註冊
简体
WordPress安全

如何有效地保護您的WordPress站點免受攻擊入侵

WBOLT_COM
2k+
0

保護您的WordPress站點免受攻擊入侵
WordPress是開箱即用的出色,非常安全的平臺,當然我們也可以做更多的事情,加強保護您的網站免受惡意入侵。這些安全增強的許多功能都易於實現,但其他的一些則需要安裝特定的外掛來實現。
在教學中,我們將介紹10種不同的策略來增強WordPress堡壘的防禦能力。但是首先,讓我們深入探討網站安全的重要性。

保護WordPress網站至關重要

WordPress安全重要性
雖然有很多開源的CMS可用,但我們還是特別推薦WordPress作為你的平臺。WordPress不僅是搭建網站的靈活,強大的平臺,而且開箱即用也非常安全。這是因為WordPress開發人員關心安全性,並致力於儘可能“強化”核心平臺。另外,他們經常釋出針對安全性的更新和補丁,這些更新和補丁將自動下載並安裝在您的站點上。這意味著您的WordPress網站將具備良好的能力來應對任何新出現的威脅。
當然,沒有平臺100%安全。黑客們嘗試各種可能性,試圖找到進入受保護程度最高的網站的方式。而且由於超過30%的網站使用WordPress,自然而然成為黑客最受歡迎的目標之一。
如果惡意軟體入侵了您的網站,則可能會造成很大的損失。
例如,他們可以竊取或以其他方式破壞敏感資訊,安裝惡意軟體,根據自己的需要對網站進行更改,甚至完全關閉。這對您和您的使用者都是有害的,如果您正在開展業務,則可能意味著客戶和收入的損失。
我們應該採取一些步驟來保護WordPress網站,有許多簡單,快速的方法可以提高站點的安全性,也可以採用的一些更復雜的技術。

有效保護WordPress網站的10種方法

下面我們將介紹10種策略,以幫助您提升網站安全性並減少遭受破壞的機會。另外,也會為您指出正確的方向,以開始使用每種技術。您不必實施此列表中的所有建議-但為保護站點而採取的步驟越多,遇到災難的機會就越小。

1.使用優質主機

您可以將您的虛擬主機視為網站在Internet上的街道-這是您的網站“生存”的地方。
就像一個好的學區對您孩子的未來很重要,您網站的基礎質量在很多方面都非常重要。
可靠的託管服務提供商會影響您網站的效能,可靠性,可擴充套件性,甚至在搜尋引擎中的排名。最好的主機提供許多有用的功能,出色的支援以及針對您所選平臺的量身定製的服務。
虛擬主機也可能對您網站的安全性產生重大影響。選擇可靠的託管服務有很多安全好處,包括:

  • 優質的主機將不斷更新其服務,軟體和工具,以響應最新的威脅並消除潛在的安全漏洞。
  • Web主機通常提供各種針對性的安全功能,例如SSL / TLS證書和DDoS保護。您還應該訪問Web應用程式防火牆(WAF),這將有助於監視和阻止對您的站點的嚴重威脅。
  • 您的虛擬主機很可能會提供一種備份網站的方法(在某些情況下,甚至是為您執行),因此,如果您遭到黑客攻擊,則可以輕鬆地恢復到穩定的先前版本。
  • 如果您的主機提供可靠的24/7全天候支援,則在遇到安全相關問題時,總會有人為您提供幫助。

此列表應該為您為新站點尋找主機時提供一個良好的起點,即使您正在考慮更改主機。您將要找到一個可以提供所需所有功能的應用程式,並在可靠性和出色的效能方面享有盛譽。
國外的Linode或者Vultr也是我們強烈推薦的伺服器託管商;國內我們則首推阿里雲、騰訊雲等國內頂級雲伺服器託管商。

2.將站點切換到HTTPS

我們應該將站點切換到安全的超文字傳輸​​協議(HTTPS),這是HTTP的更安全的版本。這些是重要的安全概念,需要理解,但即使您以前從未聽說過,也很容易掌握。HTTP是在您的網站和任何嘗試訪問它的瀏覽器之間傳輸資料的協議。當訪問者單擊您的主頁時,您的所有內容,媒體和網站程式碼都會通過此協議傳送到訪問者的位置。
當然這是必要的,但確實會引入一些潛在的安全問題。惡意人員可能會嘗試在傳輸過程中攔截資料,並將其用於自己的惡意目的。HTTPS解決了這個問題!它的作用與HTTP相同,但是它還在從一個點到另一個點的傳輸過程中對站點的資料進行加密,因此無法輕鬆訪問它。
最初,HTTPS主要用於處理敏感客戶資訊(例如信用卡詳細資訊)的站點。但是,它在所有站點上都變得越來越普遍,並且諸如WordPress和Google之類的大人物一直在推動其廣泛實施
要將網站切換到HTTPS,首先需要SSL/TLS證書。這會向瀏覽器傳達您的網站是合法的,並且其資料已正確加密。您還可以從某些網站(例如Let’s Encrypt)免費獲得一個。
參考閱讀:免費SSL證書申請及配置教學

3.建立安全登入憑證

WordPress登入視窗
這是一個“不設防,Sherlock”的建議,但夥計們, 仔細選擇您的登入憑據非常重要。喜歡真的,真的很重要!
為什麼?這使得黑客很難進入您的站點。您可能有豐富的經驗,為網路上的其他帳戶選擇強大的使用者名稱和密碼-對WordPress網站進行相同的操作很重要。
建立網站時,您可以自主建立登入使用者名稱和密碼。使用者名稱將預設為admin,儘管您可以更改(如果需要),也可以更改。但是由於人們可以通過多種方式來了解您的WordPress使用者名稱,因此如果需要,可以堅持使用預設選項。
但是,您的密碼至關重要,並且您需要選擇一個安全的密碼。最近,在如何選擇強密碼方面出現了一些轉變,建議使用一個簡單的四字片語,勝過由隨機字母,數字和符號組成的經典組合。這種方法已經在某些圈子中流行了一段時間
如果所有選擇密碼的話題您都不感興趣,則建議您使用WordPress自帶的密碼生成器,因為它會直接在WordPress後端直接生成一個相當複雜的密碼(我表示難以接受)。如此複雜的密碼,你應該確保將您的憑據記錄存放在安全的地方(例如加密的密碼管理器),這樣您就不會忘記。
如果您已經建立了站點並最初選擇了不理想的登入憑據,則仍然可以更改它們。您可以通過以下方式更改使用者名稱:建立一個新使用者,為該使用者分配管理員角色,並將所有內容歸於該使用者,然後刪除原始帳戶。
至於密碼,您只需從WordPress管理控制檯轉到“使用者”>“所有使用者”,單擊您的使用者名稱,然後在“編輯使用者”螢幕上輸入新密碼即可

4.啟用Web應用程式防火牆

您可能對防火牆的概念很熟悉,它是一個有助於阻止各種有害攻擊的程式。最有可能的是,您的計算機上裝有某種防火牆。Web應用防火牆(WAF)是專門為網站設計的防火牆。它可以保護伺服器,特定網站或整個網站組。WordPress網站上的WAF將成為您的網站與網路其餘部分之間的障礙。防火牆監視傳入的活動,檢測攻擊,惡意軟體和其他有害事件,並阻止任何它認為有風險的事件。

5.實施二步認證身份驗證

還有另外一種技術解決方案:二步認證身份驗證(也可以通過兩步身份驗證以及各種其他相似的名稱進行)。該術語指的是登入到站點時需要遵循的兩步過程。這將可能導致登入比較麻煩,但是在阻止黑客入侵方面有了多重的保障。二步身份驗證涉及使用智慧手機或其他裝置來驗證您的登入資訊。首先,您將訪問WordPress網站,並照常輸入您的使用者名稱和密碼。然後,唯一的程式碼將傳送到您的移動裝置,您需要提供該程式碼才能完成登入。這使您能夠通過顯示自己有權訪問某些內容(例如特定的手機或平板電腦)來證明自己的身份。
與許多WordPress功能一樣,使用專用外掛可以輕鬆新增二步身份驗證。二步身份驗證是一個不錯的選擇—它由可靠的開發人員建立,與Google Authenticator相容,可讓您輕鬆地將此功能新增到您的網站。
另一個選擇是Two-Factor外掛,該外掛以其可靠性而聞名,主要由核心WordPress開發人員構建。與此類別中的任何外掛,學習曲線有點陡峭,但它非常安全的。如果您願意花錢,也可以檢視Jetpack的Clef-like高階解決方案
無論您選擇哪種路線,請務必與團隊提前計劃(如果相關),因為您需要收集他們的電話號碼和其他資訊才能上手。這樣,您的登入頁面就已安全並可以使用了。

6.留心新增新的外掛和主題(並經常更新)

現成的主題和外掛是使用WordPress最好的東西之一。使用這些方便的工具,可以幫助你快速搭建網站,並新增您可以想到的幾乎所有功能。
但是,並非所有的外掛和主題都是可靠的。
不小心或經驗不足的開發人員可能會建立不可靠或不安全的外掛。他們可能會使用不良的編碼實踐,從而使黑客可以輕易利用或不知不覺地干擾關鍵功能。這一切都意味著您需要非常謹慎地選擇要新增到站點中的主題和外掛。每個人都應該經過審查,以確保它是一個可靠的選擇,不會導致網站或引起問題。有許多要素需要牢記,但是以下建議將幫助您選擇高質量的工具:

  • 檢查使用者的評分和評論,以瞭解其他人是否對相關外掛或主題有很好的體驗。
  • 檢視外掛或主題的最新更新。如果已經超過六個月,那麼它可能就沒有那麼安全了。
  • 一次安裝一個新的外掛和主題,因此,如果出現任何問題,您將知道原因所在。另外,在新增任何內容之前,請務必備份您的網站。
  • 從值得信賴的資源中獲取外掛和主題,例如WordPress.org主題和外掛市場ThemeForestCodeCanyon以及可靠的開發人員網站。

最後,將所需的外掛和主題安裝到網站後,你的工作應該持續進行。
您還需要保證主題和外掛為最新版本,以確保它們協同工作並確保免受最新威脅的侵害。您需要轉到WordPress儀表板,查詢紅色通知,這些是可用更新的主題和/或外掛,然後單擊每個更新旁邊的立即更新。
WordPress外掛更新
您還可以通過選擇所有外掛,然後單擊此處或WordPress面板中的更新按鈕,來批量更新外掛。這是一個更快的選擇,但是請記住,一次更新所有這些可能導致診斷由於更新而引起的問題變得更加困難。但是,如果選擇可靠的外掛和主題,那麼這應該不是問題。
在繼續之前,值得一提的是,您還應該保持更新WordPress至最新版本。較小的補丁程式和安全更新將自動新增,但是您可能需要執行核心版本更新。
注:不要因為WordPress或主題和外掛未及時更新而承擔風險。

7.配置檔案許可權

這個話題稍微有點技術效能。
WordPress網站上的許多資訊,資料和內容都儲存在一系列資料夾和檔案中。它們被組織成一個層次結構,並且每一個都被賦予一個許可權級別。WordPress檔案或資料夾上的許可權決定了誰可以檢視和編輯它,並且可以設定為允許任何人訪問,只能您訪問,或者訪問兩者之間的任何內容。檔案許可權由WordPress中的三位數字表示,每位數字都有其含義。第一個數字代表單個使用者(網站的所有者),第二個數字代表組的使用者(例如,您網站的成員),第三個數字代表世界上的每個人。數字本身表示使用者,組或世界:

  • 0:無法訪問該檔案。
  • 1:只能執行檔案。
  • 2:可以編輯檔案。
  • 3:可以編輯和執行檔案。
  • 4:可以讀取檔案。
  • 5:可以讀取並執行檔案。
  • 6:可以讀取和編輯檔案。
  • 7:可以讀取,編輯和執行檔案。

因此,例如,如果檔案的許可權級別為640,則意味著主要使用者可以讀取和編輯檔案,組使用者可以讀取檔案但不能編輯檔案,並且其他所有人都無法訪問它。這看似過於複雜,但重要的是要確保每個人僅具有您希望他們擁有的站點檔案和資料夾的訪問級別。
WordPress建議將資料夾的許可權級別設定為755,將檔案的許可權級別設定為644。儘管可以設定任意組合,但您還是可以放心地遵循這些準則。請記住,最好不要給任何人超出他們絕對需要的訪問許可權,尤其是對核心檔案。
您還需要記住,理想的許可權設定將在某種程度上取決於您的託管服務。
注意:在更改許可權級別時,您應該非常小心-選擇錯誤的值(如777)會使您的網站無法訪問。

8.是非必要,否則越少的網站管理員

如果只是你在運作WordPress網站,則無需擔心此步驟。只是不要在您的網站上給其他人任何帳戶,您將是唯一可以進行更改的人。
我將此策略稱為“與我同在,我一個人”。
但是,許多人像其他人一樣,並最終在其網站上新增了不止一個後臺賬號。您可能希望讓其他作者提供內容,或者可能需要其他人來幫助編輯該內容並管理您的網站。您甚至有可能會與整個使用者團隊接觸,他們會定期訪問您的WordPress網站並進行自己的更改。這在很多方面都是有益的,有時甚至是必要的。但是,這也是潛在的安全風險。
進入網站後臺的人數越多,出現問題的機會就越大。因此,在不影響網站增長能力的情況下,儘可能減少網站後臺使用者數量是明智。特別是,請嘗試限制具有高特權的管理員和其他使用者角色的數量。
這裡還有一些建議:

  • 將每個使用者限制為僅具有執行其工作所需的許可權。
  • 鼓勵使用者使用強密碼。
  • 如果可能的話,請嘗試與一個管理員和一小組編輯者保持一致。
  • 為離開站點或不再需要引導的使用者提供許可權。
  • 考慮下載一個外掛,例如Members,它為WordPress的角色和功能系統提供了一個使用者介面。

9.跟蹤管理後臺活動

如果您有多個後臺使用者,則最好跟蹤他們在網站上的所有活動。WordPress管理後臺跟蹤活動將幫助您發現其他使用者何時在做他們不應該做的事情,並可以指示未經授權的使用者是否獲得了訪問許可權。
進行了異常的更改或安裝了可疑檔案後,您將希望能夠找出活動背後的人。
大多數安全性外掛都不提供開箱即用的功能,因此您將需要找到專用的解決方案。如果您想採用一種放任自流的方法,則“簡單歷史記錄”將通過建立簡化的,易於理解的日誌來記錄您站點上的重要更改和事件。
要獲得更多涉及的跟蹤功能,您還可以檢視WP安全稽覈日誌,該日誌可以密切關注您網站上發生的所有事情,並提供許多有用的高階元件
WordPress後臺日誌
一旦安裝了合適的外掛,明智的做法是定期檢查日誌中是否有異常情況。如果您的網站上發生了意料之外的事情,或者突然彈出了錯誤,請檢視最近的活動。

10.定期備份網站

如果我說有一個解決方案可以保護您的網站免受所有威脅,那絕對是不值得信任的。即使您實施了上述列表中的所有建議,您的站點仍然可能遇到安全漏洞。
您只需要在黑客的遊戲中擊敗他們即可。全面的安全計劃意味著即使在您嘗試確保永遠不會發生的最壞情況下,也要做好準備。定期備份站點是在發生災難時對其進行保護的最簡單,最好的方法。如果您有最新的備份,可以將網站恢復為遭到黑客入侵或其他方式受到破壞之前的狀態。這將幫助您儘快解決問題。
當然,您將希望對建立和使用備份的方式保持精明。你可以根據以下提示執行:

  • 保留多個備份。一條好的經驗法則是,隨時都應至少保留三個最新備份,因為您最近的備份未必是安全的。
  • 將備份儲存在多個外部位置,例如雲端儲存和本地電腦。
  • 設定並遵守一致的備份計劃。頻率和時間取決於您,儘管您可以遵循很多可靠的建議

除了常規的備份計劃外,在對站點進行任何更改之前建立站點的額外備份總是很明智的。因此,在實施任何這些提高安全性的技術之前,請確保您準備好要進行的最新備份。

小結

真實事實:如果您的網站被黑,您將花費數小時(甚至數天!)來修復損壞。您可能會永久丟失資料,或者看到您的個人資訊遭到破壞,甚至更糟的是,客戶的資料也會受到損害。
這就是為什麼您必須花費大量時間和精力來確保這種情況永遠不會發生的原因。否則,您在嘗試修復損壞時可能會失去寶貴的業務和收入。
這10個WordPress安全提示應該會有所幫助。有些是簡單的調整。其他影響您的整個站點,例如切換到HTTPS或新增SSL證書。當然,您還需要確保您的網站在安全的WordPress主機上執行。

WordPress安全 網站安全
評論收藏微海報
分享
分享到

相關文章

評論留言

馬上學習

文章目录

  • 保護WordPress網站至關重要
  • 有效保護WordPress網站的10種方法
  • 1.使用優質主機
  • 2.將站點切換到HTTPS
  • 3.建立安全登入憑證
  • 4.啟用Web應用程式防火牆
  • 5.實施二步認證身份驗證
  • 6.留心新增新的外掛和主題(並經常更新)
  • 7.配置檔案許可權
  • 8.是非必要,否則越少的網站管理員
  • 9.跟蹤管理後臺活動
  • 10.定期備份網站
  • 小結