初學(xué)者指南，確保網(wǎng)站安全的19種方法！

 

你應(yīng)該害怕！但是不要擔(dān)心太多–如果你在你的網(wǎng)站上實(shí)施了一些WordPress網(wǎng)站安全最佳實(shí)踐，你可以確信你的網(wǎng)站不會(huì)遇到問(wèn)題。

博客 存在安全。但是用戶采取的行動(dòng)(以及用戶安裝的插件)會(huì)引入各種各樣的WordPress漏洞。

為了避免犯這些錯(cuò)誤，你需要做的就是遵循這篇文章中的提示。

為了使這篇文章盡可能可行，我們將把我們的WordPress安全提示分為兩類:

• 7必須遵循WordPress安全最佳實(shí)踐–每個(gè)WordPress用戶都需要做這些事情無(wú)論什么.
• 12個(gè)額外的WordPress安全加固技巧–這些提示不是絕對(duì)必要的，但它們可以為您的網(wǎng)站增加額外的硬度，讓您安心。

?Seven必須遵循WordPress安全最佳實(shí)踐

如果你沒(méi)有從這篇文章中得到什么，我建議你在你的網(wǎng)站上至少實(shí)現(xiàn)這七個(gè)WordPress安全最佳實(shí)踐。

如果你不做這七件事，你的網(wǎng)站就會(huì)暴露出巨大的漏洞。

1.盡快應(yīng)用核心和插件更新

為了保證WordPress的安全，你能做的最好的事情之一就是及時(shí)更新WordPress的核心、插件和主題。

不管一個(gè)軟件有多棒，發(fā)現(xiàn)新的漏洞是很自然的。然而，有了高質(zhì)量的開(kāi)發(fā)團(tuán)隊(duì)，這些漏洞將在被惡意行為者利用之前得到修復(fù)…只要您及時(shí)應(yīng)用更新！

許多最近廣泛傳播的WordPress漏洞本可以避免如果人們更新了他們的網(wǎng)站.

要獲得新更新的提醒，請(qǐng)注意儀表板→更新在你的WP管理區(qū)域。

如果您擔(dān)心兼容性問(wèn)題，可以在上測(cè)試更新集結(jié)地然后將它們應(yīng)用到您的現(xiàn)場(chǎng)。您還需要在應(yīng)用更新之前進(jìn)行備份——稍后將詳細(xì)介紹。

注意–此規(guī)則的一個(gè)例外是主要更新，它們只專注于添加新功能，不包括任何安全修復(fù)。您可以放心地等待幾個(gè)星期來(lái)應(yīng)用這些主要更新。

• 主要版本(功能)–5.0、5.1、6.0等。–您可以等待應(yīng)用這些更新。
• 次要版本(安全/錯(cuò)誤修復(fù))–5 . 0 . 1、5.1.2、6.0.4等。你總是需要盡快應(yīng)用這些。

2.只使用知名開(kāi)發(fā)商的插件和主題(不要使用無(wú)效插件)

雖然WordPress的核心軟件是安全的，但不能說(shuō)每個(gè)插件和主題都是安全的(主要是插件).

通過(guò)添加新代碼和修改網(wǎng)站的功能，插件會(huì)引入各種各樣的漏洞。

與此同時(shí)，不使用插件并不是一個(gè)真正的選擇，因?yàn)椴寮敲總€(gè)WordPress網(wǎng)站不可或缺的一部分。

因此，重要的是只使用來(lái)自有良好代碼質(zhì)量和及時(shí)維護(hù)記錄的著名開(kāi)發(fā)者的插件和主題。

也就是說(shuō)，小心你在網(wǎng)站上安裝的插件.

這里有一些提示可以幫助你只使用高質(zhì)量的插件和主題:

• 閱讀評(píng)論.糟糕的評(píng)論可能表明糟糕的代碼質(zhì)量。
• 檢查活動(dòng)安裝計(jì)數(shù).雖然這不是一個(gè)硬性規(guī)定，但流行的插件通常更容易受到關(guān)注。
• 檢查最近的更新.擁有一個(gè)活躍的開(kāi)發(fā)人員對(duì)于修補(bǔ)任何新發(fā)現(xiàn)的漏洞非常重要。
• 不要安裝不必要的插件.因?yàn)槟惆惭b的每個(gè)插件都是潛在的攻擊媒介，所以你應(yīng)該只安裝對(duì)你的站點(diǎn)重要的插件。

我們也有選擇WordPress插件的完整指南.

最后，您還需要避免空插件，因?yàn)槟恢啦寮刑砑恿耸裁创a。

3.使用安全的WordPress主機(jī)

選擇一個(gè)高質(zhì)量的WordPress虛擬主機(jī)服務(wù)提供商對(duì)確保你網(wǎng)站的安全大有幫助。

首先，一個(gè)高質(zhì)量的WordPress主機(jī)提供商將確保你的環(huán)境是為WordPress安全優(yōu)化的，比如適當(dāng)?shù)奈募S可和安全的wp-config.php文件.

許多WordPress主機(jī)也將內(nèi)置更主動(dòng)的保護(hù)，比如內(nèi)置防火墻或惡意軟件掃描。

一些托管的WordPress主機(jī)甚至?xí)赓M(fèi)清理你的站點(diǎn)，如果它發(fā)生了任何事情的話。

基本上，有了一個(gè)高質(zhì)量的主機(jī)(尤其是一個(gè)托管的WordPress主機(jī))，他們會(huì)照顧到這些最佳實(shí)踐，這樣你就可以專注于發(fā)展你的網(wǎng)站。

要找到一些質(zhì)量選項(xiàng)，請(qǐng)查看我們的帖子最佳托管WordPress主機(jī)和一般來(lái)說(shuō)，最好的WordPress主機(jī).

如果你負(fù)擔(dān)得起，可以考慮以下選擇飛輪(我們用于WPKube的——我們的飛輪評(píng)論)或者金斯塔(我們的金斯塔評(píng)論).

4.鎖定您的登錄頁(yè)面和帳戶訪問(wèn)

如果一個(gè)惡意的行為者能夠進(jìn)入你的一個(gè)合法的WordPress用戶帳戶(尤其是管理員帳戶).

在現(xiàn)實(shí)世界中想一想——你可以擁有世界上最好的家庭安全系統(tǒng)，但是如果一個(gè)強(qiáng)盜拿到了你家的鑰匙和安全密碼，它也不會(huì)做任何事情。

這意味著它是必要的你找到保護(hù)你的WordPress站點(diǎn)的登錄過(guò)程和用戶賬戶的方法。

首先，您需要使用強(qiáng)帳戶憑據(jù):

• 用戶名–切勿使用“admin”作為用戶名。相反，選擇一個(gè)你在其他地方都不使用的唯一用戶名。
• 密碼–使用強(qiáng)而唯一的密碼。為了獲得最佳效果，請(qǐng)使用LastPass或Bitwarden等密碼管理器為每個(gè)站點(diǎn)生成唯一的密碼。

除此之外，你也可以使用策略來(lái)保護(hù)WordPress登錄頁(yè)面:

• 更改登錄URL–這也減少了大量的bot流量。怎么會(huì)？使用免費(fèi)的WPS隱藏登錄插件.
• 限制登錄嘗試–如果某個(gè)IP地址進(jìn)行了太多次不正確的登錄嘗試(就像銀行所做的那樣)，則臨時(shí)阻止該IP地址。怎么會(huì)？使用免費(fèi)限制登錄嘗試重新加載插件.
• 需要雙因素身份認(rèn)證(2FA)–讓人們除了他們的憑證之外，還從認(rèn)證器應(yīng)用、SMS或電子郵件輸入代碼。怎么會(huì)？使用免費(fèi)插件，如WP 2FA或者雙因素.

所有網(wǎng)站都應(yīng)該更改登錄URL并限制登錄嘗試，但是使用WordPress雙因素認(rèn)證實(shí)際上只有任務(wù)關(guān)鍵型站點(diǎn)才需要。

5.安裝SSL證書(shū)并使用HTTPS

SSL證書(shū)允許您在網(wǎng)站上使用HTTPS，而不是HTTP。

有了HTTPS，任何在瀏覽器和服務(wù)器之間傳遞的數(shù)據(jù)都會(huì)被加密。除了通常有利于保護(hù)隱私之外，這對(duì)于保護(hù)重要數(shù)據(jù)(如用戶名和密碼)至關(guān)重要。

如果沒(méi)有HTTPS，互聯(lián)網(wǎng)上的惡意行為者可以看到在您的瀏覽器和您的站點(diǎn)之間傳遞的所有數(shù)據(jù)。例如，如果您在當(dāng)?shù)氐目Х鹊晔褂肏TTP登錄到您的站點(diǎn)，該網(wǎng)絡(luò)上的某個(gè)人將能夠以純文本的形式看到您的用戶名和密碼。

不過(guò)，當(dāng)你使用HTTPS時(shí)，你的用戶名和密碼(以及所有其他數(shù)據(jù))都被安全加密，這意味著惡意用戶只會(huì)看到一堆隨機(jī)字符。

現(xiàn)在，大多數(shù)高質(zhì)量的WordPress主機(jī)提供商都提供免費(fèi)的SSL證書(shū)。

一旦您通過(guò)托管儀表板安裝了SSL證書(shū)，您就可以將您的站點(diǎn)配置為使用HTTPS。如果你需要一些幫助把你的網(wǎng)站搬到HTTPS，免費(fèi)的非常簡(jiǎn)單的SSL插件提供一鍵式設(shè)置。

跟隨我們的WordPress HTTPS指南了解更多細(xì)節(jié).

6.使用支持的PHP版本

WordPress是用PHP編程語(yǔ)言.然而，有不同的PHP版本，你可以在你的托管賬戶上使用。

舊版本的PHP不再接受維護(hù)，這意味著它們可能有未打補(bǔ)丁的安全問(wèn)題。

截至2022年，最早收到安全更新的PHP版本是PHP 7.4。然而，從2023年開(kāi)始，你至少要使用PHP 8.0。

你可以在本頁(yè)檢查當(dāng)前PHP版本支持.

作為額外的獎(jiǎng)勵(lì)，新版本的PHP也提供了很大的性能改進(jìn)，這意味著你的網(wǎng)站會(huì)加載得更快除了更安全之外。

如果你不確定如何更新PHP，你可以向你的主機(jī)尋求支持。我們還有一個(gè)如何在流行的WordPress主機(jī)上更新PHP的指南.

7.定期備份您的網(wǎng)站

備份您的站點(diǎn)不會(huì)預(yù)防安全問(wèn)題發(fā)生在你的網(wǎng)站上。但是，這將防止安全問(wèn)題演變成更大的問(wèn)題。

沒(méi)有備份，任何安全事故在您的網(wǎng)站上可以是絕對(duì)毀滅性的。您可能會(huì)丟失數(shù)據(jù)，有很多停機(jī)時(shí)間，等等。

但是，對(duì)于最近的備份，安全事故的最壞情況通常是您只需要恢復(fù)站點(diǎn)的干凈備份。仍然很煩人——但災(zāi)難性少了很多。

如果您的主機(jī)還沒(méi)有提供安全的自動(dòng)備份，付費(fèi)工具如噴氣背包備份或者倉(cāng)庫(kù)英語(yǔ)字母表中第十二個(gè)字母ogVault提供最簡(jiǎn)單的方法來(lái)實(shí)現(xiàn)安全的異地備份。

如果你沒(méi)有購(gòu)買工具的預(yù)算，UpdraftPlus也是一個(gè)很好的免費(fèi)選項(xiàng)——只要確保將它連接到一個(gè)外部存儲(chǔ)提供商，如Google Drive或亞馬遜S3。

這是我們關(guān)于最好的WordPress備份插件的完整帖子.

十二個(gè)額外的WordPress安全加固技巧

如果你忠實(shí)地執(zhí)行以上必須遵循的WordPress網(wǎng)站安全最佳實(shí)踐，你將會(huì)避免網(wǎng)站上99%的問(wèn)題。

然而，如果你想進(jìn)一步加強(qiáng)，你可以實(shí)現(xiàn)一些額外的強(qiáng)化技巧來(lái)進(jìn)一步保護(hù)你的站點(diǎn)。

8.設(shè)置防火墻

防火墻可以通過(guò)在惡意流量或行為影響您的站點(diǎn)或服務(wù)器之前阻止它們來(lái)主動(dòng)保護(hù)您的站點(diǎn)免受威脅。

許多主機(jī)已經(jīng)實(shí)現(xiàn)了他們自己的防火墻，這就是為什么如果你使用高質(zhì)量的WordPress主機(jī)(見(jiàn)前).

如果您的主機(jī)沒(méi)有(或者如果您想要更多的保護(hù))，您可以在應(yīng)用程序級(jí)別添加一個(gè)防火墻，使用類似文字圍欄或者在DNS級(jí)別使用類似美國(guó)云火炬或者蘇庫(kù)里.

9.使用WordPress安全插件

你可以創(chuàng)建安全的WordPress站點(diǎn)沒(méi)有一個(gè)專用的安全插件，所以創(chuàng)建一個(gè)安全的網(wǎng)站肯定不需要安全插件。

話雖如此，安全插件仍然很方便，原因如下:

1. 安全插件可以提供實(shí)時(shí)防火墻來(lái)抵御新出現(xiàn)的威脅。
2. 一個(gè)高質(zhì)量的安全插件將使實(shí)現(xiàn)這個(gè)列表中的許多其他強(qiáng)化技巧變得容易，這可以為你簡(jiǎn)化事情并節(jié)省你的時(shí)間。

當(dāng)有疑問(wèn)時(shí)文字圍欄插件是一個(gè)很好的入門選擇。您可以在中找到更多選項(xiàng)我們最好的WordPress安全插件的完整集合.

10.隱藏WordPress版本

隱藏WordPress版本號(hào)增加了一個(gè)微不足道的“模糊安全性”輕微地惡意行為者更難檢測(cè)到你網(wǎng)站的版本號(hào)。

要隱藏它，你可以將下面的代碼添加到你的孩子主題的functions.php文件中，或者像代碼片段一樣的插件中。

函數(shù)WP _ version _ remove _ version _ number(){ return“”；}add_filter('the_generator '，' WP _ version _ remove _ version _ number ')；

如果你想走得更遠(yuǎn)，我們有向?qū)шP(guān)于如何隱藏你的網(wǎng)站使用WordPress.

11.檢查文件權(quán)限

如果你使用的是高質(zhì)量的主機(jī)，你的網(wǎng)站的文件權(quán)限應(yīng)該是正確的。但是，這可能值得仔細(xì)檢查，因?yàn)閾碛姓_的文件權(quán)限非常重要。

要了解更多信息，請(qǐng)查看我們的WordPress文件權(quán)限完整指南.

12.僅對(duì)FTP使用安全連接

每當(dāng)你通過(guò)FTP連接到您的站點(diǎn)或其他技術(shù)，請(qǐng)確保您使用安全協(xié)議，如SFTP。

正如HTTPS保護(hù)你的瀏覽器和網(wǎng)站之間的數(shù)據(jù)，SFTP保護(hù)你的FTP客戶端和服務(wù)器之間的連接。

您還應(yīng)該避免將您的FTP密碼存儲(chǔ)在您的FTP客戶端中，除非這些密碼被安全地加密。

13.設(shè)置活動(dòng)日志記錄

活動(dòng)日志記錄允許您跟蹤用戶在您的儀表板中做了什么，這有助于您捕捉可疑的活動(dòng)(尤其是如果您授予其他用戶儀表板訪問(wèn)權(quán)限).

要設(shè)置這個(gè)，您可以使用一個(gè)插件，比如WP活動(dòng)日志.我們有關(guān)于如何設(shè)置活動(dòng)日志的教程，以及獨(dú)家WP活動(dòng)日志優(yōu)惠券為了給你省點(diǎn)錢。

14.運(yùn)行常規(guī)惡意軟件/安全掃描

雖然如果您已經(jīng)實(shí)現(xiàn)了上面的最佳實(shí)踐，您的站點(diǎn)應(yīng)該不會(huì)遇到任何問(wèn)題，但是定期在您的站點(diǎn)上運(yùn)行惡意軟件/安全掃描.

要檢查站點(diǎn)前端的任何問(wèn)題，您可以使用免費(fèi)的Sucuri站點(diǎn)檢查工具.

要對(duì)服務(wù)器文件進(jìn)行全面掃描，您可以考慮使用以下工具護(hù)理不當(dāng)或者文字圍欄.

你的WordPress主機(jī)也可能運(yùn)行它自己的每日惡意軟件掃描，這可能使這些工具變得多余。

15.禁用XML-RPC

XML-RPC幫助外部工具連接到你的WordPress站點(diǎn)，比如桌面WordPress應(yīng)用程序。

然而，如果你不使用這些工具，它只會(huì)給你的網(wǎng)站增加一個(gè)不必要的攻擊媒介。要完全禁用它，您可以使用免費(fèi)的禁用XML-RPC插件.

16.塊熱鏈接

熱鏈接是指有人在他們的網(wǎng)站上嵌入來(lái)自你的服務(wù)器的內(nèi)容(例如圖片)。它會(huì)在未經(jīng)您允許的情況下耗盡您服務(wù)器的資源，從而影響您站點(diǎn)的安全性。

要阻止熱鏈接，你可以在你的站點(diǎn)的。htaccess文件。

來(lái)生成。htaccess代碼需要阻止熱鏈接，你可以使用這個(gè)免費(fèi)工具.它可以讓你將某些熱鏈接提供商(如谷歌圖片搜索)列入安全名單，同時(shí)阻止其他人。

17.更改WordPress數(shù)據(jù)庫(kù)前綴

改變WordPress數(shù)據(jù)庫(kù)前綴增加了少量的“晦澀的安全性”，盡管一些專家說(shuō)安全性的好處是微不足道的。

如果你有一個(gè)現(xiàn)有的WordPress站點(diǎn)，我不建議這樣做，因?yàn)槠茐哪愕恼军c(diǎn)的風(fēng)險(xiǎn)超過(guò)了任何潛在的安全利益。

然而，如果你正在建立一個(gè)新的WordPress站點(diǎn)，你也可以使用一個(gè)自定義的數(shù)據(jù)庫(kù)前綴，即使它不會(huì)有很大的影響。

18.禁用wp-content/uploads文件夾中的PHP文件執(zhí)行

您可以通過(guò)在您的WP-內(nèi)容/上傳文件夾。

方法如下:

1. 使用記事本創(chuàng)建新的。htaccess文件。
2. 添加下面的代碼片段。
3. 將該文件上傳到WP-內(nèi)容/上傳文件夾。

% 3c文件*。php %來(lái)自所有% 3C/文件%3E

19.禁用儀表板內(nèi)代碼編輯

默認(rèn)情況下，WordPress允許你從WordPress儀表板編輯主題和插件文件，這將允許攻擊者添加惡意代碼，如果他們?cè)?jīng)訪問(wèn)過(guò)管理員帳戶的話。

為了防止這種情況，您可以通過(guò)將此代碼段添加到您的wp-config.php文件:

define( 'DISALLOW_FILE_EDIT '，true)；

WordPress網(wǎng)站安全常見(jiàn)問(wèn)題

最后，這里有一些關(guān)于WordPress安全性的常見(jiàn)問(wèn)題。

WordPress有安全問(wèn)題嗎？

WordPress本身沒(méi)有安全問(wèn)題，但是在你的網(wǎng)站上安裝插件會(huì)引入安全漏洞，尤其是在插件編碼和/或維護(hù)很差的情況下。

WordPress容易被黑嗎？

絕大多數(shù)WordPress網(wǎng)站被黑是因?yàn)橛脩翦e(cuò)誤，而不是軟件本身。遵循一些基本的安全最佳實(shí)踐將使你的網(wǎng)站很難被黑。

你能保證WordPress的安全嗎？

是的，絕對(duì)的。只要你遵循最佳實(shí)踐，WordPress是非常安全的。有一個(gè)原因所以很多大品牌都信任WordPress.

你需要一個(gè)WordPress安全插件嗎？

你可以創(chuàng)建一個(gè)安全的WordPress站點(diǎn)，而不需要一個(gè)全面的安全插件。然而，這些插件可以簡(jiǎn)化實(shí)施安全強(qiáng)化最佳實(shí)踐的過(guò)程，并為您提供有用的功能，如防火墻和安全掃描。

今天就實(shí)施這些WordPress安全最佳實(shí)踐

如果你沒(méi)有從這篇文章中得到任何東西，我希望你至少實(shí)現(xiàn)上面的七個(gè)必須遵循的WordPress安全提示。

如果你做到了這七點(diǎn)，你可以確信你可以避免網(wǎng)站上99.9%的安全問(wèn)題。

如果你想得到更好的保護(hù)，你可以繼續(xù)執(zhí)行這份清單上的19條建議。

關(guān)于WordPress的安全性，你還有什么問(wèn)題嗎？請(qǐng)?jiān)谠u(píng)論中告訴我們！