保护您的WordPress网站的13种最佳安全实践

有什么比精心打造的网站更好?完善的网站,具有强大的安全性.


请坚持我,因为我将为您的WordPress网站揭示一些最佳安全实践。它们不仅对初学者友好,而且如果不是完全免费的话,这些做法的价格也很高.

在本文末尾,您将有一个行动计划,以保护您的网站免受各种网络威胁。所以,系好安全带,开始吧!

您的WordPress网站安全吗?

尽管WordPress被认为是迄今为止最受欢迎的CMS,但这种声誉也会带来一些后果。被超过使用 35%的网站 在互联网上,WordPress成为恶意软件攻击的最爱目标。仅在2018年,Sucuri报告称约23,000个WordPress网站成为安全漏洞的受害者.

这是否意味着WordPress具有可怕的安全系统?

一点也不!相反,造成网站安全漏洞的主要原因是用户缺乏安全意识.

作为著名的CMS,WordPress通过定期发布安全补丁和软件更新来发挥自己的作用。尽管如此,除非您知道该怎么做,否则这些升级几乎没有什么不同.

简而言之,您在保护网站安全方面发挥着重要作用.

现在,您已经知道自己作为网站管理员的角色和责任,现在该探讨可以采取哪些措施来提高网站的安全性。查看下面的最佳安全做法,并尝试在您的网站上实施它们.

使用强用户名和密码

创建强大的登录凭据可能是任何人都可以执行的最简单的安全措施,但是许多用户仍然没有这样做。信不信由你, 2320万个帐户 仍然使用“ 123456”作为他们的密码。同样的问题也适用于用户名,其中许多用户使用标准用户名,例如“ admin”和“ administrator”。

如果您需要有关强密码的帮助,有很多 密码生成器 在那里,您可以免费使用。至于用户名,您可以在关键字中加入数字和特殊字符,以使其更具唯一性.

使用弱登录凭据将使您的网站容易受到暴力攻击。这种类型的网络攻击使用反复试验的方法来猜测您的登录凭据。因此,最好避免在登录信息中使用通用关键字.

如果您习惯忘记密码,则可以考虑使用 最后通行证 一键记住并使用它。至于用户名,您可以在关键字中加入数字和特殊字符,以使其更具唯一性.

隐藏WordPress登录

这个简单的技巧可以保护您的WP网站免受攻击者的暴力攻击。采用 WPS隐藏登录 免费插件,用于将登录URL更改为唯一的内容.

启用两因素身份验证

一旦获得管理员登录凭据的安全,就可以通过启用两因素身份验证来进一步改善登录过程。此安全过程创建了额外的保护层,要求用户从身份验证应用程序获取唯一代码。通过在您的网站上实施,只有具有正确登录凭据和代码的用户才能登录其帐户.

WordPress有很多可供选择的两因素身份验证插件。一些最好的包括 Google身份验证器, 两要素认证, 和 两因素.

更改WordPress数据库前缀

该网站的数据库是SQL注入攻击最喜欢的目标。这些类型的网络攻击迫使数据库执行恶意代码,从而使黑客可以自由地修改或消除其中的数据。由于SQL注入攻击包括 80%的骇客企图 每月启动一次,您不应该掉以轻心.

使数据库易于受到SQL注入攻击的因素之一是使用wp_默认数据库前缀。使用可预测的数据库,前缀可以使黑客猜测您的表名,并对数据库造成严重破坏。因此,强烈建议您尽快进行更改.

这是详细的 指南 关于如何更改WordPress数据库前缀的信息。您也可以尝试 更改表前缀插件.

禁用PHP错误报告

PHP错误报告功能可帮助您更快地在PHP文件中定位错误。但是,它也允许其他人看到您网站的漏洞。因此,建议您完全禁用此功能.

WordPress默认禁用错误报告功能。如果出于某种原因启用了该功能,则应通过以下方式手动将其禁用 修改wp-config.php文件. 根据您的网络托管服务,一些托管服务提供商还允许您从其控制面板管理此设置。.

保持WordPress最新

为了跟上不断增长的网络攻击类型,WordPress会定期发布更新以及最新的安全补丁。这项改进不仅适用于WordPress核心,还适用于插件和主题。话虽这么说,使用过时的软件是灾难的根源.

尽管WordPress自动实现次要软件更新,但您仍然需要手动执行主要更新。因此,请务必在 更新 定期在WordPress管理面板中查看部分,以避免您的网站中存在安全漏洞.

还有一个免费的插件 简易更新管理器, 您可以用来控制如何更新WordPress核心,主题和插件.

禁用目录浏览

目录浏览可让您快速访问网站的结构和各个目录。但是,如果其他人也可以使用它,它可能会变成一把双刃剑。黑客经常使用它来查找易受攻击的文件,插件和主题,然后使用它们来访问您的网站.

如果您将WP网站托管在高级平台上,则您无需担心,因为它们将负责这些优化。但是,如果您是自托管主机或需要手动禁用它,请查看此 文章 知道如何在WordPress中禁用目录浏览.

删除WordPress版本号

WordPress会不断发布更新,以修补先前版本的安全漏洞。较旧的版本通常存在更多漏洞。因此,公开发布WordPress版本并不是您的网络安全系统的最佳方法.

默认情况下,您的WordPress版本在管理面板和页面源的右下角可见。它还出现在网站的RSS,CSS和脚本等不太明显的地方。有一个很棒的 文章 提供了有关如何从这些位置删除WordPress版本的分步指南.

禁用文件编辑

WordPress的内置文件编辑器使您可以更轻松地修改插件和主题脚本。尽管如此,如果此功能落入错误的人手中,它可能会危害您的网站。因此,最好完全禁用文件编辑。您可以通过在wp-config.php文件中添加以下内容来实现.

define(’DISALLOW_FILE_EDIT’,true);

执行定期备份

创建备份与保护网站一样重要。在最坏的情况下,备份可以使您不必从头开始重建站点.

这个过程可能看起来很乏味,但是有很多备份插件,例如 VaultPressBlogVault 可以轻松解决。提示,请使用具有自动备份功能的插件来节省您的时间,并避免过时的备份阻塞系统.

如果您不喜欢使用太多插件,则可以考虑使用 iThemes Security Pro 最重要的是.

阻止垃圾邮件和负面SEO

垃圾邮件无处不在,没人喜欢.

如果您运行的是受欢迎的网站,但没有适当的垃圾邮件阻止系统,则每天可能会吸引成千上万的垃圾邮件发送者。过多的垃圾邮件对SEO和用户体验不利。想象一下,您在博客文章上有数百条不相关的评论.

对垃圾邮件说不 CleanTalk反垃圾邮件 解.

使用WAF

可以使用WAF(Web应用程序防火墙)来保护网站安全的最佳投资之一。它有助于保护您的网站免受OWASP的十大漏洞,已知和未知的安全漏洞,恶意代码,DDoS攻击等的危害。.

有几个选项– SUCURI, 恶意医疗, 云耀斑.

管理主题和插件

使用WordPress的最大好处之一就是其大量的插件和主题。具有讽刺意味的是,WordPress插件和主题构成了 最大的漏洞来源 这可能会使您的网站面临风险。因此,您应该明智地做出选择,并认真管理已安装的内容.

防止黑客通过错误的软件访问您的网站的最简单方法是使用具有出色评论和评分的插件和主题。这些都是很好的指标,它们会告诉您它们维护得很好并且运转正常。此外,请务必定期检查更新以提高其性能.

包起来

由于全球范围内的网络威胁都没有计划很快撤消,因此保护您的WordPress网站免受潜在危险至关重要。幸运的是,您可以执行许多简单而有效的安全措施来提高网站的整体安全性.

本文证明,您不需要大量的预算或高级的技术知识即可执行某些最佳的安全实践。问题是,您准备接受挑战吗??

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map