有关如何提高 WordPress 网站安全性的说明,以保护您免受恶意软件和黑客的侵害。 保护您的网站。
您是否知道每天有多达 30,000 个网站被黑? 网站的安全性对每个所有者都很重要。 WordPress 是世界上使用最广泛的 CMS 系统。 因此,它是黑客攻击的常见目标。
WordPress网站安全
一个安全的网站对企业来说也很重要。 如果黑客窃取信息和密码并安装恶意软件,它可以通过您的网站接触到您的客户。
我们将引导您完成应遵循的步骤,以确保您的网站安全无虞。
选择安全模板
Šablóna tvorí podstatnú časť celej stránky. Zabezpečuje množstvo funkcií a preto štandardne obsahuje množstvo kódu. Je podstatné vybrať si overenú, kvalitnú šablónu. Niektoré z nich si dokonca platia bezpečnostný audit a získavajú bezpečnostný certifikát.
? Tip: Odporúčam vsadiť na overené multifunkčné šablóny Divi a Avada. Výborné skúsenosti mám taktiež so šablónami StudioPress.
Výber bezpečného hostingu
选择优质托管对于保护 WordPress 网站非常重要。 托管应具有SSL 证书并保证99.9% 的可用性。 此外,请确保您选择的主机管理使用 HTTPS 加密。
使用适合 WordPress 网站的主机。 此类托管提供您网站的备份、自动 WordPress 更新并支持您网站的安全性。 一个显着的优势是优质的技术支持。 我在我的文章如何选择最佳 WordPress 主机中专注于选择主机的主题。
?提示:对于快速的 WooCommerce 网站,选择正确的主机至关重要。 我建议押注经过验证的质量: WebSupport 、 Webglobe-Yegon或Wedos 。
Nastavte zálohovanie dát
所有数据都需要备份。 不要只使用您的主机。 您需要再备份一个位置。 您可以使用 Dropbox 或亚马逊。 建立一个系统来备份整个数据库、所有插件和使用的模板。 备份后,验证备份的功能。 不要跳过此步骤。
确保可以使用备份。 必须至少每天或定期备份一次。 也可以在特殊的备份插件或安全插件中设置备份。
?提示:我使用UpdraftPlus 插件进行备份。 我还写了关于如何通过这个插件进行自动备份的确切说明
安装安全插件
WordPress 站点安全还需要安装安全插件。 流行的Sucuri 插件将保护您免受常见类型的攻击。有效保护网站免受恶意软件的侵害。 安装后,完成所有必要的设置。
?提示:类似的插件是免费提供的Wordfence Security或高级iThemes Security 。 后者的优点是页面的自动备份,如果您的页面受到损害,插件会创建该备份。
定期刷新页面
定期更新模板和所有插件是 WordPress 网站安全的重要组成部分。 WordPress 开发人员一直在努力改进模板和插件。 他们的更新可能会解决一些安全漏洞。
手动执行此步骤。 在管理菜单中,转到公告板和更新部分。 检查哪些插件需要更新并更新它们。
不要使用过时的插件
为您的网站选择合适的插件时,请仅使用最近更新过的插件。 一定不要使用超过两年没有更新的。 您不仅会冒网站安全的风险,还会冒着插件与模板的兼容性的风险。
使用强密码
保护 WordPress 网站的重要一点是使用强密码。 您应该将此类密码用于您自己访问网站以及其他用户访问。 最常见的黑客攻击是窃取您的密码。 这一步对他们来说是困难的,这取决于你。 还要对主机、电子邮件地址和 FTP 帐户使用强密码。
不要到处使用相同的密码,密码不应包含您的姓名、简单的数字序列等。 选择大小写字母、数字和字符的组合。 最好的密码是无法记住的。
使用密码管理器自己记住它们。密码管理器可帮助您创建强密码并将其全部保存。 您可以使用一个密码访问这些密码。
为了提高 WordPress 站点的安全性,仅在必要时才允许其他人访问其管理也很重要。 同样重要的是,任何采用这种方法的人都了解他们在创建和维护网站方面的能力。
SFTP 加密
为了 WordPress 站点的安全性,在编辑页面时,以加密的 FTP 发送数据非常重要。 使用 SFTP 加密。
保护您的 SSL 证书
SSL(安全套接层)证书可确保您与服务器进行安全、加密的通信。 此通信也适用于您的密码。 如果没有 SSL 证书,您的密码将通过未加密的 Web 发送。
删除服务器上多余的内容
驻留在网络空间 (FTP) 中的内容会带来风险。 例如,在存储页面设置和数据库内容的 wp-content / backup 目录中备份整个站点可能存在风险。 必须从站点空间中删除多余和有风险的文件。
更改前缀
在安装 WordPress 模板期间,WordPress 会询问您要使用哪个前缀。 WordPress 使用默认前缀。 选择默认的 wp_ 前缀将使黑客更容易工作。 因此,我建议将其调整为其他任何内容。
安装后更改前缀(仅限高级)
在进行更改之前备份整个站点数据库。 然后打开 wp-config.php 文件。 您可以在 WordPress 根目录中找到它。
默认设置 $ table_prefix = 'wp_'; 改变例如: $ table_prefix = '新前缀_';
如果您在 WordPress 安装期间进行了此调整,则不再需要执行任何操作。 如果您已经安装了 WordPress,您还需要更新数据库。 您可以使用 iThemes Security 插件执行此操作,该插件将为您或通过 PHPMyAdmin 执行此操作:
重命名表`wp_links`到`newprefix_links`;
您还必须为每个数据库表和插件表运行此命令。 如果您使用 cPanel WordPress 托管,请找到 phpMyAdmin 并更改每个表的名称。 这个过程可能有点冗长。 您可以使用以下命令使其更容易:
重命名表 `wp_commentmeta` TO` newprefix_commentmeta`; 重命名表`wp_comments`到`newprefix_comments`; 重命名表`wp_links`到`newprefix_links`; 重命名表`wp_options`到`newprefix_options`; 重命名表 `wp_postmeta` TO` newprefix_postmeta`; 重命名表`wp_posts`到`newprefix_posts`; 重命名表`wp_terms`到`newprefix_terms`; 重命名表 `wp_termmeta` TO` newprefix_termmeta`; 重命名表 `wp_term_relationships` TO` newprefix_term_relationships`; 重命名表 `wp_term_taxonomy` TO` newprefix_term_taxonomy`; 重命名表 `wp_usermeta` TO` newprefix_usermeta`; 重命名表`wp_users`到`newprefix_users`;
您可以为在数据库中拥有自己的表的其他插件添加额外的行。
要完成该过程,您需要查找使用 wp_ 前缀的任何其他文件。 此过程将使您更轻松地完成此过程:
SELECT * FROM `newprefix_options` WHERE` option_name` LIKE ' %wp_% '
更改搜索名称。
启用防火墙 (WAF)
为了更好地保护您的 WordPress 网站,请使用防火墙 (WAF) 来阻止恶意软件到达您的网站。 我建议为此目的使用Sucuri 。 它保证防止恶意软件。
不要使用用户名“admin”
为了WordPress网站的安全,需要更改基本用户名。创建一个新的管理员帐户并删除默认值。 安装 WordPress 模板后立即执行此操作。
选择一个无法猜到的用户名。 如果您已经安装了 WordPress 并使用名称“admin”,则可以更改此名称。 创建一个新用户并删除原来的用户。 解决方法也是使用插件更改用户名。
禁用模板和插件的编辑
WordPress 包含一个内置的代码编辑功能,允许您在管理菜单中编辑模板和插件。 建议将其关闭,以免此选项落入坏人之手。 为此,请将以下代码添加到wp-config.php文件中:
//禁止文件编辑 定义('DISALLOW_FILE_EDIT',真);
禁用 PHP 文件(高级)
在某些 WordPress 目录中,必须禁用 PHP 文件。 比如在/wp-content/uploads/ . 您可以在文本编辑器中执行此操作。 您可以使用记事本。 输入此代码:
否认一切
下一步,将其另存为.htaccess并上传到/wp-content/uploads/文件中。
Sucuri 插件中的强化功能也提供了这一点。
编辑 .htaccess 文件(高级)
编辑.htaccess文件也将增加 WordPress 网站的安全性。如果您至少没有最低限度的编程知识,请跳过此步骤。在编辑之前备份您的网站。 使用以下过程允许仅对定义的 IP 地址访问管理面板。 对于其他人,访问将被阻止。
AuthType 基本 命令拒绝,允许 否认一切 #你的家庭IP地址 允许来自 xxx.xxx.xxx.xxx #你工作时的IP地址 允许来自 xxx.xxx.xxx.xxx
将修改后的.htaccess粘贴到 wp-admin 目录中。
检查您上传到网站的文件
仅将非病毒文件上传到网站。 定期检查您的计算机是否有防病毒软件。
确保您已登录到管理菜单
WordPress 允许无限次尝试登录到管理菜单。 您可以设置允许的最大错误数以确保登录。 例如,三个错误的登录。
此外,您可以设置错误登录的时间段 – 三分钟内登录三次。 如果有人第四次错误登录,您将阻止他们的 IP 地址几分钟。 通过安装Login LockDown插件来做到这一点。 激活后,转到设置»登录锁定。
使用两步验证
保护 WordPress 网站的可靠方法之一是两步验证。 这将允许您使用密码和电话保护对站点的访问。
隐藏登录页面
WordPress 网站安全性也会增加登录页面的隐藏。 WordPress 使用地址 www.name-domain.com/wp-admin 或 www.name-domain.com/wp-login.php 登录管理。 您可以使用WPS 隐藏登录插件重命名它。
谨防评论垃圾邮件
评论垃圾邮件通常包含指向包含恶意软件的网站的链接。 如果您不想禁用所有评论,则需要查看它们。 最著名的评论检查器是Akismet 插件,它评估评论并过滤它们。 Akismet 安装在每个 WordPress 模板中。 在模板菜单中,找到 Akismet 并选中“激活”框。
注意: akismet 插件仅对非商业网站免费。
不要登录不安全的 wifi 网络
不使用不安全的网络登录对于 WordPress 站点的安全也很重要。 位于同一网络上的黑客可以找到您的登录详细信息或永久登录的 cookie。
移动 wp-config.php
为了增加 WordPress 站点的安全性,我建议将 wp-config.php 文件移动到上面的目录中。 仅当它不干扰您的站点的功能并且您只托管一个域时才执行此步骤。 在此文件中,您存储了数据库名称、密码等数据。 移动它以隐藏它免受黑客攻击。
权限设置
提高 WordPress 站点安全性的下一步是设置对文件夹和文件的访问权限。 您应该对页面使用此权限设置:
所有目录 – 755 或 750
所有文件 – 644 或 640
wp-config.php – 600
禁用 PHP 错误报告
错误消息还可以显示文件的路径。 但是你可以禁用它。 将以下内容添加到 wp-config.php 文件中:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);
禁用 XML-RPC Pingback
XML-RPC Pingback 功能允许将页面链接到引用和 pingback。 但是,这也是黑客的机会。 XML-RPC Pingback 安全性由例如iThemes Security 插件提供。
删除 WordPress 版本号
WordPress 源代码中有一个元标记,其中包含正在使用的 WordPress 版本。 这些信息可以被黑客利用。 您可以使用Meta Generator 和 Version Info Remover插件轻松隐藏它,或者向模板中的functions.php文件添加代码:
remove_action('wp_head', 'wp_generator');
设置空闲用户自动注销
一些用户离开屏幕很长时间,即使他们仍然处于登录状态。 为了提高 WordPress 网站的安全性,您可以将它们设置为自动注销。 您可能已经注意到银行使用类似的设置。 这是因为黑客可以在登录用户不存在的情况下更改他们的密码或帐户。
您可以通过Inactive Logout插件自动注销非活动用户。
WordPress安全提示摘要
我认为选择质量托管是最重要的。 主机应该有一个SSL 证书。 我建议押注经过验证的质量: WebSupport 、 Webglobe-Yegon或Wedos 。
此外,不要忘记使用强密码并安装/设置经过验证的安全插件之一 – Sucuri 、 Wordfence Security或iThemes Security 。
Was this article helpful for you? Support me by sharing, please. 👍