我们都知道,WordPress是世界上最流行的博客平台。有数以百万计的用户每天都在使用这个CMS。由于它的受欢迎程度,有无数奇妙的主题、插件和服务来补充每个网站。但是,受欢迎并不总是一件好事。WordPress的开源模型有很多优点,但也有一些缺点。由于有这么多人都在使用这个平台,黑客们也对这个平台更感兴趣。所以,你的每走错一个步骤,他们都会看着你。Bluehost香港VPS主机商分享WordPress网站安全的入门指南
是的,这听起来可能有点吓人,而且应该是这样。许多人对黑客不够的尊重,许多人故意忽视了博客的安全;直到为时已晚,他们所能做的就是大声呼救。为了不让你成为互联网的另一个受害者,请和我们一起看完这篇文章,因为我们即将向你展示你可以而且应该为你的博客做的最重要的事情。即使你是一个初学者,你也可以做很多事情来提高你新创建的WordPress博客的安全性。
保持定期更新
实现更好的网站安全的第一步是定期维护WordPress。在技术上有这么多新奇的东西,更新速度极快是很正常的。但是你必须适应,因为更新WordPress的核心文件、插件和主题一点也不难,它可以从坏人手中拯救你的网站。推荐阅读:《2022年的WordPress网站安全问题》
如果你快速看一下WordPress的官方统计数据,你会注意到有太多的人仍然在旧版本的WordPress上运行他们的博客。在极少数情况下,这是合理的,但更多的时候,你必须将你的网站更新到最新的版本。
各种WordPress主题和插件也是如此,它们也需要定期更新。我们已经谈到了为什么更新是重要的,以及如何直接从你的仪表板安装它们。
谨慎地选择用户名
虽然管理员用 “admin “用户名登录看起来很正常,但这是一个严重的安全问题。因为许多用户没有改变默认的用户名,黑客可以很容易地猜到它。让它保持原样,就像你把钥匙转到了一半给入侵者。
在安装WordPress时,用你的名字、昵称或其他你想用的东西来代替 “admin”。如果你已经拥有一个带有 “admin “用户名的网站,你仍然可以进行改变。一个选择是创建一个具有管理员权限的新用户,然后删除默认用户(分配给旧用户名的帖子将自动分配给新用户),或者你可以使用用户名更换插件,这将使一切变得更加容易。
使用强密码
强密码由十几个不同的字符组成,包括字母、数字和其他特殊字符。不幸的是,许多人没有使用像 “jTh6F9%aO(“这样的强密码,而是仍然使用不安全的密码,如使用者的名字、出生日期或容易猜到的简单组合(“1234 “就是一个可怕的密码,但有这么多人使用它)。
在为时已晚之前,我们建议你将你的密码改为强密码,并建议你博客上的所有用户也这样做。如果你想对你的所有用户强制执行安全密码,你甚至可以使用强制强密码插件。
定期备份你的网站
定期备份比许多初学者认为的更重要。他们中的大多数人认为,他们的网站对黑客来说没有足够的价值,或者他们已经尽了最大的努力来保证网站的安全。但是,当一些不好的事情发生时,你会想要一个最近的博客备份。在这种情况下,即使所有的东西都被删除、丢失或你只是失去了访问权,你总是能够恢复你的网站的完整备份,并继续工作,且不会有太大的麻烦。
使用安全连接
SSL(安全套接字层)是一种允许在用户浏览器和服务器之间安全传输数据的技术。通过使用SSL,黑客不太可能闯入并从连接中获得敏感数据(如用户名、密码和信用卡号码)。
虽然目前听起来可能有点太过技术化,但你可以在短时间内拥有你的SSL。现在许多托管公司都提供免费的SSL证书,你也可以向你的托管公司了解更多相关信息。另外,你也可以购买单独的证书,然后将其安装在你的网站上。推荐阅读:《你需要知道的网络安全术语》
扫描所有文件以查找漏洞
通过从互联网上安装各种插件和主题,你正在给整个网站带来风险。如果你试图添加的项目包含恶意软件,你可能会让网站被黑客入侵,或者危及正在使用网站的所有人的安全。即使你是唯一的管理员,这也可能是一个问题。但想象一下,当有几十个用户可以添加主题、插件和其他文件时,你会把你的网站置于怎样的风险之中。
为了确保你的安全,我们建议使用一个免费的安全忍者插件。只需按下一个按钮,该插件就将扫描整个网站的安全漏洞、漏洞和恶意软件。然后,安全忍者会建议你如何修复你网站上的问题。
限制登录尝试的次数
当试图进入你的网站时,黑客往往会使用暴力攻击。通过利用机器人和各种脚本,他们会不断尝试猜测你的用户名和密码组合。为了趁早阻止他们,你可以很容易地限制登录尝试的次数。在这种情况下,每个用户将有三次、五次或十次尝试登录你的网站。如果他失败了,该用户将在一定时间内被锁定。
使用两步验证法
如果你意识到有太多的登录尝试,你可以通过使用两步验证过程使一切更安全。与普通登录不同,两步认证通过增加用户在第三方设备上生成的另一个密码,增加了另一层安全。例如,在填写了你的默认WordPress用户名和密码后,两步验证的插件会向你的智能手机发送另一个代码。通常情况下,这个代码只在几分钟内有效,而且只适用于你的用户名和密码组合。
因为有了额外的安全层,你的登录实际上是不可攻破的。两步验证的唯一缺点是登录的过程比较复杂。
改变数据库表的前缀
在安装WordPress时,你可以为平台使用的数据库表输入一个自定义前缀。为了安全起见,重要的是你确实有一个独特的前缀,这样黑客就不能轻易访问它们了。由于默认的WordPress安装使用相同的 “wp_”前缀和相同的表名,黑客甚至不需要猜测所有的信息储存在哪里。
但是,如果你在安装WordPress时没有输入自定义前缀,你现在就可以进行修改。有几种手动操作的方法,但由于这是初学者的指南,我们将为您提供免费的插件,它将为你做一切事情。你所要做的就是安装Change Table Prefix插件并选择另一个前缀。修改成功后,你可以删除该插件。
隐藏登录页面
默认情况下,每个WordPress网站都有相同的登录URL。只需要在任何域名的末尾添加/wp-login或/wp-admin,就可以进入登录页面,在那里你可以开始猜测凭证。因此,为了阻止黑客想方设法进入你的登录页面,你可以直接隐藏它。
更高级的用户可以直接从WordPress文件中改变链接,但对于初学者,我们建议使用一个简单而免费的WPS隐藏登录插件。
获得有关安全问题的通知
你不可能在任何时候都在你的网站上。但不幸的是,安全问题和黑客并不关心这些。有人可能试图窃取你的域名或改变NameServers的细节来重定向你的电子邮件。你可能选择了一个改变了你内容的恶意软件,或者谷歌可能在你不知道的情况下将该网站标记为不安全的网站。有时,这样的问题是不可避免的。但如果你只是知道它们,你还是可以及时做出反应。
自动注销闲置的用户
如果你在家里工作,那么你在你的WordPress网站上停留的时间长短其实并不重要。但是,如果你喜欢随身携带你的博客,在公共场所用笔记本电脑、平板电脑和智能手机访问仪表板,就很容易忘记注销。如果你倾向于让你的便携设备无人看管,有人可能会轻易进入你的网站,改变密码并偷走一切。
加固你的网站以防止黑客入侵
WordPress建议通过对你的WP网站进行某些改变来强化你的网站的安全态势。我们已经讨论过定期备份和通过限制登录尝试来防止访问你的网站。WordPress建议采取更多的步骤来加固你的网站,如禁用文件编辑器,防止PHP执行,等等。网上有几个教程可以帮助你手动加固你的网站,但这是一个危险的操作。代码中的一个错误都可能导致你的网站崩溃。使用像MalCare这样的安全插件可以使你通过点击一个按钮来执行这些功能。没有涉及手动错误的风险。
使用多合一的安全插件
我们在这篇文章中提到的许多预防措施是流行的安全插件的一部分。它们中的大多数允许你只需选择和点击几下就能确保你的网站安全。根据你所使用的插件和版本,你甚至可能得到一些额外的安全特权,为你的网站增加另一个安全层。一些最受欢迎的安全插件包括:
- WordFence
- iThemes Security
- All In One WP Security & Firewall
- BulletProof Security
- Sucuri Security
- Conclusion
结论
网站的安全应该是你应该一直放在心上的事情。无论是更改密码和用户名还是配置插件,你都不应该忽视你的博客。即使你是一个完全的初学者,你仍然可以做这篇文章中提到的所有步骤。但这仅仅是个开始。还有更多的事情需要考虑,但由于它们需要修改代码和文件权限,我们将把这些提示留给其他时间。
对于初学者来说,重要的是你要认识到网站的安全就掌握在你手中,你应该始终努力使你的博客尽可能安全。推荐相关阅读:《了解更多网络安全的 6 种方法》