如何提高 WordPress 网站的安全性 [教程]
有关如何提高 WordPress 网站安全性以保护自己免受恶意软件和黑客攻击的教程。有效保护您的网站。
如何提高 WordPress 网站的安全性 [教程]
网站安全对于每个网站所有者都很重要。WordPress 是世界上使用最广泛的 CMS 系统。因此,它是黑客经常攻击的目标。
WordPress 网站的安全性
安全良好的网站对于企业也很重要。如果黑客窃取您的信息和密码并安装恶意软件,他们甚至可以通过您的网站接触您的客户。
让我们了解一下确保网站安全应遵循的步骤。
选择安全主题
主题是整个网站的重要组成部分。它提供了许多功能,因此默认包含大量代码。选择经过验证且品质优良的产品非常重要。其中一些甚至付费进行安全审核,从而获得安全证书。
选择安全托管
选择优质托管对于保护 WordPress 网站非常重要。托管应具有SSL 证书并保证99.9% 的可用性。此外,请确保您选择的托管管理已使用 HTTPS 协议加密。
因此,请使用适合 WordPress 网站的托管。此类托管提供您网站的备份、自动 WordPress 更新并支持您网站的安全。一个显着的优势是优质的技术支持。
设置数据备份
所有数据都需要备份。不要只使用您的托管。备份需要在另一处进行。您可以使用 Dropbox 或 Amazon。设置您的系统以备份整个数据库、所有插件以及您使用的主题。备份后,验证备份功能。确保不要跳过此步骤。
确保备份可以使用。备份必须每天至少执行一次或定期执行。备份也可以在特殊的备份插件或安全插件中设置。
安装安全插件
WordPress 网站的安全还需要安装安全插件。流行的Sucuri 插件 将保护您免受常见类型的攻击。它有效地保护您的网站免受恶意软件的侵害。安装后,进行所有必要的设置
定期更新网站
定期更新主题和所有插件是 WordPress 安全的重要组成部分。WordPress 开发人员不断致力于改进主题和插件。他们的更新可能包括删除一些安全错误。
手动执行此步骤。在管理菜单中,转到仪表板和更新部分。检查哪些插件需要更新并更新。
不要使用过时的插件
为您的网站选择合适的插件时,仅使用最近更新的插件。确保不要使用两年以上未更新的产品。您不仅会危及网站的安全,还会危及插件与主题的兼容性。
使用强密码
确保 WordPress 网站安全的一个重要点是使用 强密码。您还应该使用密码来访问该网站以及其他用户。最常见的黑客攻击就是窃取密码。因此,您需要让这一步变得尽可能困难。对主机、电子邮件地址和 FTP 帐户也使用强密码。
不要在所有位置使用相同的密码。选择大小写字母、数字和字符的组合。最好的选择是不易记住的密码。
使用密码管理器 自己记住它们。密码管理器可帮助您创建强密码并存储它们。您可以使用一个密码来访问这些密码。
为了提高 WordPress 网站的安全性,仅在必要时才向其他人授予其管理访问权限也很重要。同样重要的是,任何获得此类访问权限的人都了解他们在创建和维护网站方面的能力。
SFTP 加密
为了 WordPress 网站的安全,在编辑页面时以加密方式将数据发送到 FTP 站点非常重要。使用 SFTP 加密。
确保您自己的 SSL 证书
安全套接字层
SSL(安全套接字层)证书可确保您与服务器的安全、加密通信。此通信也适用于您的密码。如果没有 SSL 证书,您的密码将不加密地通过站点发送。
删除服务器上多余的内容
位于站点空间 (FTP) 中的内容存在风险。例如,存储页面设置和数据库内容的 wp-content/backup 目录中的整个站点的备份可能就是这样的风险。需要从站点空间中删除多余的和有风险的文件。
更改前缀
在安装WordPress主题的过程中,WordPress会询问您要使用什么前缀。WordPress 使用默认前缀。如果选择默认的wp_前缀,就会让黑客更容易得逞。因此,我建议将其更改为其他任何内容。
启用防火墙 (WAF) 应用程序
为了提高 WordPress 网站的安全性,请使用防火墙 (WAF) 在恶意软件到达您的网站之前将其阻止。我建议使用Sucuri来达到此目的。它保证防范恶意软件。
不要使用用户名“admin”
为了 WordPress 网站的安全,您需要更改您预先选择的用户名。创建一个新的管理员帐户并删除默认帐户。安装 WordPress 主题后立即执行此操作。
选择一个无法猜到的用户名。如果您已经安装了 WordPress 并且使用名称“admin”,则可以更改它。创建新用户并删除原用户。解决方案也可能是使用插件来更改用户名。
关闭主题和插件的编辑
WordPress 包含内置代码编辑功能,允许您在管理菜单中编辑主题和插件。建议将其关闭,以防止此选项落入坏人之手。为此,请将以下代码添加到wp-config.php文件中:
// 禁止文件编辑
定义('DISALLOW_FILE_EDIT',true);
检查您上传到网站的文件
仅将不包含病毒的文件上传到您的网站。使用防病毒程序定期检查您的计算机。
安全登录管理菜单
登录锁定
WordPress 允许无限次尝试登录管理菜单。您可以设置最大允许错误率以确保登录。例如,3次错误尝试。
此外,您还可以设置错误登录的时间段——三分钟内登录三次。如果某人登录错误四次,您可以阻止他的 IP 地址几分钟。通过安装Login LockDown来完成此操作。激活后,转到设置»登录锁定。
使用两步验证
保护 WordPress 网站安全的可靠方法之一也是两步验证。这将允许您使用密码和手机来保护您的网站访问。
隐藏登录页面
保护 WordPress 网站的安全还将增加登录页面的隐藏性。WordPress 使用 www.nazov-domain.sk/wp-admin 或 www.nazov-domain.sk/wp-login.php 登录管理。您可以使用WPS 隐藏登录对其进行重命名。
留意垃圾评论
阿基斯梅特
垃圾邮件评论通常包含指向恶意软件所在网站的链接。如果您不想禁用所有评论,则需要查看它们。最流行的评论检查工具是Akismet 插件,它可以评估评论并过滤它们。Akismet 安装在每个 WordPress 主题上。在主题菜单中找到 Akismet,然后勾选“激活”框。
注意:Akismet 插件仅对非商业网站免费。
不要登录不安全的 Wi-Fi 网络
对于 WordPress 站点的安全性,不要使用不安全的网络登录也很重要。同一网络上的黑客可以检测您的登录信息或 cookie 以进行永久注册。
移动 wp-config.php
为了提高 WordPress 网站的安全性,我建议将 wp-config.php 文件移动到上述目录。仅当它不会干扰您网站的功能并且您只有一个托管域时才执行此步骤。在此文件中,您存储了数据库名称、密码等数据。通过移动它,您可以将其隐藏起来,免受黑客攻击。
权限设置
提高 WordPress 网站安全性的下一步是设置文件夹和文件的访问权限。您应该对网站使用以下权限设置:
所有目录 - 755 或 750
所有文件 - 644 或 640
wp-config.php — 600
关闭 PHP 错误报告
错误消息还可能显示文件的路径。但您可以禁用它。只需将这两行添加到您的 wp-config.php 文件中:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);
关闭 XML-RPC Pingback
XML-RPC Pingback 功能允许您将页面链接到引用和 pingback。然而,这也是黑客的一个选择。XML-RPC Pingback 安全性由iThemes Security 插件等提供。
删除 WordPress 版本号
在 WordPress 源代码中,有一个元标记,其中包含正在使用的 WordPress 版本。此信息可能会被黑客滥用。您可以使用元生成器和版本信息删除器插件轻松隐藏它,或者将代码添加到主题中的functions.php文件中:
remove_action('wp_head', 'wp_generator');
为长期不活动的用户设置自动注销
有些用户虽然仍处于登录状态,但却离开屏幕很长时间。为了提高 WordPress 网站的安全性,您可以将他们设置为自动注销。您可能已经注意到,银行也在使用类似的设置。这是因为,在没有登录用户的情况下,黑客可以更改其密码或帐户。
您可以通过使用非活动注销 插件自动禁用非活动用户来实现此目的。
WordPress 安全提示摘要
我认为选择优质的托管是最重要的。托管应该有SSL 证书。我建议对经过验证的质量进行质押:Bluehost 或SiteGround或WP Engine。
接下来,请务必使用强密码并安装/配置经过验证的安全插件之一 - Sucuri、 Wordfence Security alebo iThemes Security。