保护 WordPress 网站的 13 种最佳安全实践

有什么比建立良好的网站更好的呢? 一个精心打造的网站,具有强大的安全性。

坚持我,因为我将为您的 WordPress 网站发现一些最佳安全实践。 它们不仅对初学者友好,而且如果不是完全免费的话,这些做法也是非常实惠的。

在本文结束时,您将制定一个行动计划来保护您的网站免受各种网络威胁。 所以,系好安全带,让我们开始吧!

您的 WordPress 网站安全吗?

虽然 WordPress 被认为是迄今为止最受欢迎的 CMS,但这种声誉带来了一些后果。 超过使用 35% 的网站 在互联网上,WordPress 成为恶意软件攻击的首选目标。 Sucuri 报告称,仅在 2018 年,就有大约 23,000 个 WordPress 网站成为安全漏洞的受害者。

这是否意味着 WordPress 有一个糟糕的安全系统?

一点也不! 相反,网站安全漏洞的主要原因是用户缺乏安全意识。

作为信誉良好的 CMS,WordPress 通过定期发布安全补丁和软件更新来发挥作用。 尽管如此,除非您知道如何使用它们,否则这些升级几乎没有什么区别。

简而言之,您在保护您的网站方面发挥着重要作用。

既然您已经了解了自己作为网站管理员的角色和责任,那么是时候探索您可以采取哪些措施来提高网站的安全性了。 看看下面的最佳安全实践,并尝试在您的网站上实施它们。

使用强用户名和密码

创建强登录凭据可能是任何人都可以执行的最简单的安全实践,但许多用户仍然没有这样做。 信不信由你, 2320 万个账户 仍然使用“123456”作为他们的密码。 同样的问题也适用于用户名,许多用户使用标准用户名,如“admin”和“administrator”。

如果您需要帮助想出强密码,有很多 密码生成器 在那里你可以免费使用。 至于用户名,您可以在关键字中加入数字和特殊字符,使其更加独特。

使用弱登录凭据将使您的网站容易受到暴力攻击。 这种类型的网络攻击使用试错法来猜测您的登录凭据。 因此,最好避免在登录信息中使用常用关键字。

  您如何永久删除您的 Netflix 帐户

如果您有忘记密码的习惯,那么您可以考虑使用 最后通行证 一键记住并使用它。 至于用户名,您可以在关键字中加入数字和特殊字符,使其更加独特。

隐藏 WordPress 登录

这个简单的技巧可以保护您的 WP 网站免受针对暴力攻击的攻击者的攻击。 利用 WPS 隐藏登录 免费插件可将登录 URL 更改为独特的东西。

启用两因素身份验证

确保管理员登录凭据的安全后,您可以通过启用双因素身份验证进一步改进登录过程。 此安全过程创建了额外的保护层,要求用户从身份验证应用程序获取唯一代码。 通过在您的网站上实施它,只有具有正确登录凭据和代码的用户才能登录他们的帐户。

WordPress 有很多两因素身份验证插件可供选择。 一些最好的包括 谷歌身份验证器, 两因素身份验证, 和 两因素.

更改 WordPress 数据库前缀

该网站的数据库是 SQL 注入攻击最喜欢的目标。 这些类型的网络攻击迫使数据库执行恶意代码,允许黑客随意修改或删除其中的数据。 由于 SQL 注入攻击包括 80% 的黑客尝试 每月启动一次,您不应掉以轻心。

使您的数据库容易受到 SQL 注入攻击的因素之一是使用 wp_ 默认数据库前缀。 使用可预测的数据库,前缀允许黑客猜测您的表名并在您的数据库中造成严重破坏。 因此,我强烈建议您尽快更改它。

这里有详细的 指导 关于如何更改您的 WordPress 数据库前缀。 你也可以试试 更改表前缀插件.

禁用 PHP 错误报告

PHP 错误报告功能可帮助您更快地定位 PHP 文件中的错误。 但是,它也允许其他人看到您网站的漏洞。 因此,我建议您完全禁用此功能。

WordPress 默认禁用错误报告功能。 如果由于某种原因启用它,您应该手动禁用它 修改 wp-config.php 文件. 根据您的网络托管服务,一些托管服务提供商还允许您从他们的控制面板管理此设置。

使 WordPress 保持最新

为了跟上不断增加的网络攻击类型,WordPress 会定期发布更新以及最新的安全补丁。 这种改进不仅适用于 WordPress 核心,还适用于插件和主题。 话虽如此,使用过时的软件是灾难的根源。

虽然 WordPress 会自动实施次要软件更新,但您仍然需要手动执行主要更新。 因此,请务必定期在 WordPress 管理面板的“更新”部分中查找新更新,以避免您的网站存在安全漏洞。

还有一个免费插件 轻松更新管理器,您可以使用它来控制更新 WordPress 核心、主题和插件的方式。

禁用目录浏览

目录浏览可以让您快速访问站点的结构和各个目录。 但是,如果其他人也可以访问它,它可能会变成一把双刃剑。 黑客经常使用它来查找易受攻击的文件、插件和主题,然后使用它们来访问您的网站。

  重新装修代码列表:立即兑换

如果您在高级平台上托管您的 WP 网站,那么您可能无需担心,因为他们会处理这些优化。 但是,如果您是自托管或需要手动禁用它,请查看此 文章 了解如何在 WordPress 中禁用目录浏览。

删除 WordPress 版本号

WordPress 不断发布更新以修补先前版本的安全漏洞。 旧版本通常存在更多漏洞。 因此,公开您的 WordPress 版本并不是您的网络安全系统的最佳选择。

默认情况下,您的 WordPress 版本显示在管理面板和页面源的右下方。 它也出现在不太明显的地方,例如网站的 RSS、CSS 和脚本。 有一个很棒的 文章 它提供了有关如何从这些位置删除 WordPress 版本的分步指南。

禁用文件编辑

WordPress 的内置文件编辑器让您可以更轻松地修改插件和主题脚本。 尽管如此,如果落入坏人之手,此功能可能会危及您的网站。 因此,最好完全禁用文件编辑。 您可以通过在 wp-config.php 文件中添加以下内容来做到这一点。

define('DISALLOW_FILE_EDIT', true);

执行定期备份

创建备份与保护网站一样重要。 在最坏的情况下,备份可以使您不必从头开始重建站点。

这个过程可能看起来很乏味,但是有很多备份插件,比如 保险柜出版社博客保险柜 这可以使它无忧无虑。 Protip,使用具有自动备份功能的插件来节省您的时间并避免过时的备份堵塞您的系统。

如果你不喜欢使用太多的插件,那么你可以考虑使用 iThemes Security Pro,它首先会处理更多的问题。

停止垃圾邮件和负面搜索引擎优化

垃圾邮件无处不在,没有人喜欢它。

如果您正在运行一个受欢迎的网站并且没有适当的垃圾邮件预防系统,那么您可能每天都会吸引成千上万的垃圾邮件发送者。 垃圾邮件过多不利于 SEO 和用户体验。 想象一下,你在一篇博文上有数百条不相关的评论。

使用 CleanTalk 反垃圾邮件 解决方案。

使用 WAF

您可以为保护您的网站进行的最佳投资之一是使用 WAF(Web 应用程序防火墙)。 它有助于保护您的网站免受 OWASP 十大漏洞、已知和未知的安全漏洞、恶意代码、DDoS 攻击等的影响。

有几个选项——SUCURI, 恶意软件, Cloudflare.

管理主题和插件

使用 WordPress 的最大好处之一是其大量的插件和主题。 具有讽刺意味的是,WordPress 插件和主题构成了 最大的漏洞来源 这可能会使您的网站面临风险。 因此,您应该明智地做出选择并仔细管理已安装的那些。

防止黑客通过有缺陷的软件访问您的网站的最简单方法是使用具有出色评论和评级的插件和主题。 这些都是很好的指标,可以告诉您它们维护良好且运行正常。 此外,请务必定期检查更新以提高其性能。

包起来

由于全球范围内的网络威胁不打算很快消失,因此保护您的 WordPress 网站免受潜在危险至关重要。 幸运的是,您可以执行许多简单而有效的安全措施来提高站点的整体安全性。

本文证明您不需要大量预算或高级技术知识即可执行一些最佳安全实践。 问题是,你准备好迎接挑战了吗?
想通过您的网站接受付款吗? 这是在 WordPress 网站上接受付款的最佳插件。

  如何修复 Hulu 错误代码 P-DEV320(流媒体问题)

有关的:

如何在 WordPress 中使用 Google Cloud SQL。