WordPress安全动手指南

随着网络安全漏洞的增多,采取预防措施来保护您的网站不受入侵者的危害至关重要。因此,如果您有WordPress网站,请继续阅读。我们将为您提供一些技巧和工具,以使您的WordPress网站更加安全.


“这不会发生在我的网站上!”这是我们大多数人听到黑客入侵网站安全性时的普遍想法.

也许,被黑网站的人认为他或她一定做错了什么才能泄漏重要信息。也许这个人犯了可怕的错误,认为他或她的网站的安全是理所当然的.

对于您的网站,使用流行的CMS和WordPress等博客平台可能会让您感到安全。但是,您会很好地注意到WordPress在全球范围内的广泛普及是黑客基于此平台定位网站的主要原因之一.

WordPress是一个高度用户友好的平台,这使其更容易受到黑客和垃圾邮件发送者的攻击。从一开始,您就应该将安全以及托管和Web设计作为网站的重中之重.

这是一项深入研究,介绍了需要采取哪些措施来增强WordPress网站的安全性。我们还将介绍保护WordPress网站的主要技巧,顶级WordPress安全插件和测试工具。.

您需要意识到,任何网站都不可能100%安全,即使此处共享的信息也无法使您的网站完全安全。最终目的是协助您采取所有必要的预防措施,以确保WordPress网站免受大多数攻击.

网络安全基础

您可能会认为您的网站将来极不可能被黑客入侵,因为过去它从未遇到过有关恶意软件,恶意代码甚至垃圾邮件评论的任何安全问题。.

但是,关于Web安全性要记住的最基本的事情之一是您需要保持活动状态而不是被动状态。这意味着您应该从一开始就采取一些预防措施,而不是相信有人无法入侵您的网站,并努力提高其安全性.

此外,在跳到WordPress安全步骤之前,您需要认识到拥有此安全性的重要性.

很多人访问您的网站。他们中的某些人可能订阅了您网站的新闻通讯,而另一些人可能注册为您网站的论坛的成员。如果您的网站遭到黑客入侵,访问者共享的数据也容易受到攻击。因此,您有责任确保网站数据的安全,从而保护访问者的数据.

如果您的WordPress网站吸引的流量很少,那么您可能会争辩说,当在线上还有成千上万的其他受欢迎的网站时,黑客就没有理由攻击您的网站。如果是这样,那么您现在应该了解一下黑客可能试图破坏您的网站的原因.

黑客不必担心您的网站是否只会吸引少数访问者,因为一旦他们访问了您的网站,他们便可以使用您的服务器发送垃圾邮件。他们这样做是为了帮助他们营销其服务,产品或站点.
随着来自被黑服务器的此类垃圾邮件活动的增加,IP地址被列入黑名单的机会大大增加。或者,黑客可能更喜欢将您的服务器用于自己的网站活动,因为他们的IP地址已被列入黑名单.

除了了解黑客入侵的原因外,您还需要了解黑客或垃圾邮件散布者攻击网站的不同方式。这将进一步帮助您以减少站点数量的方式来计划站点的活动 容易受到安全威胁.

他们可以通过任何WordPress插件或主题进行攻击。实际上,在某些情况下,安全插件的问题使黑客能够攻击使用该插件的网站。此外,黑客可以利用您托管平台上的任何安全漏洞,并使用任何URL参数来访问您的数据库.

这样,他们可以修改您的数据,更改您的密码,甚至删除数据。令人惊讶的是,许多攻击甚至是由于无法访问WordPress管理面板甚至访问主机控制面板的密码薄弱而发生的.

在对确保WordPress网站安全的必要性有了基本的了解之后,您现在可以阅读更多内容,以了解提高网站安全性的方法.

9个安全技巧,可保护您的WordPress网站免受黑客攻击

保持您的WordPress网站更新

如果您由于担心更新不正确而丢失数据而继续延迟更新WordPress网站,那么您立即需要开始进行备份。备份网站后,您可以轻松地将WordPress版本更新到最新版本。您需要这样做,因为WP用每个可用的新版本修复了先前版本的安全错误。.

此外,WordPress信息会向公众通报这些修复程序,这会使您过时的网站更加脆弱。因此,养成习惯,一旦登录到WordPress管理信息中心,就定期使用“可用更新”选项.

更新您使用的主题和插件,并删除未使用的主题和插件

你需要保持你的 WordPress插件 和主题更新的原因与您需要更新整个WordPress版本的原因相同。黑客可以轻松地(通过安全漏洞)操纵过时的插件或主题,以访问您网站的管理员.

因此,不必担心插件与当前主题的兼容性,但是请确保始终使用最新版本的插件.

同样,确保WordPress管理控制台中的“插件”部分仅包含您使用的那些插件。删除不使用的插件,因为您不太可能更新此类插件,这又增加了它们遭受安全攻击的脆弱性.

请注意,重要的是“删除”未使用的插件,而不仅仅是“停用”它们.

避免从未知来源下载主题或插件

您可能很想免费下载一些高级插件或主题,即使这些插件或主题来自未知来源.

尽管您可能对免费获得高级功能感到兴奋,但您可能会忘记注意这些功能可能带来的安全威胁。来自未知来源的插件可能会引入恶意软件或将恶意代码插入您的网站。最好不要从知名来源下载主题和插件,而不要冒这么大的风险.

您可以使用Plugin-Check或Theme-Check分别检查插件和主题的代码。编写错误的代码可能使黑客更容易访问您的网站.

如果您不确定源代码,也不知道如何检查代码质量,则可以从WordPress.org平台上选择免费的WordPress设计。.

具有强大的WordPress管理员用户名和密码

要使用WordPress平台创建网站,您可以访问后端仪表板。默认情况下,WP会生成一个用户名(admin)和一个强密码,以便您在WordPress安装过程中登录此管理仪表板。但是,安装后,您必须将WordPress管理员用户名更改为您唯一的名称.

除此之外,您还需要记住将密码更改为您周围的人或您的网站访问者都不知道的密码。例如,如果您的网站显示了您的出生日期或配偶的名字,请确保您的密码不包含任何一个。这使任何黑客都很难猜测您的密码。您还应该为控制面板帐户保留一个安全的密码.

此外,您可以尝试将CAPTCHA添加到WordPress登录页面,以进一步提高网站的安全性。这将确保机器人或脚本无法通过蛮力攻击访问您的网站.

添加两步WordPress安全认证

我将维护并定期更新多少个密码?您可能会遇到有关为WordPress面板或控制面板的各个入口点维护强密码的问题.

好吧,您可以使用以下类似的密码来免费登录WordPress面板。 Clef两因素身份验证插件. 使用此插件,您可以使用手机来验证对WordPress管理控制台的安全登录以及PIN或指纹。因此,即使您的手机丢失了,您的Clef帐户详细信息也仍然安全.

或者,您可以使用 Google身份验证器 确保两步验证。这样,您需要使用密码并输入唯一生成的登录代码,该登录代码作为短信发送到您的手机.

寻找一个安全的托管公司

如果黑客能够破解托管您网站的平台的旧PHP版本,则拥有最新的WordPress网站版本并不重要。因此,您需要使用非常可靠的Web托管提供商的托管服务。.

您的主机应具有扩展对最新MySQL版本和PHP版本的支持的能力。它还应具有有效的入侵检测系统,以及时识别任何攻击,并应为您的站点提供Web应用程序防火墙以增强安全性.

限制登录尝试次数

黑客使用蛮力攻击来破解用于登录WordPress面板的密码。他们不断尝试随机登录尝试,直到成功.

即使您的密码很安全,它也有助于识别这种不合理的登录尝试次数,并限制进行这些尝试的IP地址。然后,您可以在一定时间内禁止此类IP地址。您可以通过使用诸如 登录锁定 要么 登录安全解决方案.

安排网站的频繁备份

这是重要的一步,因为当有人入侵或破坏您的网站时,它甚至可以为您提供帮助。当有人入侵您的网站时,您可以轻松地返回到未被破坏的旧版本。您也可以使用任何自动化解决方案进行备份,例如 VaultPress 要么 备份好友.

保持WordPress管理空间受到良好保护

只有少数人需要访问您的管理控制台。另外,请尽可能将访问权限限制为访问您的仪表板的人员。这将帮助您减少来自未知来源的攻击的威胁.
您还需要确保其他人对WordPress / wp-admin /文件夹或wp-login.php文件的访问权限受到限制或没有访问权限。您可以通过在.htaccess文件中添加以下代码段来允许访问自己的IP地址:

拒绝订单,允许
全部拒绝
允许来自zz.zz.zz.zz

在上面的代码中,您只需要用您自己的IP地址集(用于不同位置或设备)替换“ zz.zz.zz.zz”.

如果您不使用静态IP地址,则此方法可能对您无效。在这种情况下,您可以使用上面讨论的插件来限制登录尝试.

WordPress安全插件可检测您网站上的恶意代码

如果黑客攻击您的网站,则如果您立即了解到该信息,将有助于限制损坏或采取及时的措施。因此,让我们看一些可以检测插入到您网站中的恶意代码的顶级WordPress安全插件。.

WP AntiVirus网站保护

这个由SiteGuarding.com提供的流行插件有助于检测并删除在WordPress网站上发现的任何恶意病毒或代码。它会扫描插件文件,主题文件和所有上传文件之类的项目,以快速检测安全威胁,包括后门程序,广告软件,间谍软件,rootkit,蠕虫,特洛伊木马和欺诈工具.

如果您一直从洪流站点下载主题和插件(而不是从开发人员那里购买原始副本),则需要使用这种类型的插件以提高安全性.

围栏安全

该插件通过保护您的站点免受恶意软件和潜在黑客的攻击,提供免费的企业级安全性。它会检查您的网站是否已被感染,并在服务器端对您的网站的源代码进行深入扫描.
它将代码与官方WordPress存储库中的插件,核心和主题进行比较。它不仅可以保护您的网站免受大多数威胁,还可以使您的网站速度比以前快50倍.

Wordfence还可以实时阻止已知攻击者。这意味着,如果黑客在另一个站点上攻击了该插件,那么该黑客也会自动从您的站点被阻止.

当您的网站中插入恶意代码的威胁时,它可以阻止整个网络的恶意IP地址。它进一步帮助以安全扫描期间识别的刮板,爬虫和漫游器的形式阻止威胁。它还会扫描木马,可疑代码,后门,网络钓鱼URL,恶意软件,HeartBleed漏洞等。.

如果您是高级用户,则还可以阻止国家/地区,并且可以定期安排特定时间段的扫描.

利用扫描仪

漏洞扫描器始终在寻找WordPress网站文件和数据库中的可疑内容,包括帖子和评论表.

它还会扫描您使用的插件中是否存在任何误导或异常的文件名。如果发现任何恶意代码或文件,此插件将向站点管理员提供详细报告,并交给他或她以删除恶意代码。.

苏库里安全

这是一个全面的安全工具集,可用于恶意软件检测,安全强化和安全完整性监视。这是对您现有网站的安全功能的大力支持.

该插件的一些关键功能包括文件完整性监控,黑名单监控,安全活动审核,远程恶意软件扫描,安全加固以及在黑客入侵后采取的安全措施,安全通知和网站防火墙.

如何扫描您的WordPress网站中的隐藏恶意软件?

由于WordPress是开放源代码平台,因此很容易受到恶意软件的感染或黑客的入侵。黑客可能将恶意软件注入您的网站的一些常见方法包括:

  • Pharma Hacks(数据库或文件中的垃圾邮件注入)
  • 网络钓鱼(获取敏感信息,例如电子邮件地址,密码和用户名)
  • 恶意重定向(将您网站的访问者重定向到下载了受感染文件或恶意代码的另一个网站页面)
  • 文件和数据库注入(在您网站的数据库中添加恶意代码)
  • 后门(获得对您的管理区域或FTP帐户的访问权限)
  • 所有黑客都希望确保网站所有者不会得知他们黑客了他或她的网站。这使黑客可以通过长时间不断的垃圾邮件感染网站的访问者.

因此,您的目标是继续在您不知道的网站上搜索任何隐藏的恶意软件,并摆脱受感染的文件或文件夹.

您可以使用流行的恶意软件扫描WordPress插件(例如下面列出的插件)来做到这一点:

使用 Sucuri SiteCheck扫描仪 扫描潜在的恶意软件。只需访问该网站 这里 并输入您网站的网址。这款免费的扫描仪将对您的网站进行全面扫描,以查看是否存在恶意软件,网站错误,黑名单状态和过时的软件.

唯一的缺点是您需要使用免费版本手动执行此扫描。您可以升级到高级计划,并在检测到恶意软件时通过Twitter,电子邮件或RSS接收警报.

如果黑客长时间使用您的服务器发送垃圾邮件,则将您的网站从任何黑名单中删除。高级服务还有助于删除恶意软件。您甚至可以尝试前面讨论的Sucuri安全插件来增强恶意软件防护.

使用 防恶意软件扫描程序 搜索恶意软件,病毒,后门以及类似的已知威胁,并自动将其删除。该插件的一项重要高级功能是修补您的wp-login.php页面,以阻止暴力攻击.

此外,您可以使用上面讨论的任何WordPress安全插件来识别恶意代码。.

网站安全测试工具

为了保护您的网站免受攻击,您需要使用某些测试工具来不断地测试网站的安全级别,例如:

麋鹿 在您的网站上发现漏洞(文件泄露,数据库注入,跨站点脚本注入,弱的.htaccess配置等)。该工具使用黑盒扫描方法.

这意味着它不会研究应用程序源代码,而是会在网页上检查可插入数据的表单和脚本。它注入有效载荷以识别易受攻击的脚本。它提供各种格式的报告,例如HTML,XML,Text和JSON.

Google Nogotofail 测试站点的网络流量,以检测并修复各种设备上的TLS或SSL连接弱和敏感的明文流量。您也可以将其设置为VPN服务器或代理服务器,甚至是路由器.

您可以尝试使用名为的开源扫描仪和测试仪 维加. 该基于GUI的平台使用Java,可与OS X,Windows和Linux平台一起使用。它由执行战术检查的拦截代理和进行快速测试的自动扫描仪组成.

该工具可用于识别跨站点脚本(XSS),SQL注入和类似漏洞.
我们希望这些有关WordPress安全性的提示和信息会在很大程度上帮助您提高网站的安全性.

您是否已经尝试了一些可大大提高WordPress网站安全性的插件或方法?请分享您的经验,并在您的网络中继续传播有关网站安全重要性的意识.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map