终极WordPress安全指南 – 一步一步(2018)
WordPress安全性对每个网站所有者来说都是一个非常重要的主题。每周,Google都会将大约20,000个恶意软件网站和大约50,000个网站用于网络钓鱼。如果您认真对待您的网站,那么您需要关注WordPress安全最佳实践。在本指南中,我们将分享所有顶级的WordPress安全提示,以帮助您保护您的网站免受黑客和恶意软件的侵害。
虽然WordPress核心软件非常安全,并且经过数百名开发人员的定期审核,但有一个可以用来强化你的WordPress网站。
在WPBeginner,我们相信安全不仅仅是消除风险。这也与减少风险有关。作为网站所有者,您可以做很多事情来提高您的WordPress安全性(即使您不熟悉技术)。
我们有许多可操作的步骤可以帮助您提高WordPress的安全性。
为了方便起见,我们创建了一个内容表,以帮助您轻松浏览我们的最终WordPress安全指南。
目录
WordPress安全基础知识
WordPress安全性在简易步骤中(无编码)
为DIY用户提供WordPress安全性
- 更改默认“admin”用户名
- 禁用文件编辑
- 禁用PHP文件执行
- 限制登录尝试
- 更改WordPress数据库前缀
- 密码保护WP-Admin和登录
- 禁用目录索引和浏览
- 在WordPress中禁用XML-RPC
- 自动注销空闲用户
- 添加WordPress登录的安全问题
- 修复被黑客攻击的WordPress网站
准备好了吗?让我们开始吧。
为什么网站安全很重要?
被黑网攻击的WordPress网站可能会对您的业务收入和声誉造成严重损害。黑客可以窃取用户信息,密码,安装恶意软件,甚至可以向用户分发恶意软件。
最糟糕的是,你可能会发现自己只是为了重新获得对你网站的访问权而向黑客支付勒索软件。
2016年3月,谷歌报道有超过5000万网站用户被警告他们有一个网站他们访问可能包含恶意软件或窃取信息。
此外,谷歌每周约有20,000个恶意软件网站和大约50,000个网络钓鱼黑名单。
如果您的网站是一个企业,那么您需要特别注意您的WordPress安全性。
类似于企业所有者保护其实体店铺的责任,作为在线企业所有者,您有责任保护您的企业网站。
[返回顶部↑]
保持WordPress更新
WordPress是一个定期维护和更新的开源软件。默认情况下,WordPress会自动安装次要更新。对于主要版本,您需要手动启动更新。
WordPress还附带了数千个可以在您的网站上安装的插件和主题。这些插件和主题由第三方开发人员维护,这些开发人员也定期发布更新。
这些WordPress更新对于WordPress站点的安全性和稳定性至关重要。您需要确保您的WordPress核心,插件和主题是最新的。
[返回顶部↑]
强密码和用户权限
最多常见的WordPress黑客攻击尝试使用被盗密码。您可以使用对您的网站来说唯一的更强密码来解决这个问题。不仅适用于WordPress管理区域,还适用于FTP帐户,数据库,WordPress主机帐户以及您的专业电子邮件地址。
初学者不喜欢使用强密码的首要原因是他们很难记住。好消息是你不再需要记住密码了。您可以使用密码管理器。请参阅我们的指南,了解如何管理WordPress密码。
另一种降低风险的方法是不给任何人访问您的WordPress管理员帐户,除非您绝对必须这样做。如果您有一个大型团队或访客作者,那么在向WordPress站点添加新用户和作者之前,请确保您了解WordPress中的用户角色和功能。
[返回顶部↑]
WordPress托管的作用
您的WordPress托管服务在您的WordPress网站的安全性中扮演着最重要的角色。BlueHost或Siteground等优秀的共享托管服务提供商采取额外措施来保护其服务器免受常见威胁。
但是,在共享主机上,您与许多其他客户共享服务器资源。这可能会导致跨站点污染,黑客可以利用邻近站点攻击您的网站。
使用托管的WordPress托管服务可为您的网站提供更安全的平台。托管WordPress托管公司提供自动备份,自动WordPress更新和更高级的安全配置来保护您的网站
我们建议WPEngine作为我们首选的托管WordPress托管服务提供商。它们也是业内最受欢迎的产品之一。(请参阅我们的特殊WPEngine优惠券)。
[返回顶部↑]
WordPress安全简易步骤(无编码)
我们知道,提高WordPress安全性对于初学者来说可能是一个可怕的想法。特别是如果你不熟练的话。猜猜是什么 – 你并不孤单。
我们已经帮助数千名WordPress用户加强了他们的WordPress安全性。
我们将向您展示如何只需点击几下即可提高您的WordPress安全性(无需编码)。
如果你可以点击,你可以这样做!
安装WordPress备份解决方案
备份是你防御任何WordPress攻击的第一道防线。请记住,没有什么是100%安全的。如果政府网站可以被黑客入侵,那么你也可以被黑客攻击。
备份允许你快速恢复你的WordPress网站,万一发生了不好的事情。
有许多免费和付费的WordPress备份插件你可以使用。在备份时,您需要知道的最重要的事情是您必须定期将全站点备份保存到远程位置(而不是您的主机帐户)。
我们建议将其存储在像Amazon这样的云服务上,Dropbox或像Stash这样的私有云。
根据您更新网站的频率,理想的设置可能是每天一次或实时备份。
值得庆幸的是,使用VaultPress或BackupBuddy等插件可以轻松完成。它们既可靠又最重要的是易于使用(无需编码)。
[返回顶部↑]
最佳WordPress安全插件
备份后,我们需要做的下一件事是设置审计和监控系统,跟踪所有内容发生在您的网站上。
这包括文件完整性监控,登录尝试失败,恶意软件扫描等。
值得庆幸的是,这可以由最好的免费WordPress安全插件Sucuri Scanner完成。
您需要安装并激活免费的Sucuri Security插件。有关详细信息,请参阅我们有关如何安装WordPress插件的分步指南。
激活后,您需要转到WordPress管理员的Sucuri菜单。
第一件事您将被要求做的是生成一个免费的API密钥。这样可以启用审核日志记录,完整性检查,电子邮件警报和其他重要功能。
接下来,您需要点击Sucuri菜单中的Hardening选项卡。浏览每个选项并单击“强化”按钮。
这些选项可帮助您锁定黑客在攻击中经常使用的关键区域。付费升级的唯一强化选项是Web应用程序防火墙,我们将在下一步中解释,因此暂时跳过它。
我们在本文后面还介绍了很多这些“强化”选项对于那些想要在不使用插件的情况下执行此操作或者需要执行其他步骤的人,例如“数据库前缀更改”或“更改管理员用户名”。
在强化部分之后,此插件的大多数默认设置很好,不需要改变。我们建议自定义的唯一内容是电子邮件提醒。
默认警报设置可能会使您的收件箱与电子邮件混乱。我们建议您接收关键操作的警报,例如插件更改,新用户注册等。您可以通过访问Sucuri设置»警报来配置警报。
此WordPress安全插件非常强大,因此浏览所有选项卡和设置,以查看它所做的一切,如恶意软件扫描,审核日志,失败的登录尝试跟踪等。
启用Web应用程序防火墙(WAF)
保护您的网站的最简单方法并且对您的WordPress安全性充满信心是使用Web应用程序防火墙(WAF)。防火墙甚至在到达您的网站之前阻止所有恶意流量。
我们使用并推荐 Sucuri作为WordPress的最佳Web应用程序防火墙。您可以阅读Sucuri如何帮助我们在一个月内阻止450,000次WordPress攻击。
关于Sucuri防火墙最好的部分是它还带有恶意软件清理和黑名单删除保证。基本上,如果你被他们的手表黑客攻击,他们保证他们会修复你的网站(无论你有多少页面)。
这是一个非常强大的保修,因为修复被黑网站是昂贵的。安全专家通常每小时收费250美元。而您可以每年199美元获得整个Sucuri安全堆栈。
使用Sucuri防火墙提高您的WordPress安全性»
Sucuri不是唯一的防火墙提供商。另一个受欢迎的竞争对手是Cloudflare。请参阅我们对Sucuri与Cloudflare的比较(优点和缺点)。
[返回顶部↑]
WordPress安全性为DIY用户
如果你做了我们提到的一切到目前为止,你的状态非常好。
但是,与往常一样,你可以做更多的事情来强化你的WordPress安全性。
其中一些步骤可能需要编码知识。
更改默认“admin”用户名
在过去,默认的WordPress管理员用户名是“admin”。由于用户名占登录凭据的一半,这使得黑客更容易进行暴力攻击。
值得庆幸的是,WordPress已经改变了这一点,现在要求您在安装WordPress时选择自定义用户名。
但是,一些单击WordPress安装程序仍然将默认管理员用户名设置为“admin”。如果您注意到这种情况,那么切换您的网络托管可能是个好主意。
由于WordPress默认情况下不允许您更改用户名,因此您可以使用三种方法来更改username。
- 创建一个新的管理员用户名并删除旧用户名。
- 使用用户名更改器插件
- 从phpMyAdmin更新用户名
我们已覆盖所有其中三个在我们关于如何正确更改WordPress用户名的详细指南中(逐步)。
注意:我们谈论的是名为“admin”的用户名,而不是管理员角色。
[返回顶部↑]
禁用文件编辑
WordPress带有内置 -在代码编辑器中,您可以直接从WordPress管理区域编辑主题和插件文件。在错误的手中,此功能可能存在安全风险,这就是我们建议将其关闭的原因。
您可以通过在wp-config.php文件中添加以下代码轻松完成此操作。
// Disallow file edit define( "DISALLOW_FILE_EDIT", true );
或者,您可以使用免费Sucuri插件中的强化功能一键完成此操作我们在上面提到过。
[返回顶部↑]
在某些WordPress目录中禁用PHP文件执行
另一种强化WordPress安全性的方法是禁用PHP文件执行在不需要的目录中,例如/wp-content/uploads/.
您可以通过打开文本编辑器(如记事本)并粘贴此代码来执行此操作:
<Files *.php> deny from all </Files>
接下来,您需要保存此文件为。htaccess 并使用FTP客户端将其上传到您网站上的/ wp-content / uploads /文件夹。
有关更详细的说明,请参阅我们的指南,了解如何在某些WordPress目录中禁用PHP执行
或者,您可以使用免费Sucuri插件中的强化功能一键式执行此操作我们在上面提到过。
[返回顶部↑]
限制登录尝试
默认情况下,WordPress允许用户尝试登录他们想要的时间。这使您的WordPress站点容易受到暴力攻击。黑客试图通过尝试使用不同的组合登录来破解密码。
可以通过限制用户可以进行的失败登录尝试来轻松修复此问题。如果您正在使用前面提到的Web应用程序防火墙,那么这将自动处理。
但是,如果您没有设置防火墙,请继续执行以下步骤。
首先,您需要安装并激活Login LockDown插件。有关更多详细信息,请参阅有关如何安装WordPress插件的分步指南。
激活后,请访问设置»登录LockDown 页面以设置插件。
有关详细说明,请查看我们的指南,了解如何以及为何限制WordPress中的登录尝试。
[返回顶部↑]
更改WordPress数据库前缀
默认情况下,WordPress使用wp_作为WordPress数据库中所有表的前缀。如果您的WordPress站点使用默认数据库前缀,那么黑客就可以更容易地猜出您的表名是什么。这就是我们建议更改它的原因。
您可以按照我们的分步教程更改数据库前缀,了解如何更改WordPress数据库前缀以提高安全性。
注意:这可能会破坏您的网站它做得不好。只有在你对编码技巧感到满意的情况下才能继续。
[返回顶部↑]
密码保护WordPress管理员和登录页面
通常,黑客可以无任何限制地请求您的wp-admin文件夹和登录页面。这允许黑客尝试他们的黑客技巧或运行DDoS攻击。
您可以在服务器端添加额外的密码保护,这将有效地阻止这些请求。
按照我们关于如何使用密码保护您的WordPress管理员(wp-admin)目录的分步说明进行操作。
[返回顶部↑]
禁用目录索引和浏览
黑客可以使用目录浏览来查看是否有任何已知漏洞的文件,因此他们可以利用这些文件来获取访问权限。
其他人也可以使用目录浏览来查看文件,复制图像,查找目录结构以及其他信息。这就是强烈建议您关闭目录索引和浏览的原因。
您需要使用FTP或cPanel的文件管理器连接到您的网站。接下来,在您网站的根目录中找到.htaccess文件。如果你在那里看不到它,那么请参阅我们的指南,了解为什么你在WordPress中看不到.htaccess文件。
之后,您需要在.htaccess文件的末尾添加以下行:
Options -Indexes
不要忘记保存并上传.htaccess归档到您的网站。有关此主题的更多信息,请参阅有关如何在WordPress中禁用目录浏览的文章。
[返回页首↑]
在WordPress中禁用XML-RPC
默认情况下在WordPress 3.5中启用了XML-RPC,因为它有助于将WordPress站点与Web和移动应用。
然而,由于它的强大性质,XML-RPC可以显着放大暴力攻击。
例如,传统上如果黑客想要在您的网站上尝试500个不同的密码,他们将不得不进行500次单独的登录尝试,这些尝试将被登录锁定插件捕获并阻止。
但是使用XML-RPC,黑客可以使用 system.multicall 函数来尝试数千个密码,例如20或50个请求。
这就是为什么如果你不使用XML-RPC,我们建议你禁用它。
有三种方法可以在WordPress中禁用XML-RPC,我们已经覆盖了所有的它们是关于如何在WordPress中禁用XML-RPC的一步一步的教程。
提示:.htaccess方法是最好的方法,因为它是资源最少的。
如果你是使用前面提到的Web应用程序防火墙,这可以由防火墙处理。
[返回顶部↑]
自动注销WordPress中的空闲用户
登录用户有时可能会远离屏幕,这会带来安全风险。有人可以劫持他们的会话,更改密码或更改他们的帐户。
这就是许多银行和金融网站自动注销非活动用户的原因。您也可以在WordPress网站上实现类似的功能。
您需要安装并激活Idle User Logout插件。激活后,请访问设置»空闲用户注销页面以配置插件设置。
只需设置持续时间并取消选中“在wp admin中禁用”选项旁边的框,以获得更好的安全性。不要忘记单击保存更改按钮来存储您的设置。
有关更详细的说明,请参阅有关如何在WordPress中自动注销空闲用户的指南。
[返回顶部↑]
向WordPress登录屏幕添加安全问题
向WordPress登录屏幕添加安全问题会使某人更难获得未经授权的访问。
您可以通过安装WP Security Questions插件来添加安全问题。激活后,您需要访问设置»安全问题页面来配置插件设置。
有关更详细的说明,请参阅我们的有关如何向WordPress登录屏幕添加安全问题的教程。
[返回顶部↑]
修复被黑客攻击的WordPress网站
许多WordPress用户在他们的网站被黑客攻击之前没有意识到备份和网站安全的重要性。
清理WordPress网站可能非常困难且耗时。我们的第一个建议是让专业人士来处理它。
黑客在受影响的网站上安装后门,如果这些后门没有得到妥善修复,那么您的网站可能会再次被黑客入侵。
允许像Sucuri这样的专业安全公司修复您的网站将确保您的网站再次安全使用。它还可以保护您免受任何未来的攻击。
对于冒险和DIY用户,我们已经编译了一个关于修复被黑客入侵的WordPress网站的分步指南。
[返回顶部↑]
这就是全部,我们希望本文能帮助您学习顶级的WordPress安全最佳实践,并为您的网站发现最佳的WordPress安全插件。
评论被关闭。