您是否知道WordPress网站每分钟有超过90,978次攻击?幸运的是,虽然这个数字听起来很大,但如果您遵循基本的安全规则,就可以防止大多数潜在的攻击并确保您的网站安全。或者至少让入侵变得如此困难,以至于黑客宁愿将目标锁定在数千个安全性差的网络中。这并不难,尤其是当您考虑到许多攻击是在自动漏洞扫描器发现潜在途径之后进行的。那么,如何提高WordPress网站的安全性呢?这里有6个基本提示。1.保持WP安装、主题和插件的更新是一件很容易但经常被忽视的事情。据WordPress.org称,所有WordPress网站中有1/3尚未更新到最新版本。最重要的是,几乎2/3的Web主机使用PHP7.0之前的版本。过时的WordPress安装和服务器框架会对您的网站构成巨大威胁,并增加成功入侵的风险,因为黑客试图使用未修补的漏洞访问您的网站。事实上,如果您使所有主题、插件和WordPress保持最新状态,您将比75%的合法网站更安全——因为据估计,所有网站中有四分之三包含未修补的漏洞。幸运的是,获取最新版本的WP插件、主题和WP本身非常容易——您只需点击几下按钮即可。此外,确保您的服务器运行最新的PHP版本可能更耗时。这就是为什么最好联系您的托管支持并请他们为您指出如何自行升级的指南,或者甚至请他们为您升级。2.安装恶意软件扫描程序和防火墙如果您认为只有您的PC受到恶意软件、病毒和暴力攻击的影响,那您就大错特错了。不仅WordPress受到影响,而且它实际上是受感染最严重的网站CMS,这可能与其受欢迎程度有很大关系。好消息是,有许多免费和付费的WordPress防火墙和恶意软件扫描程序。3.获取VPS并将其变成堡垒与共享主机相比,VPS允许您控制其配置的各个方面。因此,您不仅可以使您的网站更快,还可以确保其托管环境(服务器)得到妥善保护。在非托管VPS上,您可以选择操作系统(例如,CentOS被认为比Ubuntu更安全)、防火墙和您安装的其他软件,例如恶意软件扫描程序(您应该在WordPress和服务器本身上安装)。此外,通过在具有根访问权限的VPS上安装WordPress,可以轻松更改MySQL密码或重命名WordPress文件夹并重新配置其文件,以减少潜在攻击的机会。尽管其中一些也可以使用安全插件完成需要更多资源,这些包很容易升级。您可以在此处查看此类优惠的一个很好的示例。4.隐藏/wp-admin和你的WordPress安装为什么首先要告诉全世界你在WordPress上运行?虽然它是一个很棒的内容管理系统,但您不必为运行它而吹嘘。特别是它为潜在的入侵者提供了有价值的信息。例如,除非您隐藏WordPress,否则网站如WhatWordPressThemes?不仅要披露有关您使用的主题的信息,还要披露有关某些插件的信息。这就像告诉黑客嘿,这就是你进入的方式那么你如何隐藏你的WP站点信息以防止潜在入侵者窥探?幸运的是,您根本不需要任何技术技能。在需要的地方,您可以使用WordPress插件来做到这一点。5.更改您的WP用户名并将其隐藏就像您不应该使用单词密码作为您的实际密码一样,保留默认的WordPress用户名admin可能会产生可怕的后果。最后,这可能是任何潜在入侵者会尝试猜测的第一件事,因此通过使用它,您可以让他们很容易地找到您的管理员帐户详细信息。怎么改?有两种方法可以做到这一点。您可以寻找可以为您完成此操作的插件或手动方式。就个人而言,我更喜欢后者——因为它既快速又简单,任何人都可以做到。但是,由于WordPress没有提供开箱即用的选项来更改此设置,因此您需要使用一个小的解决方法。首先,登录您的网站并转到“用户”>“添加新用户”。在那里,插入新管理员帐户的用户名并确保用户角色设置为管理员。完成后,单击显示密码并更改或复制默认(安全)密码。**创建用户后,退出站点,然后使用新用户登录。转到所有用户>用户并删除旧的WordPress管理员帐户。但这还不是全部。您需要一个帐户才能发布,对吗?由于永久链接,不要将它们发布给使用户名容易被猜到的管理员(除非你使用它们),而是继续创建一个单独的帐户。这次,不是将其角色设置为管理员,而是将其设置为没有管理员权限的角色,例如作者或编辑。完成后,继续将所有现有帖子的作者设置为新用户(您可以在每个帖子下的所有帖子>快速编辑中执行此操作)。6.保护现有的WordPress用户帐户您是否使用虚拟助理或让员工访问您的WordPress网站?在这种情况下,最好不要让他们访问所有插件和数据。最后,他们可能不必配置您网站上的每个插件。而且,除非他们是值得信赖的开发人员,否则他们绝对不应该访问主题编辑器。如何限制他们的访问?一种方法是创建他们的帐户并将他们的角色设置为投稿人、作者或编辑者的默认角色之一。但是,如果您想阻止他们访问超出这些角色限制的内容,同时允许他们访问默认情况下未提供给他们的站点部分,该怎么办?在这种情况下,您可以使用免费插件。7.使用审核日志监控活动如果您不能限制用户访问您网站上最易受攻击的元素,但至少想知道谁更改或编辑了什么,以防万一出现问题怎么办?要以全面的审计日志的形式获得概述,您可以安装一些插件。它使您可以方便地了解员工和VA活动:8.使用GoogleAuthenticator使登录更安全说到用户,您还可以做一件事来使您的网站更安全。想象一下您的WordPress凭据(或您员工的凭据)被盗。在这种情况下,根据员工的用户角色,入侵者可以获得对整个WP网站的访问权限。为防止这种情况发生,请考虑为您的登录添加双因素身份验证。最简单的方法是使用GoogleAuthenticator插件。完成后,即使有人获得了您的用户名和密码,如果没有GoogleAuthenticator应用程序提供的代码,他们也无法登录。如果您遵循上述提示,在授予他人访问您网站的权限时要谨慎,并使您的网站元素保持最新状态,您的网站以及有了它,您的企业将免受任何潜在入侵者的侵害。更不用说仅通过防止安全漏洞就可以节省多少。
