📜  强化 WordPress 的 11 种有效方法

📅  最后修改于: 2021-10-19 04:34:41             🧑  作者: Mango

谈到 WordPress 网站安全,您可以做很多事情来防止您的网站或博客遭到黑客攻击。由于 WordPress 网站很容易被黑客入侵,CMS 经常成为黑客的目标,进行恶意活动。虽然没有万无一失的方法,但您仍然可以让自己熟悉 WordPress 强化方法,因为没有它们的后果可能是有害的。

11 种有效的强化方法-WordPress

简单来说,强化 WordPress 网站可以定义为应用高效和有效的安全措施。虽然必须有一个 WordPress 安全插件来扫描和清理您的网站,但您还需要采取强化措施以使其更加强大。

强化 WordPress 过程中的错误

在我们深入探讨强化 WP 网站的方法之前,让我们先讨论一下人们在强化 WordPress 网站时常犯的错误:

1. 不备份您的网站

每天的在线威胁数量都显着增加。此外,网络黑客使用越来越复杂的方法进行恶意活动。因此,您首先必须有一个有效的 WordPress 数据库备份计划。您必须确保使用最好的 WordPress 备份:

  • 首先,备份您的数据库以及包含插件、主题、wp-content 文件夹、 .htaccess 文件wp-config 的文件。 PHP文件
  • 备份的频率将完全取决于您在网站上所做更改的频率。假设您在一周内多次发布内容,那么在这种情况下,您应该进行每日备份而不是每周备份。
  • 您还必须确保将备份保存在异地和多个不同位置。
  • 最后,养成每天检查备份的习惯,以确保它们函数。

2. 不应用更新

要确保的重要事情之一是保持您的网站更新。为确保 WordPress 用户获得对新功能和高级功能的访问控制,最重要的是要修复任何可能的 WordPress 安全问题,WordPress 背后的团队会定期推出更新。
次要更新往往包含安全修复和补丁,它们不会自动执行。另一方面,主要的 WordPress 核心会随着 WordPress 自动更新而自动更新。此外,他们还在安全更新中提供了新的和高级的功能。

3 .使用弱密码

如果您经常为所有在线帐户使用相同的用户名和密码,或者使用不易猜测的内容(例如国家/地区名称或出生日期),那么您就犯了密码弱的问题。您应该及时更改 WordPress 用户名,以防止黑客的恶意活动。

使用简单的密码,您可以让黑客更轻松。在确定电子邮件、管理区域和主机控制面板的密码之前,请务必三思。最重要的是养成每六个月更改一次密码的习惯,并混合使用大写和小写以及数字和符号。

4. 让您的登录区域不受保护

如果您使用 WordPress 已经有一段时间了,那么您就会知道如何访问管理和登录页面。唉,因为您熟悉这些重要信息,所以黑客也很熟悉。因此,您需要加强 WordPress 登录区域。
幸运的是,这比从日志上掉下来更容易,而且这也证明有助于阻止黑客入侵。按照下面提到的调整来限制对登录区域和登录凭据的访问:

  • 确保在“用户”部分更改显示名称。显示名称往往与每个发布的帖子一起使用。这也意味着黑客只需猜测您的密码即可轻松访问。
  • 尝试并限制您的登录尝试,这将帮助您避免 WordPress 蛮力攻击。如果您遇到任何问题,可以联系 WordPress 专家。
  • 借助双重身份验证插件,您可以选择使用 WordPress 双重身份验证。

5. 不使用安全的 Web 主机

今天 WordPress 托管从廉价的共享托管到更昂贵和更高效的托管 WordPress 托管和专用网络服务器。也就是说,并非所有托管服务提供商都是平等的。其中一些比其他的更安全,这一特定元素反映在他们的定价计划中。

6.使用编码糟糕的主题和插件小号

在插件主题中使用编码不当的命令行会显着增加您的网站被黑客入侵的几率。在第三方网站上下载免费流行的高级主题也是如此。此类主题往往会减慢您的网站速度,有时它们与您的 WordPress 版本和插件不兼容。更糟糕的是,有时它们也可能包含恶意的PHP代码。

始终建议使用来自信誉良好或官方网站的主题和插件。如果免费主题带有高级版本,请确保仅从开发人员的网站下载。既然您已经精通这些错误,那么让我们讨论一些最好的可行方法来强化您的 WordPress 网站,以免为时已晚。

提示:在继续进行任何更改之前,请确保备份您的网站,以防出现任何问题。

加强 WordPress 网站安全的最佳方法

有多种方法可以强化 WordPress 网站。方法列表很长。在这里,我们试图介绍保护 WordPress 免受黑客攻击所需采取的最重要步骤:

1. 实施两因素身份验证

根据 WordPress 专家的说法,黑客使用登录页面来入侵网站。在蛮力攻击(也称为蛮力破解)的帮助下,黑客使用机器人来猜测您网站的重要凭据。如果您网站的重要数据从另一个网站泄露,那么这些黑客也可以轻松访问您的网站。我们都知道黑客很聪明,因此他们深谙人们习惯为多个帐户保留相同的用户名和密码这一事实。这就是让黑客更容易完成任务的原因,即入侵您的 WordPress 网站。

最好的方法是为每个用户添加 2 因素身份验证,无论他们是管理员、订阅者、编辑、超级管理员还是作者。大多数网站为其用户提供两步验证以登录其帐户。为此,用户必须:

  • 提供他们的登录详细信息。
  • 输入密码(实时生成)。

这将有助于强化您的帐户,黑客将难以访问您的 WordPress 仪表板。您也可以在您的网站上应用相同的技术来保护它免受黑客攻击。您可以使用相同的应用程序 – Google Authenticator。这个特定的应用程序负责每 30 秒生成一个密码。也可以使用只有您自己知道的密码。

2. 限制登录尝试

您可能已经注意到,您的银行只提供 3 次尝试以获取正确的用户名和密码。随后,您可以选择“忘记密码”。当您尝试使用错误的凭据登录时,您将收到以下消息:

3. 在不受信任的文件夹中阻止PHP执行

这有点技术性,但我们会尽可能简化。首先,您必须知道PHP (超文本预处理器)是一种众所周知的通用脚本语言,它用于 Web 开发。

您的 WP 网站也由文件和文件夹组成,但并非所有文件和文件夹都使用PHP函数。如果黑客以某种方式能够访问您的网站,他将创建自己的文件夹并将他的PHP函数插入到您现有的文件夹中。阻止从未知文件夹执行PHP函数是防止此类黑客攻击的有效方法之一。

4. 禁用文件编辑器

一旦黑客成功获得 WordPress 管理员帐户的访问权限,他就会接管您的网站。一旦他获得了您的仪表板的访问权限,他将使用编辑器选项更改您的主题和插件的编码。此外,他还可以选择添加自己的脚本。通过这种方式,他将能够:

  • 显示自己的内容
  • 向您的用户发送垃圾邮件
  • 污损您的网站

SEO 垃圾邮件黑客和 SQL 注入是通过这些编辑器执行的一些常见黑客。要找到编辑器,您需要转到外观 > 编辑器。和插件 > 插件编辑器

转到 wp-config 文件以禁用编辑器。在这里可以使用相同的方法,其中我们通过文件管理器或 FTP 访问网站的文件。

对于下一部分,如果您对编码主题和插件的技术知识很差,那么它肯定会派上用场,但如果您没有,那么最好不要继续进行。如果您想使用手动方法进一步操作,以下是您需要执行的详细步骤。

在文件管理器中找到您的 wp-config 文件,然后右键单击以具有“编辑”选项。

在这里您将看到有关它的其他信息,您可以“禁用编码检查”。然后继续“编辑”。

在这个阶段,您的 wp-config 文件已打开,您需要向下滚动并找到该行

/*That’s all, stop editing! Happy publishing. */

您需要将以下代码粘贴到此上方

define( ‘DISALLOW_FILE_EDIT’, true );

现在保存您所做的更改并关闭编辑器。

返回仪表板,在这里您将看到您不再有编辑器选项。

5. 更改 WordPress 安全密钥

WordPress 倾向于存储您的所有凭据,这样您就不必每次登录时都输入它们。最好的部分是您的所有凭据都以加密形式存储。相反,如果数据以纯文本形式存储,黑客将更容易对其进行解释。而另一方面,如果数据被加密,它看起来就像是随机文本,他将无法使用它。

WordPress 使用安全密钥和盐来加密数据。简单来说,密钥可以定义为对用户名和密码进行编码的随机变量。 Salts 只是更进一步,改进了加密。

建议您定期更改旧密钥。要拥有一组新的密钥,您可以使用链接 – 密钥。您将拥有如下所示的页面:

6. 禁止插件安装

用户或客户端可能会无缘无故地安装插件而不知道其兼容性和可靠性。此操作可能会导致您网站上出现许多问题。如果您选择禁用插件和主题更新,您将能够保护自己免于陷入这种情况。

7. 使用安全插件

您可以借助插件轻松启用和禁用此函数。这是必要的,尤其是当您不希望您的客户端不合理地安装插件时。

8. 自动注销非活动用户

您会在银行官方网站上找到此功能,他们会在特定时间段不活动后将您注销。这样,您的帐户将不会受到未经授权的访问。此外,非活动用户如果已登录但未在网站上执行任何任务,则会自动注销。

您可以使用名为 Bulletproof Security 的插件来完成此操作。该插件具有许多功能,其中之一是空闲会话注销。

9. 禁用 XML-RPC

最近,XML-RPC 已成为蛮力攻击的主要目标之一。根据此基于 XML 的协议的方法之一, system.multicall方法可用于在单个请求中执行多个方法。这将证明是有帮助的,因为您可以轻松地在一个 HTTP 请求中传递许多命令。

是的,有一些插件(例如 Jetpack)依赖于 XML-RPC,但是,大多数人不需要,禁用对它的访问可能是有益的。

您可以通过 XML-RPC Validator 运行您的网站,以确定是否启用了 XML-RPC。如果不是,您将在屏幕上收到以下消息:

您还可以安装 Disable XML-RPC 插件以完全禁用它。

10.检查文件和服务器权限

不应忽视安装和 Web 服务器上的文件权限。确保锁定您的权限,否则黑客将更容易访问您的网站并执行恶意活动。另一方面,您必须确保它们不太严厉,否则可能会破坏您的 WP 网站的功能。因此,请确保您设置了正确的权限。

文件权限:

  • 如果用户享有读取文件的权限,则分配读取权限。
  • 如果用户享有写入或更改文件的权利,则分配写入权限。
  • 如果用户享有将其作为脚本运行或执行的权限,则分配执行权限。

目录权限:

  • 如果用户有权访问所识别文件夹的内容,则分配读取权限。
  • 如果该用户有权读取和删除所识别文件夹中的文件,则分配写入权限。
  • 如果用户享有访问实际文件夹的权限并且可以执行功能和命令,则分配执行权限。

11. 使用 SSL 进行数据安全

当您启用 SSL(安全套接字层)安全性时,您就朝着使您的网站安全迈进了一大步。 SSL 负责发送到您网站和从您网站发送的所有信息。这样,您的访问者共享的数据将保持安全可靠。

使用 SSL 的最大好处是它可以确保黑客无法看到和拦截用户共享的数据。安全套接字层倾向于创建一个安全隧道,它在保护信用卡详细信息、用户名和密码等关键信息方面发挥着重要作用。

SSL 认证网站的 URL 将以 HTTPS 开头,另一方面,未经 SSL 认证的网站将以 HTTP 开头。

包起来

无论您的网站大小如何,您都必须采用有效的方法来加强 WordPress 网站的安全性。您的网站是虚拟世界的一部分,该世界充斥着来自我们现实世界的不良元素。

坏的机器人和黑客一直在寻找易受攻击的猎物,一旦找到,他们就会利用它。安全是一个不断变化的环境,漏洞会随着时间的推移而演变。黑客利用 WordPress 漏洞利用,如 WordPress Pharma Hack、WordPress XSS 攻击、WordPress 站点中的日语关键字黑客。这就是为什么有必要遵循一些有效的方法来加强 WordPress 安全性。

但是您不必担心,请按照上面讨论的网站加固措施保护您的网站免受黑客攻击。