📜  如何提高WordPress安全性-JavaPoint

📅  最后修改于: 2021-01-11 15:43:42             🧑  作者: Mango

如何提高WordPress的安全性

WordPress中的安全性是必须的。您的WordPress网站可能遭到黑客入侵,或可能会出现一些安全问题。 WordPress网站是黑客最喜欢的目标。

没有人能使站点完全安全。这件事是不切实际或不可能实现的。但是至少可以通过应用不同的安全措施来降低风险。通过本文,您将能够使您的网站保持相对安全。

为了保护您的网站和查看者的数据,可以采取以下措施。这些步骤不会消除安全风险,但可以确保将风险降到最低。

  • 选择主机
  • 强密码
  • 不要使用管理员作为用户名
  • 2步登录认证
  • 限制登录尝试次数
  • 禁用登录提示
  • 更改登录页面URL
  • 受信任的主题和插件
  • 使用SSL
  • 使用WordPress安全金钥
  • 使用安全的FTP
  • 保持wp更新
  • 保持干净
  • 禁用引用

选择主机

为您的网站选择一个信誉良好且可靠的主机。不要便宜。您的托管公司会极大地影响您的站点安全。

许多主机提供商使用过时的软件。即使过去没有问题,过时的软件也不能保证将来的安全。

查找以下用于选择主机的功能。

  • 攻击监控与预防
  • 更新他们的软件
  • 应该能够隔离被黑客入侵的站点,以防止共享服务器上的其他站点。

选择强密码

为安全起见,请选择一个复杂的密码。选择密码时,只需遵循三件事(复杂,冗长和唯一)即可。 2.5版及更高版本具有密码强度指示器,可帮助您识别密码是否足够牢固。

请记住以下几点:

  • 使用新的唯一密码。
  • 混合使用大写字母和小写字母,符号和数字。
  • 避免使用手机号码,周年纪念日或生日等有关您的常见信息。
  • 至少保留10个字符。
  • 尝试输入一个没有任何意义的密码。
  • 经常更改密码。

不要使用管理员作为用户名

WordPress的默认用户名为admin。作为默认值,它是最常见的用户名,因此很容易破解。

当人们开始使用WordPress时,尤其是第一次使用WordPress时,他们会坚持使用用户名作为管理员。更改用户名会使黑客更难破解它。

更改用户名:

  • 通过单击用户>具有管理特权的新用户来创建新用户。
  • 删除以前的管理员用户。
  • 删除时,WordPress会询问您“如何处理此用户的内容”,您可以选择删除所有内容或将其分配给新用户。

2步登录认证

两步登录身份验证(也称为2FA)为您的登录页面增加了安全性。它要求只能通过移动消息接收的身份验证码才能登录到您的帐户。

有一些2FA可用的插件。

限制登录尝试次数

通常,登录页面会受到黑客的攻击。他们可能会多次攻击正确的用户名和密码。尽管他们的尝试可能不会成功,但是他们进行的尝试次数消耗了大量的服务器内存。因此,您的网站可能会变慢。在共享服务器上,这将影响您的站点以及邻近站点。

一种解决方案是限制登录尝试的次数。有一些可用于此的插件,例如Jetpack。

禁用登录提示

每当您输入错误的密码或用户名时,都会提示您您的用户名或密码不正确。

对于黑客来说,这是非常有用的信息。这就是为什么应禁用WordPress网站的登录提示的原因。

更改登录页面URL

黑客通常会在登录页面上进行攻击。如果您对黑客隐藏了登录页面,则将在很大程度上提高站点的安全性。

这可以通过使用WPS隐藏登录插件更改登录页面URL来完成。也有一些其他插件可用于此。它们仅拦截页面请求,并使wp-admin目录和wp-login.php页面无法访问。您必须记住在激活pluign期间设置的新登录页面。

受信任的主题和插件

当不维护或更新插件和主题时,总是会怀疑它们。在下载插件或主题之前,请检查其评论和评论,作者是否响应以及是否免费或付费。

在下载插件或主题之前,请备份您的网站和主题。

使用SSL

SSL代表安全套接字层。将http转换为https。在包含敏感信息的页面上,这一点很重要。这是额外的保护层。/p>

它会将您的站点信息加扰为不可读的形式,因此,当该信息从您的服务器传输到浏览器时,它是不可读的格式,没有任何意义。在浏览器端,使用私钥使数据再次可读。

WordPress安全金钥

WordPress使用Cookie来验证其用户。这些cookie包含登录信息和身份验证详细信息。密码使用公钥和私钥进行散列。

可以使用WP安全密钥在此cookie周围添加一层。这些是一组随机变量,可以提高cookie中存储的信息的安全性。

如果重新构造身份验证密钥,则很容易破解未加密的密码。但是,使用WP安全密钥进行加密非常困难。

如何添加WP安全密钥

  • 打开wp-config.php文件。
  • 转到“身份验证唯一密钥和盐”行
  • 使用在线自动密钥生成器工具。
  • 从在线工具密钥中替换wp-config.php文件中的现有密钥集并保存。

您可以固定时间重复此过程。每当您更改安全密钥时,用户将从其帐户中注销。

使用安全的FTP(SFTP)

当您对网站进行一些更改或更新信息时,文件传输协议用于将信息从您的网站传送到主机。

FTP连接增加了截取数据的机会,而SFTP大大减少了它。

保持wp更新

您网站的最佳安全性是定期进行更新。将所有文件更新到最新版本可提高WordPress网站的安全性。

从3.7版开始,WordPress会自动更新。但是您的文件,主题和插件需要通过仪表板或FTP更新。

保持干净

始终从您的站点中删除未使用的主题和插件,因为它们很长时间以来就没有更新,因此可能会带来一些安全问题。始终保持网站清洁。

禁用引用

引用通告通知您的网站内容已与另一个网页链接。通过引用,黑客可以攻击您的网站。

因此,对于新的WordPress网站,请通过单击设置>讨论禁用此功能。取消选中“允许来自其他博客的链接通知”选项。