![图片[1]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/fb7c065def160915.png)
关于安全说明:
WordPress是最受欢迎的内容管理系统(CMS),43.2%的网站在其软件上运行。不幸的是,它的受欢迎程度吸引了各种利用该平台安全漏洞的网络犯罪分子。
这并不意味着WordPress有一个糟糕的安全系统——由于用户缺乏安全意识,也可能发生安全漏洞。因此,最好在您的网站成为黑客目标之前采取预防性安全措施。
基于WPSscan漏洞数据库,这些是一些最常见的WordPress安全漏洞类型:
- 跨站点请求伪造 (CSRF) – 强制用户在受信任的 Web 应用程序中执行不需要的操作。
- 分布式拒绝服务 (DDoS) 攻击 – 通过用不需要的连接淹没在线服务来使在线服务丧失能力,从而使站点无法访问。
- 身份验证绕过 – 让黑客在不验证其真实性的情况下访问您网站的资源。
- SQL 注入 (SQLi) – 强制系统执行恶意 SQL 查询并操作数据库中的数据。
- 跨站点脚本 (XSS) – 注入恶意代码,将站点变成恶意软件的传输者。
- 本地文件包含 (LFI) – 强制站点处理放置在 Web 服务器上的恶意文件。
如何保护您的WordPress?
1. 使您的网站保持最新状态。
2. 使用安全的 wp 管理员登录凭据。
3. 为管理页面设置安全列表和阻止列表。
4. 使用受信任的 WordPress 主题。
5. 安装 SSL 证书以实现安全的数据传输。
6. 删除未使用的WordPress主题和插件。
7. 启用双因素身份验证。
8. 定期创建备份。
9. 限制失败的登录尝试次数。
10. 更改您的 WordPress 登录页面网址。
11. 自动注销空闲用户。
12. 监控用户活动。
13. 定期扫描您的网站以查找恶意软件。
14. 禁用 PHP 错误报告功能。
15. 迁移到更安全的 Web 主机。
16. 禁用文件编辑。
17. 使用 .htaccess 禁用 PHP 文件执行并保护 wp-config.php 文件。
18. 更改默认的 WordPress 数据库前缀。
19. 禁用 XML-RPC 功能。
20.隐藏您的WordPress版本。
21. 阻止来自其他网站的热链接。
22. 管理文件和文件夹权限。
提高你的网站安全性
1.定期更新WordPress版本:
WordPress会定期发布软件更新,以提高性能和安全性。这些更新还可以保护您的网站免受网络威胁。
更新WordPress版本是提高WordPress安全性的最简单方法之一。然而,近50%的WordPress网站运行在较旧的WordPress版本上,使它们更容易受到攻击。
要检查您是否拥有最新的WordPress版本,请登录WordPress管理区域并导航到左侧菜单面板上的仪表板→更新。如果它显示您的版本不是最新的,我们建议您尽快更新它。
![图片[2]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/74c499ae23161405.png)
密切关注未来的更新发布日期,以确保您的网站不会运行过时的WordPress版本。
我们还建议更新安装在WordPress网站上的主题和插件。过时的主题和插件可能会与新更新的 WordPress 核心软件冲突,从而导致错误并容易受到安全威胁。
请按照以下步骤摆脱过时的主题和插件:
- 导航到您的WordPress管理面板,然后转到仪表板→更新。
- 向下滚动到插件和主题部分,然后检查准备更新的主题和插件列表。请注意,它们可以一次更新,也可以单独更新。
- 单击更新插件。
![图片[3]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/b9f1c1a3a3161517.png)
2.使用安全的WP管理员登录凭据
用户最常犯的错误之一是使用易于猜测的用户名,例如“管理员”、“管理员”或“测试”。这使您的网站面临更高的暴力攻击风险。此外,攻击者还使用这种类型的攻击来针对没有强密码的WordPress网站。
因此,我们建议您的用户名和密码独一无二且更复杂。
或者,请按照以下步骤使用新用户名创建新的WordPress管理员帐户:
- 从您的WordPress仪表板中,导航到“用户”→“添加新”。
- 创建新用户并为其分配管理员角色。添加密码并点击 添加新用户 完成后按钮。
将数字、符号以及大写和小写字母合并到密码中。我们还建议使用超过 12 个字符,因为较长的密码更难破解。
温馨提示:
可在创建WordPress网站中,可在运行前创建管理员信息的时候填写其他的名字。
创建新的WordPress管理员用户名后,您需要删除旧的管理员用户名。以下是执行此操作的步骤:
- 使用您新创建的WordPress用户凭据登录。
- 导航到“用户”→“所有用户”。
- 选择要删除的旧管理员帐户。将批量操作下拉菜单更改为删除,然后单击应用。
为了确保您的网站安全,在登录前检查网络也很重要。如果您在不知不觉中连接到由黑客运营的网络热点,则可能会将登录凭据泄露给运营商。
即使是公共网络,如学校图书馆的WiFi,也可能不像看起来那么安全。黑客可以拦截您的连接并窃取未加密的数据,包括登录凭据。
3. 为管理页面设置安全列表和阻止列表
启用 URL 锁定可保护您的登录页面免受未经授权的 IP 地址和暴力攻击。为此,您需要Web应用程序防火墙(WAF)服务,例如Cloudflare或Sucuri。
使用 Cloudflare,可以配置区域锁定规则。它指定要锁定的 URL 以及允许访问这些 URL 的 IP 范围。指定 IP 范围之外的任何人都无法访问它们。
Sucuri 有一个类似的功能,称为 URL 路径黑名单。首先,将登录页面 URL 添加到阻止列表,以便没有人可以访问它。然后,您将授权的 IP 地址列入安全列表以访问登录页面。
或者,通过配置站点的 .htaccess 文件来限制对登录页面的访问。导航到根目录以访问该文件。
温馨提示:
重要!在进行任何更改之前,我们强烈建议您备份旧的 .htaccess 文件。如果出现任何问题,您将能够轻松恢复您的网站。
![图片[4]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/75ad6e1d88232424.png)
即使您没有静态 IP,此规则也适用,因为您可以将登录限制在 ISP 公共范围内。
您还可以使用此规则来限制其他经过身份验证的 URL,例如 /wp-admin。
4. 使用受信任的 WordPress 主题
第三方破解 WordPress 主题是原始高级主题的未授权版本。在大多数情况下,这些主题以较低的价格出售以吸引用户。但是,它们通常存在许多安全问题。
通常,第三方破解主题提供商是黑客,他们入侵了原始高级主题并插入了恶意代码,包括恶意软件和垃圾邮件链接。此外,这些主题可能是其他漏洞的后门,这些漏洞可能会危及您的 WordPress 网站。
由于第三方破解主题是非法分发的,因此其用户不会从开发人员那里获得任何支持。这意味着,如果您的网站有任何问题,您必须弄清楚如何解决这些问题并自己保护您的 WordPress 网站。
为避免成为黑客目标,我们建议从其官方存储库或受信任的开发人员中选择 WordPress 主题。或者,在官方主题市场(例如 主题森林)中查看第三方主题,那里有数千个高级主题可用。
5. 安装 SSL 证书
安全套接字层(SSL)是一种数据传输协议,它加密网站与其访问者之间交换的数据,使攻击者更难窃取重要信息。
此外,SSL证书还促进了WordPress网站的搜索引擎优化(SEO),帮助它获得更多访问者。
安装了SSL证书的网站将使用HTTPS而不是HTTP,因此很容易识别它们。
大多数托管公司在其计划中都包含SSL。例如,Hostinger在其所有托管计划中提供免费的Let’s Encrypt SSL证书。
在您的主机帐户上安装 SSL 证书后,请在您的 WordPress 网站上激活它。
像这样的插件 真正简单的SSL或SSL不安全的内容修复程序 只需点击几下即可处理技术方面和SSL激活。真正简单的SSL的高级版本可以启用HTTP严格传输安全标头,在访问站点时强制使用HTTPS。
完成后,将您网站的网址从 HTTP 更改为 HTTPS。为此,请导航到“常规设置”→并找到“站点地址 (URL)”字段以更改其 URL。
![图片[5]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/b4b4294b70232916.png)
6.删除未使用的WordPress插件和主题
将未使用的插件和主题保留在网站上可能是有害的,尤其是在插件和主题尚未更新的情况下。过时的插件和主题会增加网络攻击的风险,因为黑客可以使用它们来访问您的网站。
请按照以下步骤删除未使用的WordPress插件:
- 导航到插件→已安装的插件。
- 您将看到所有已安装插件的列表。单击插件名称下的删除。
![图片[6]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/f3dbd81c63233018-1024x190.png)
请注意,删除按钮仅在停用插件后可用。
同时,以下是删除未使用主题的步骤:
- 从您的WordPress管理仪表板中,转到外观→主题。
- 单击要删除的主题。
- 将出现一个弹出窗口,显示主题详细信息。点击 删除 右下角的按钮。
![图片[7]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/9cdc498d33233208-953x1024.png)
如何使用WordPress安全插件
提高WordPress安全性的下一个方法是使用WordPress插件。
这是保护您的网站的便捷方法,但请记住,不要在没有进一步考虑的情况下一次安装所有这些插件,因为太多的插件会减慢您的网站速度。
首先,确定您的需求,为您的网站选择最有效的插件。
1.为WP-Admin启用双因素身份验证
激活双因素身份验证(2FA)以加强WordPress网站上的登录过程。这种身份验证方法为登录页面添加了第二层WordPress安全性,因为它要求您输入唯一的代码才能完成登录过程。
该代码仅通过短信或第三方身份验证应用程序提供。
要在WordPress网站上应用2FA,请安装登录安全插件,例如Wordfence Login Security。此外,您需要在手机上安装第三方身份验证应用程序,例如 Google 身份验证器。
安装插件和身份验证应用程序后,请按照以下步骤启用双因素身份验证:
- 转到WordPress管理员上的插件页面。如果您使用的是文字围栏登录安全性,请导航到左侧菜单面板上的“登录安全性”菜单。
- 打开双因素身份验证选项卡。
![图片[8]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/02f65d46e0233355-1024x685.png)
- 使用手机上的应用程序扫描二维码或输入激活密钥。
- 在恢复代码部分下的可用字段中输入手机应用程序生成的代码。
- 单击激活按钮以完成设置。
此外,请下载提供的恢复代码,以防您无法访问包含身份验证应用程序的设备。
2. 定期备份WordPress
定期创建WordPress站点备份是一项重要的缓解任务,因为它将帮助您在发生事件(例如网络攻击或数据中心物理损坏)后恢复站点。备份文件应包括您的整个WordPress安装文件,例如您的数据库和WordPress核心文件。
使用WordPress,可以使用多合一WP迁移等插件完成备份站点。请按照以下步骤使用此插件创建备份文件:
- 安装并激活插件。
- 导航到左侧菜单面板上的多合一WP迁移菜单。
- 选择备份。
- 单击创建备份。
![图片[9]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/81400ba79f233608.png)
- 创建备份后,它将显示在“备份”页面上的列表中。
![图片[10]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/56b86edc4d233637.png)
- 下载备份并将其保存到存储中。为此,请转到多合一WP迁移→导出。
- 单击导出到下拉菜单,选择文件。这将为您的网站生成备份。
![图片[11]-如何提高WordPress安全性:保护您网站的22种方法 第一部分-特资啦!个人资源分享站](https://www.tezilaw.com/wp-content/uploads/2023/07/0e0db076d9233705.png)
- 该过程完成后,单击下载链接并将站点备份保存到指定的安全存储中,最好不要与您的网站位于同一服务器上。这是因为存储在Web服务器上的备份是可公开访问的,因此容易受到网络攻击。
如果发生事故,您可以使用多合一WP迁移的导入工具恢复WordPress网站。
3. 限制登录尝试
WordPress允许其用户在网站上进行无限次的登录尝试。不幸的是,黑客可以使用各种密码组合暴力进入您的WordPress管理区域,直到找到正确的密码。
因此,您应该限制登录尝试以防止对网站的此类攻击。限制失败的尝试还有助于监控您网站上的任何可疑活动。
大多数用户只需要一次尝试或几次失败的尝试,因此您应该怀疑任何达到尝试限制的可疑 IP 地址。
为了提高WordPress的安全性,限制登录尝试的一种方法是使用插件。有许多不错的选择可用,例如:
- 限制重新加载的登录尝试次数 – 配置特定 IP 地址的失败尝试次数,将用户添加到安全列表或完全阻止他们,并通知网站用户剩余的锁定时间。
- 登录工具 – 提供登录安全功能,例如 2FA、reCAPTCHA 和登录质询问题。
- BestWebSoft 限制尝试 – 自动阻止达到登录尝试限制的 IP 地址,并将其添加到拒绝列表中。
实施此WordPress安全措施的风险之一是将合法用户锁定在WordPress管理员之外。但是,您不必担心这一点,因为有很多方法可以恢复锁定的WordPress帐户。
4. 更改 WordPress 登录页面网址
要进一步保护您的网站免受暴力攻击,请考虑更改登录页面的 URL。
所有WordPress网站都有相同的默认登录URL – yourdomain.com/wp-admin。使用默认登录 URL 使黑客可以轻松定位您的登录页面。
WPS隐藏登录和更改wp-admin登录等插件启用自定义登录URL设置。
如果您使用WPS隐藏登录插件,以下是更改WordPress登录页面URL的步骤:
- 在仪表板上,转到“设置”→“WPS 隐藏登录”。
- 使用您的自定义登录 URL 填写登录 URL。
- 点击 保存更改 按钮完成该过程。
5.自动注销空闲用户
许多用户忘记注销网站并让他们的会话保持运行。因此,允许将使用同一设备的其他人访问其用户帐户并可能利用机密数据。这尤其适用于在网吧或公共图书馆使用公共计算机的用户。
因此,将您的WordPress网站配置为自动注销非活动用户至关重要。大多数银行网站使用此技术来防止未经授权的访问者访问其网站,确保其客户的数据安全。
使用像非活动注销这样的WordPress安全插件是自动注销空闲用户帐户的最简单方法之一。除了终止空闲用户外,此插件还可以发送自定义消息以提醒空闲用户他们的网站会话将很快结束。
6. 监控用户活动
通过跟踪管理区域中的活动,识别任何使您的网站处于危险之中的不需要或恶意操作。
我们建议那些有多个用户或作者访问其WordPress网站的人使用此方法。这是因为用户可能会更改他们不应该更改的设置,例如更改主题或配置插件。
通过监控他们的活动,您将知道谁应对这些不需要的更改负责,以及未经授权的人是否破坏了您的WordPress网站。
跟踪用户活动的最简单方法是使用 WordPress 插件,例如:
- WP活动日志 –监视多个网站区域的更改,包括帖子,页面,主题和插件。它还记录新添加的文件、已删除的文件以及对任何文件的修改。
- 活动日志 – 监控WordPress管理面板上的各种活动,并允许您设置电子邮件通知规则。
- 简单历史记录 – 除了在WordPress管理员上记录活动日志外,它还支持多个第三方插件,如Jetpack,WP Crontrol和Beaver Builder,记录与它们相关的所有活动。
7. 检查恶意软件
AV-TEST 研究所每天注册超过 450,000 个新的恶意软件和潜在有害应用程序 (PUA)。一些恶意软件甚至具有多态性,这意味着它们可以自我修改以避免安全检测。
因此,定期扫描您的WordPress网站以查找恶意软件至关重要,因为攻击者总是开发新型威胁。
幸运的是,许多出色的WordPress黑客扫描程序插件可以扫描恶意软件并提高WordPress的安全性。
我们的专家建议在您的网站上安装以下安全插件:
- Wordfence – 一个流行的WordPress安全插件,具有实时恶意软件签名更新和警报通知,通知其他网站是否已将您的可疑活动列入阻止列表。
- 防弹安全性 – 通过空闲会话注销功能、WordPress 插件部分中不可见的隐藏插件文件夹以及数据库备份和还原工具,帮助保护您的 WordPress 网站。
- Sucuri 安全 –市场上最好的安全插件之一,提供各种SSL证书,远程恶意软件扫描和黑客后安全操作功能。
第一部分结束!
博主提示:
由于文章过长,我们分为两部分发布。另外一部分明天继续发布!感谢大家的阅读
