保护您的WordPress网站的六个技巧_0

即使是初学者也可以而??且应该采取这些步骤来保护他们的WordPress网站免受网络攻击。WordPress已经为30%的互联网网站提供支持，是世界上增长最快的内容管理系统(CMS)，并且不难看出原因：通过大量可用的自定义代码和插件，一流的搜索引擎优化引擎优化（SEO），并在博客界享有很高的声誉，WordPress赢得了很高的声誉。然而，随着流行而来的是一些不太好的关注。WordPress是入侵者、恶意软件和网络攻击的共同目标，事实上，它约占2019年被黑的所有CMS的90%。无论您是WordPress新手还是经验丰富的开发人员，以下是您可以执行的一些重要步骤采取措施保护您的WordPress网站。以下6个关键提示将帮助您入门。1、选择靠谱的主机主机是所有网站的无形基础，没有它，你的网站就无法发布到网上。但主机的作用远不止简单地托管您的网站，它还负责您网站的速度、性能和安全性。首先要做的是检查主机是否在其计划中包含SSL安全性。无论您经营的是小型博客还是大型在线商店，SSL协议都是所有网站都必需的安全功能。如果您进行在线交易，您还需要高级SSL数字证书，但对于大多数网站来说，基本的免费SSL证书就可以了。其他需要注意的安全功能包括：每日自动脱机网站备份恶意软件和防病毒软件扫描和删除分布式拒绝服务(DDOS)保护实时网络监控高级防火墙保护除了这些数字安全功能外，您的托管服务提供商的物理安全措施也值得考虑。其中包括通过安保人员、闭路监控和二次身份验证或生物识别来限制对数据中心的访问。2.使用安全插件保护网站安全最有效、最简单的方法之一是安装安全插件，例如Sucuri，它是一种在GPLv2下获得许可的开源软件。安全插件非常重要，因为它们可以自动进行安全管理，这意味着您可以专注于运行您的网站，而不是花费大量时间来应对在线威胁。这些插件检测、阻止恶意攻击，并提醒您注意任何需要注意的问题。简而言之，它们一直在后台运行以保护您的网站，这意味着您不必全天候24/7与黑客、漏洞和其他数字垃圾作斗争。一个好的安全插件将免费为您提供所有必要的安全功能，但一些高级功能需要付费订阅。例如，如果你想解锁Sucuri的网站防火墙，你就必须付费。启用Web应用程序防火墙(WAF)可阻止常见威胁并为您的网站增加额外的安全层，因此在选择安全插件时，最好寻找具有此功能的插件。3.选择值得信赖的插件和主题WordPress的乐趣在于它是开源的，因此任何人和每个人都可以贡献他们开发的主题和插件。但这也会在选择高质量的主题和插件时引发一些问题。在挑选免费主题或插件时，有些设计不佳，或者更糟的是，可能隐藏了恶意代码。为避免这种情况，请始终从可靠来源获取免费主题和插件，例如WordPress主题存储库。阅读它的评论，并研究开发人员是否构建了其他程序。过时或设计不当的主题和插件可能会在您的网站上为攻击者留下“后门”或漏洞，因此请谨慎选择。但是，您还应该警惕无效或损坏的主题。这些被黑的高级主题被非法出售。您可以购买看起来不错但会因隐藏的恶意代码破坏您的站点的死主题。为避免死主题，不要被折扣价所诱惑，并始终坚持使用可靠的主题商店，如官方WordPress目录。如果您正在寻找其他地方，请坚持使用大型且值得信赖的商店，例如Themify，这是一家自2010年以来一直存在的主题和插件商店。Themify确保其所有WordPress主题都通过了GoogleMobile-Friendly测试，并且在GNU下开源通用公共许可证。4.运行定期更新这是WordPress的基本规则：始终让您的网站保持最新状态。然而，并不是每个人都遵守这条规则，只有43%的WordPress网站运行最新版本。问题是，当您的网站已过时时，由于其在安全和性能修复方面落后的原因，它很容易出现故障、错误、入侵和崩溃。过时的站点无法像较新的站点一样进行修补，攻击者可以分辨出哪些站点已过时。这意味着他们可以使用它来搜索最易受攻击的站点并对其进行攻击。这就是为什么您应该始终运行最新的WordPress版本。为了让您的网站保持最强的安全性，您必须更新您的插件和主题，以及您的核心WordPress软件。如果您选择托管WordPress托管计划，您可能会发现您的提供商会为您检查并运行更新，以查看您的主机是否提供软件和插件更新。如果没有，您可以安装一个开源插件管理器。像GPLv2许可的EasyUpdatesManager插件一样作为替代品。5.强化您的登录除了通过仔细选择您的主题和安装安全插件来创建一个安全的WordPress站点之外，您还需要防止未经授权的登录访问。密码保护如果您使用的是“123456”或“qwerty”等容易猜到的短语，那么提高登录安全性的第一个也是最简单的方法就是更改密码。尝试使用长密码而不是单个单词，这样更难破解。做到这一点的最佳方法是将一系列您很容易记住的不相关的词组合起来。以下是一些其他提示：切勿重复使用密码密码不要包含明显的单词，例如家庭成员的姓名或您最喜欢的运动队不要与任何人共享您的登录信息您的密码包括大写和小写字母以及数字以增加复杂性不要写下或将您的登录信息存储在任何地方使用密码管理器更改您的登录地址将默认登录URL从标准格式yourdomain.com/wp-admin更改是个好主意。这是因为黑客也知道默认的登录URL，所以如果不更改，就有被暴力破解的风险。为避免这种情况，可以将登录URL更改为不同的URL。使用GPLv2许可的WPSHideLogin等开源插件可以更加安全、快速、方便地自定义登录地址。应用双因素身份验证为了更好地防止未经授权的登录和暴力攻击，您应该添加双因素身份验证。这意味着即使有人确实获得了您的登录详细信息，他们仍然需要将验证码直接发送到您的手机才能访问您的WordPress网站管理。添加双因素认证非常简单，只需安装另一个插件，在WordPress插件目录中搜索“双因素认证”，然后选择你想要的插件即可。其中一个选项是TwoFactor，这是一个流行的GPLv2许可插件，安装次数超过10,000。限制登录尝试WordPress通过对您的登录信息进行多次猜测来帮助您登录。但是，它对于试图未经授权访问WordPress站点并发布恶意代码的黑客也很有帮助。要对抗暴力攻击，请安装一个插件来限制登录尝试并设置您允许的猜测次数。6.禁用文件编辑这一步不适合初学者，除非你是一个有自信的程序员，否则不要尝试。并且一定要先备份您的网站。也就是说，如果您真的想保护您的WordPress网站，禁用文件编辑是一项重要措施。如果您不隐藏您的文件，这意味着管理员中的任何人都可以编辑您的主题和插件代码，如果入侵者进入，这是很危险的。要拒绝未经授权的访问，请转到您的.htaccess文件并输入：orderallow,denydenyfromall或者，直接从您的WordPress管理员删除主题和插件可以添加编辑选项来编辑您的wp-config.php文件：define('DISALLOW_FILE_EDIT',true);保存并重新加载此文件，插件和主题编辑器将从您的WordPress管理后台菜单中消失，防止任何人编辑您的主题或插件代码，包括您自己。如果您需要恢复对主题和插件代码的访问，只需删除您在wp-config.php文件中添加的代码。无论您是阻止未经授权的访问还是完全禁用文件编辑，采取措施保护您网站的代码都很重要。否则，不需要的访问者很容易编辑您的文件并添加新代码。这意味着攻击者可以使用编辑器从您的WordPress站点获取数据，甚至可以使用您的站点对其他站点发起攻击。隐藏文件的更简单方法是使用安全插件为您完成，例如Sucuri。WordPress安全摘要WordPress是一个优秀的开源平台，初学者和开发人员都应该享受它，而不必担心成为攻击的受害者。不幸的是，这些威胁不会很快消失，因此保持网站安全至关重要。使用上述措施，您可以为您的WordPress站点创建更强大、更安全的保护级别，并给自己带来更好的体验。保持安全是一项持续的任务，而不是一次性的清单，因此请务必定期重新检查这些步骤，并在构建和使用CMS时保持警惕。