最后更新時(shí)間為 2024年9月15日
WordPress 網(wǎng)站安全性對(duì)于每個(gè)網(wǎng)站所有者來說都是一個(gè)非常重要的話題。
如果您對(duì)自己的網(wǎng)站非常重視,那么您需要注意 WordPress 安全防護(hù)。否則,您可能會(huì)成為 Google 每天列入惡意軟件和網(wǎng)絡(luò)釣魚黑名單的 10,000 多個(gè)網(wǎng)站之一。
在本指南中,我們將分享我們最重要的 WordPress 安全提示,以幫助您保護(hù)您的網(wǎng)站免受黑客和惡意軟件的攻擊。
雖然 WordPress 核心軟件非常安全并由數(shù)百名開發(fā)人員定期審核,但仍有很多工作要做才能保證您的網(wǎng)站安全。
在 小獸WordPress,我們認(rèn)為安全不僅僅是消除風(fēng)險(xiǎn),它還涉及降低風(fēng)險(xiǎn)。作為網(wǎng)站所有者,即使您不懂技術(shù),也可以做很多事情來提高 WordPress 的安全性。
在本文中,我們整理了一系列可采取的步驟來保護(hù)您的網(wǎng)站免受安全漏洞的侵害。
為了方便起見,我們創(chuàng)建了一個(gè)目錄來幫助您輕松瀏覽我們的終極 WordPress 安全指南。
WordPress 安全基礎(chǔ)知識(shí)
為什么網(wǎng)站安全很重要
被黑客入侵的WordPress 網(wǎng)站可能會(huì)嚴(yán)重?fù)p害您企業(yè)的收入和聲譽(yù)。黑客可以竊取用戶信息和密碼、安裝惡意軟件,甚至向您的用戶分發(fā)惡意軟件。
最糟糕的是,您可能會(huì)發(fā)現(xiàn)自己向黑客支付勒索軟件只是為了重新獲得對(duì)您網(wǎng)站的訪問權(quán)限。
每天,谷歌都會(huì)向 1200 萬至 1400 萬用戶發(fā)出警告,他們?cè)噲D訪問的網(wǎng)站可能包含惡意軟件或竊取信息。
此外,Google 每天還會(huì)將大約 10,000 多個(gè)網(wǎng)站列入惡意軟件或網(wǎng)絡(luò)釣魚黑名單。
正如擁有實(shí)體店的企業(yè)主有責(zé)任保護(hù)自己的財(cái)產(chǎn)一樣,在線企業(yè)主也需要格外注意他們的 WordPress 安全。
保持 WordPress 更新
WordPress 是開源軟件,會(huì)定期維護(hù)和更新。默認(rèn)情況下,WordPress 會(huì)自動(dòng)安裝小更新。
對(duì)于主要版本,您需要手動(dòng)啟動(dòng)更新。
WordPress 還附帶了數(shù)千個(gè)插件和主題,您可以將其安裝在您的網(wǎng)站上。這些插件和主題由第三方開發(fā)人員維護(hù),他們也會(huì)定期發(fā)布更新。
這些 WordPress 更新對(duì)于 WordPress 網(wǎng)站的安全性和穩(wěn)定性至關(guān)重要。您需要確保您的 WordPress核心、插件和主題都是最新的。
使用強(qiáng)密碼和用戶權(quán)限
最常見的 WordPress 黑客攻擊是使用被盜密碼。您可以使用網(wǎng)站獨(dú)有的更強(qiáng)密碼來降低這種攻擊難度。
我們談?wù)摰牟粌H僅是 WordPress 管理區(qū)域。請(qǐng)記住為您的 FTP 帳戶、數(shù)據(jù)庫、WordPress 托管帳戶和使用您網(wǎng)站域名的自定義電子郵件地址創(chuàng)建強(qiáng)密碼。
許多初學(xué)者不喜歡使用強(qiáng)密碼,因?yàn)檫@些密碼很難記住。好消息是,您不再需要記住密碼,因?yàn)槟梢允褂妹艽a管理器。
請(qǐng)參閱有關(guān)如何管理 WordPress 密碼的指南以獲取更多信息。
降低風(fēng)險(xiǎn)的另一種方法是,除非絕對(duì)必要,否則不要讓任何人訪問您的 WordPress 管理員帳戶。
如果您擁有一個(gè)大型團(tuán)隊(duì)或客座作者,那么在向您的 WordPress 網(wǎng)站添加新用戶帳戶和作者之前,請(qǐng)確保您了解WordPress 中的用戶角色和功能。
了解 WordPress 服務(wù)器的作用
您的WordPress 服務(wù)器服務(wù)在 WordPress 網(wǎng)站的安全性中起著最重要的作用。像阿里云、谷歌云或SiteGround這樣的優(yōu)質(zhì)共享托管服務(wù)提供商會(huì)采取額外措施來保護(hù)其服務(wù)器免受常見威脅。
以下僅列舉了優(yōu)秀網(wǎng)絡(luò)托管公司在后臺(tái)保護(hù)您的網(wǎng)站和數(shù)據(jù)的幾種方法:
他們持續(xù)監(jiān)控網(wǎng)絡(luò)以發(fā)現(xiàn)可疑活動(dòng)。
所有好的托管公司都配有工具來防止大規(guī)模DDoS 攻擊。
他們保持服務(wù)器軟件、PHP 版本和硬件保持更新,以防止黑客利用舊版本中已知的安全漏洞。
他們有隨時(shí)可部署的災(zāi)難恢復(fù)和事故計(jì)劃,以便在發(fā)生重大事故時(shí)保護(hù)您的數(shù)據(jù)。
在共享托管計(jì)劃中,您與許多其他客戶共享服務(wù)器資源。存在跨站點(diǎn)污染的風(fēng)險(xiǎn),黑客可以使用鄰近站點(diǎn)攻擊您的網(wǎng)站。
相比之下,使用托管 WordPress 托管服務(wù)可以為您的網(wǎng)站提供更安全的平臺(tái)。托管 WordPress 托管公司提供自動(dòng)備份、自動(dòng) WordPress 更新和更高級(jí)的安全配置來保護(hù)您的網(wǎng)站
只需幾個(gè)簡單步驟即可實(shí)現(xiàn) WordPress 安全(無需編碼)
我們知道,提高 WordPress 安全性對(duì)于初學(xué)者來說可能是一件可怕的事情,尤其是如果您不懂技術(shù)的話。猜猜看 – 您并不孤單。
我們已經(jīng)幫助數(shù)千名 WordPress 用戶加強(qiáng)了他們的 WordPress 安全性。
我們將向您展示如何只需幾次單擊(無需編碼)即可提高 WordPress 的安全性。
如果您可以點(diǎn)擊,您就可以做到這一點(diǎn)!
1. 安裝 WordPress 備份解決方案
備份是抵御任何 WordPress 攻擊的第一道防線。請(qǐng)記住,沒有什么是 100% 安全的。如果政府網(wǎng)站可能被黑客入侵,那么您的網(wǎng)站也可能被黑客入侵。
如果發(fā)生不好的事情,備份可以讓您快速恢復(fù)您的 WordPress 網(wǎng)站。
您可以使用許多免費(fèi)和付費(fèi)的WordPress 備份插件。關(guān)于備份,您需要知道的最重要的事情是,您必須定期將完整站點(diǎn)備份保存到遠(yuǎn)程位置(而不是您的托管帳戶)。
我們建議將其存儲(chǔ)在 Amazon、Dropbox 等云服務(wù)或 Stash 等私有云上。
根據(jù)您更新網(wǎng)站的頻率,理想的設(shè)置可能是每天一次或?qū)崟r(shí)備份。
幸運(yùn)的是,這可以通過使用Duplicator、UpdraftPlus或BlogVault等插件輕松實(shí)現(xiàn)。它們都很可靠,最重要的是易于使用(無需編碼)。
有關(guān)更多詳細(xì)信息,請(qǐng)參閱有關(guān)如何備份您的 WordPress 網(wǎng)站的指南。
安裝信譽(yù)良好的 WordPress 安全插件
備份后,我們需要做的下一件事是建立一個(gè)審計(jì)和監(jiān)控系統(tǒng),跟蹤您網(wǎng)站上發(fā)生的所有事情。
這包括文件完整性監(jiān)控、登錄嘗試失敗、惡意軟件掃描等。
值得慶幸的是,您可以通過安裝最好的 WordPress 安全插件之一(例如 Wordfence Security)輕松解決此問題。
Wordfence是一個(gè) WordPress 安全插件,可幫助您保護(hù)您的網(wǎng)站免受黑客、惡意軟件、DDOS 和暴力攻擊等安全威脅。
它配備了網(wǎng)站應(yīng)用程序防火墻,可以過濾進(jìn)入您網(wǎng)站的所有流量并阻止可疑請(qǐng)求。
它有一個(gè)惡意軟件掃描程序,可以掃描您的所有 WordPress 核心文件、主題、插件和上傳文件夾以查找更改和可疑代碼。這可以幫助您清理被黑的 WordPress 網(wǎng)站。
基本的 Wordfence 插件是免費(fèi)的,但它還附帶一個(gè)高級(jí)版本,讓您可以訪問更高級(jí)的功能,例如國家/地區(qū)阻止、實(shí)時(shí)更新的防火墻規(guī)則、計(jì)劃掃描等。
話雖如此,讓我們看看如何安裝和輕松設(shè)置 Wordfence 以獲得最大的安全性。
啟用 Web 應(yīng)用程序防火墻 (WAF)
保護(hù)您的網(wǎng)站并對(duì) WordPress 安全充滿信心的最簡單方法是使用 Web 應(yīng)用程序防火墻 (WAF)。
網(wǎng)站防火墻會(huì)在惡意流量到達(dá)您的網(wǎng)站之前將其攔截。
DNS級(jí)網(wǎng)站防火墻通過其云代理服務(wù)器路由您的網(wǎng)站流量。這樣它就可以只向您的 Web 服務(wù)器發(fā)送真正的流量。
應(yīng)用程序級(jí)防火墻會(huì)在流量到達(dá)服務(wù)器后但在加載大多數(shù) WordPress 腳本之前對(duì)其進(jìn)行檢查。此方法在減少服務(wù)器負(fù)載方面不如 DNS 級(jí)防火墻有效。
將您的 WordPress 網(wǎng)站遷移到 SSL/HTTPS
SSL(安全套接字層)是一種協(xié)議,用于加密您的網(wǎng)站和用戶瀏覽器之間的數(shù)據(jù)傳輸。這種加密使他人更難嗅探和竊取信息。
一旦啟用 SSL,您的網(wǎng)站地址將使用HTTPS 而不是 HTTP。您還會(huì)在瀏覽器中看到網(wǎng)站地址旁邊有一個(gè)掛鎖或類似的圖標(biāo)標(biāo)志。
SSL 證書通常由證書頒發(fā)機(jī)構(gòu)頒發(fā),價(jià)格每年從 80 美元到數(shù)百美元不等。由于成本增加,過去大多數(shù)網(wǎng)站所有者選擇繼續(xù)使用不安全的協(xié)議。
為了解決這個(gè)問題,一個(gè)名為 Let’s Encrypt 的非營利組織決定向網(wǎng)站所有者提供免費(fèi)的 SSL 證書。他們的項(xiàng)目得到了 Google Chrome、Facebook、Mozilla 等多家公司的支持。
現(xiàn)在,對(duì)所有 WordPress 網(wǎng)站使用 SSL 比以往更加簡單。
DIY 用戶的 WordPress 安全
如果您按照我們到目前為止提到的方法去做,那么您的狀態(tài)就非常好了。
但與往常一樣,您還可以采取更多措施來加強(qiáng) WordPress 的安全性。
請(qǐng)記住,其中一些步驟可能需要編碼知識(shí)。
更改默認(rèn)管理員用戶名
過去,WordPress 管理員的默認(rèn)用戶名是“admin”。由于用戶名占登錄憑據(jù)的一半,這讓黑客更容易進(jìn)行暴力攻擊。
值得慶幸的是,WordPress 已經(jīng)改變了這一點(diǎn),現(xiàn)在要求您在安裝 WordPress時(shí)選擇自定義用戶名。
但是,一些一鍵式 WordPress 安裝程序仍將默認(rèn)管理員用戶名設(shè)置為“admin”。如果您發(fā)現(xiàn)這種情況,那么最好切換您的網(wǎng)絡(luò)托管。
由于 WordPress 默認(rèn)不允許您更改用戶名,因此您可以使用三種方法來更改用戶名。
創(chuàng)建一個(gè)新的管理員用戶名并刪除舊的。
使用用戶名更改器插件
從 phpMyAdmin 更新用戶名
我們?cè)谟嘘P(guān)如何正確更改 WordPress 用戶名的詳細(xì)指南中介紹了所有這三個(gè)內(nèi)容。
注意:需要明確的是,我們討論的是更改名為“admin”的用戶名,而不是管理員用戶角色(有時(shí)也稱為“admin”)。
禁用文件編輯
WordPress 帶有內(nèi)置代碼編輯器,允許您直接從 WordPress 管理區(qū)域編輯主題和插件文件。
如果使用不當(dāng),該功能可能會(huì)帶來安全風(fēng)險(xiǎn),因此我們建議將其關(guān)閉。
您可以通過將以下代碼添加到您的wp-config.php文件或使用WPCode等代碼片段插件(推薦)輕松完成此操作:
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
在某些 WordPress 目錄中禁用 PHP 文件執(zhí)行
加強(qiáng) WordPress 安全性的另一種方法是禁用不需要的目錄中的 PHP 文件執(zhí)行,例如/wp-content/uploads/。
您可以通過打開記事本等文本編輯器并粘貼以下代碼來執(zhí)行此操作:
<Files *.php> deny from all </Files>
接下來,您需要將此文件保存為.htaccess ,并使用FTP 客戶端將其上傳到/wp-content/uploads/您網(wǎng)站上的文件夾。
有關(guān)更詳細(xì)的說明,請(qǐng)參閱有關(guān)如何在某些 WordPress 目錄中禁用 PHP 執(zhí)行的指南。
限制登錄嘗試次數(shù)
默認(rèn)情況下,WordPress 允許用戶隨意嘗試登錄。這會(huì)使您的 WordPress 網(wǎng)站容易受到暴力攻擊。黑客會(huì)嘗試使用不同的組合登錄來破解密碼。
這個(gè)問題可以通過限制用戶登錄失敗次數(shù)來輕松解決。如果您使用前面提到的 Web 應(yīng)用程序防火墻,那么這個(gè)問題會(huì)自動(dòng)解決。
但是,如果您沒有設(shè)置防火墻,那么您可以繼續(xù)執(zhí)行以下步驟。
首先,您需要安裝并激活免費(fèi)的Limit Login Attempts Reloaded插件。有關(guān)更多詳細(xì)信息,請(qǐng)參閱有關(guān)如何安裝 WordPress 插件的分步指南。
激活后,插件將開始限制用戶的登錄嘗試次數(shù)。
默認(rèn)設(shè)置適用于大多數(shù)網(wǎng)站,但是,您可以通過訪問“設(shè)置?限制登錄嘗試次數(shù)”頁面并單擊頂部的“設(shè)置”選項(xiàng)卡來自定義設(shè)置。例如,為了遵守 GDPR 法律,您可以單擊“GDPR 合規(guī)性”復(fù)選框。
添加雙因素身份驗(yàn)證 (2FA)
雙重身份驗(yàn)證方法要求用戶登錄兩個(gè)不同的步驟:
第一步是用戶名和密碼。
第二步要求您使用黑客無法訪問的設(shè)備或應(yīng)用程序(例如您的智能手機(jī))的代碼。
大多數(shù)頂級(jí)在線網(wǎng)站(例如 Google、Facebook 和 Twitter)都允許您為自己的帳戶啟用此功能。您還可以將相同的功能添加到您的 WordPress 網(wǎng)站。
首先,您需要安裝并激活WP 2FA – 雙因素身份驗(yàn)證插件。有關(guān)更多詳細(xì)信息,請(qǐng)參閱有關(guān)如何安裝 WordPress 插件的分步指南。
更改 WordPress 數(shù)據(jù)庫前綴
默認(rèn)情況下,WordPress 使用作為WordPress 數(shù)據(jù)庫wp_中所有表的前綴。
如果您的 WordPress 網(wǎng)站使用默認(rèn)數(shù)據(jù)庫前綴,那么黑客就更容易猜出您的表名。這就是我們建議更改它的原因。
您可以按照我們的分步教程來更改數(shù)據(jù)庫前綴,了解如何更改 WordPress 數(shù)據(jù)庫前綴以提高安全性。
注意:如果操作不當(dāng),更改數(shù)據(jù)庫前綴可能會(huì)破壞您的網(wǎng)站。只有當(dāng)您對(duì)自己的編碼技能感到滿意時(shí)才可以這樣做。
密碼保護(hù) WordPress 管理員和登錄頁面
通常情況下,黑客可以不受任何限制地請(qǐng)求您的 wp-admin 文件夾和登錄頁面。這讓他們可以嘗試黑客技巧或運(yùn)行 DDoS 攻擊。
您可以在服務(wù)器端添加額外的密碼保護(hù),這將有效地阻止這些請(qǐng)求。
禁用目錄索引和瀏覽
當(dāng)您在 Web 瀏覽器中輸入某個(gè)網(wǎng)站文件夾的地址時(shí),index.html如果該網(wǎng)頁存在,則將顯示該網(wǎng)頁。如果不存在,則將顯示該文件夾中的文件列表。這稱為目錄瀏覽。
黑客可以利用目錄瀏覽來查明您是否擁有任何具有已知漏洞的文件,以便他們可以利用這些文件來獲取訪問權(quán)限。
目錄瀏覽功能還可能被其他人用來查看您的文件、復(fù)制圖片、找出您的目錄結(jié)構(gòu)和其他信息。因此,我們強(qiáng)烈建議您關(guān)閉目錄索引和瀏覽功能。
您需要使用 FTP 或托管服務(wù)提供商的文件管理器連接到您的網(wǎng)站。接下來,.htaccess在您網(wǎng)站的根目錄中找到該文件。如果您在那里看不到它,請(qǐng)參閱我們的指南,了解為什么您在 WordPress 中看不到 .htaccess 文件。
之后,您需要在.htaccess 文件末尾添加以下行:
Options -Indexes
不要忘記保存并將 .htaccess 文件上傳回您的網(wǎng)站。
在 WordPress 中禁用 XML-RPC
XML-RPC 是 WordPress 的核心 API,可幫助您將 WordPress 網(wǎng)站與 Web 和移動(dòng)應(yīng)用程序連接起來。自 WordPress 3.5 起,它已默認(rèn)啟用。
然而,由于其強(qiáng)大的特性,XML-RPC 可以顯著放大暴力攻擊。
例如,如果黑客通常想在你的網(wǎng)站上嘗試 500 個(gè)不同的密碼,那么他們就必須進(jìn)行 500 次單獨(dú)的登錄嘗試。Limit Login Attempts Reloaded 插件可以捕獲并阻止這種情況。
但是使用 XML-RPC,黑客可以使用該system.multicall函數(shù)通過 20 或 50 個(gè)請(qǐng)求嘗試數(shù)千個(gè)密碼。
這就是為什么如果您不使用 XML-RPC,我們建議您禁用它。
提示: .htaccess 方法是最好的方法,因?yàn)樗加玫馁Y源最少。其他方法對(duì)初學(xué)者來說更簡單。
或者,如果您使用我們前面提到的 Web 應(yīng)用程序防火墻 (WAF),則會(huì)自動(dòng)處理此問題。
在 WordPress 中自動(dòng)注銷空閑用戶
登錄的用戶有時(shí)會(huì)離開屏幕,這會(huì)帶來安全風(fēng)險(xiǎn)。有人可能會(huì)劫持他們的會(huì)話、更改密碼或更改他們的帳戶。
這就是許多銀行和金融網(wǎng)站自動(dòng)注銷不活躍用戶的原因。您也可以在 WordPress 網(wǎng)站上設(shè)置類似的功能。
您需要安裝并激活“非活動(dòng)注銷”插件。激活后,請(qǐng)?jiān)L問“設(shè)置”?“非活動(dòng)注銷”頁面以自定義注銷設(shè)置。
只需設(shè)置時(shí)間長度并添加注銷消息即可。然后,不要忘記點(diǎn)擊頁面底部的“保存更改”按鈕來保存您的設(shè)置。
將安全問題添加到 WordPress 登錄屏幕
在 WordPress 登錄屏幕添加安全問題可以使他人更難以獲得未經(jīng)授權(quán)的訪問。
您可以通過安裝雙因素身份驗(yàn)證插件來添加安全問題。激活后,您需要訪問多因素身份驗(yàn)證?雙因素頁面來配置插件的設(shè)置。
這將允許您向您的網(wǎng)站添加各種類型的雙因素身份驗(yàn)證,包括安全問題。
掃描 WordPress 中的惡意軟件和漏洞
如果您安裝了WordPress 安全插件,那么它會(huì)定期檢查惡意軟件和安全漏洞的跡象。
但是,如果您發(fā)現(xiàn)網(wǎng)站流量或搜索排名突然下降,則可能需要手動(dòng)掃描惡意軟件。您可以使用 WordPress 安全插件或最好的惡意軟件和安全掃描程序之一來執(zhí)行此操作。
運(yùn)行這些在線掃描非常簡單。您只需輸入您的網(wǎng)站網(wǎng)址,他們的爬蟲就會(huì)瀏覽您的網(wǎng)站以查找已知的惡意軟件和惡意代碼。
現(xiàn)在,請(qǐng)記住,大多數(shù) WordPress 安全掃描程序只能在您的網(wǎng)站包含惡意軟件時(shí)向您發(fā)出警告。它們無法刪除惡意軟件或清理被黑的 WordPress 網(wǎng)站。
這將帶我們進(jìn)入下一部分,清理惡意軟件和被黑的 WordPress 網(wǎng)站。
修復(fù)被黑的WordPress網(wǎng)站
許多 WordPress 用戶直到他們的網(wǎng)站被黑客入侵后才意識(shí)到備份和網(wǎng)站安全的重要性。
黑客在受影響的網(wǎng)站上安裝后門,如果這些后門沒有得到正確修復(fù),那么您的網(wǎng)站很可能會(huì)再次遭到黑客攻擊。
對(duì)于喜歡冒險(xiǎn)和 DIY 的用戶,我們編制了有關(guān)修復(fù)被黑的 WordPress 網(wǎng)站的分步指南。
然而,清理 WordPress 網(wǎng)站可能非常困難且耗時(shí)。我們的建議是讓專業(yè)人士來處理。
額外提示:聘請(qǐng) WordPress 維護(hù)服務(wù)
作為一名忙碌的小企業(yè)主,您可能沒有時(shí)間監(jiān)控網(wǎng)站安全并保護(hù)其免受漏洞攻擊。因此,為了減輕您的負(fù)擔(dān),您可以聘請(qǐng) WordPress 維護(hù)服務(wù)進(jìn)行 24/7 安全監(jiān)控。
小獸WordPress 以實(shí)惠的價(jià)格提供全面的WordPress 網(wǎng)站維護(hù)。它包括安全監(jiān)控、常規(guī)云備份、WordPress 更新、正常運(yùn)行時(shí)間監(jiān)控等。
只需選擇適合您需求的每月維護(hù)服務(wù)包,您將獲得更安全的 WordPress 網(wǎng)站和額外的空閑時(shí)間來處理業(yè)務(wù)的其他方面。
總結(jié)
我們希望本文能幫助您了解 WordPress 安全性的最佳實(shí)踐,并發(fā)現(xiàn)適合您網(wǎng)站的頂級(jí) WordPress 安全插件。
獲得更多外貿(mào)訂單