志中是否有异常情况。如果您的网站上发生了意料之外的事情,或者突然弹出了错误,请查看最近的活动。
10.定期备份网站
如果我说有一个解决方案可以保护您的网站免受所有威胁,那绝对是不值得信任的。即使您实施了上述列表中的所有建议,您的站点仍然可能遇到安全漏洞。
您只需要在黑客的游戏中击败他们即可。全面的安全计划意味着即使在您尝试确保永远不会发生的最坏情况下,也要做好准备。定期备份站点是在发生灾难时对其进行保护的最
简单,最好的方法。如果您有最新的备份,可以将网站恢复为遭到黑客入侵或其他方式受到破坏之前的状态。这将帮助您尽快解决问题。
当然,您将希望对创建和使用备份的方式保持精明。你可以根据以下提示执行:
- 保留多个备份。一条好的经验法则是,随时都应至少保留三个最新备份,因为您最近的备份未必是安全的。
- 将备份保存在多个外部位置,例如云存储和本地电脑。
- 设置并遵守一致的备份计划。频率和时间取决于您,尽管您可以遵循很多可靠的建议。
除了常规的备份计划外,在对站点进行任何更改之前创建站点的额外备份总是很明智的。因此,在实施任何这些提高安全性的技术之前,请确保您准备好要进行的最新备份。
小结
真实事实:如果您的网站被黑,您将花费数小时(甚至数天!)来修复损坏。您可能会永久丢失数据,或者看到您的个人信息遭到破坏,甚至更糟的是,客户的数据也会受到损害。
这就是为什么您必须花费大量时间和精力来确保这种情况永远不会发生的原因。否则,您在尝试修复损坏时可能会失去宝贵的业务和收入。
这10个WordPress安全提示应该会有所帮助。有些是简单的调整。其他影响您的整个站点,例如切换到HTTPS或添加SSL证书。当然,您还需要确保您的网站在安全的WordPress主机上运行。