运行自我托管的WordPress网站并不像宣传的那样容易,然而只要有正确的工具和知识就可以做到。比如选择主机并确保网站能顺利加载,然后需要设计网站,使用主题和插件,以确保积极的用户体验。下面是网站面临的一些最常见的漏洞,以及关于如何管理这些风险的一些建议,总结出了保护WordPress网站的四种方法。推荐阅读:《如何确保WordPress网站数据安全(一)》
1、不安全的WordPress登录
WordPress登录是攻击者有价值的目标,因为它提供了对网站控制面板的访问。如果攻击者可以获得登录凭证,他们将完全控制网站。不安全或弱的管理员密码为攻击者提供了容易进入的机会。
启用双重身份认证。双身份认证要求正确输入用户名和密码。然后,一个代码会被发送到电子邮件或个人设备,如手机。一旦提供此代码,就允许完成登录账户。双身份认证有助于确保即使攻击者窃取了登录信息,他们也无法进入账户。
2、过时的主题和插件
添加到网站的任何主题、插件或应用程序都可能引入漏洞。为了避免这种情况,必须:跟踪组件的最新版本,并知道何时有漏洞报告。为了保持最新,应该定期检查新版本或补丁。如果能启用组件的自动更新,就启用。
3、不正确的WordPress权限
创建WordPress网站时,会创建一个管理员账户,也可能会创建用户账户。例如,如果有一个团队的人在网站上工作,或者有一个订阅服务。这些账户中的每一个都有分配给他们的一套权限,决定了用户可以在网站上做什么。设置这些权限时,重要的是只允许用户拥有他们需要的能力。例如,不希望订阅者能够编辑帖子,也不希望编辑能够改变网站设置。推荐阅读:《如何确保WordPress网站数据安全(二)》
4、在HTTPS上运行网站
超文本传输协议(HTTP)是用来连接网站和用户浏览器的方法。如果全站地址以http:// 开始,那么就是在使用HTTP连接。这种连接对任何用户都可用,不需要任何形式的认证就可以使用。
总结
简单地说,漏洞是黑客用来入侵网站的任何东西。有两种类型的漏洞:由授权用户(如网站所有者和用户)创建的漏洞和由未授权用户(如黑客)创建的漏洞。
授权用户创建的漏洞是典型的错误,如代码错误、配置错误的插件、不安全的主题、弱认证等。当黑客创建漏洞时,是想要使他们能够向网站注入恶意代码或窃听通信。
顶级WordPress安全漏洞包括不安全的WordPress登录、过时的主题和插件、不正确的权限以及使用HTTP而不是HTTPS。坏消息是,有成百上千的漏洞存在,因为人为错误是一个事实,而黑客总是在进行攻击。好消息是,可以遵循上述做法来避免许多问题。以上就是保护WordPress网站的四种方法,想要了解更多有关WordPress CMS、主机和WordPress的功能,请从bluehost博客类别中阅读更多。推荐阅读:《2021年WordPress网站的六个技巧》