共计 2569 个字符,预计需要花费 7 分钟才能阅读完成。
您是否晓得 WordPress 网站上每分钟有超过 90,978 次攻打?侥幸的是,只管这个数字听起来很大,但如果您遵循根本的平安规定,则能够避免大多数潜在攻打并使您的网站免受攻打。
或者至多让它很难闯入,以至于黑客宁愿瞄准数千个安全性差的人之一。这并不难做到,特地是如果您思考到许多攻打是在主动破绽扫描程序找到潜在路径后执行的。那么,如何飙升您的 WordPress 网站安全性?以下是 6 个根本提醒。
1. 放弃 WP 装置,主题和插件更新
一个不费吹灰之力但常常被忽视的。依据 WordPress.org 的说法,所有 WordPress 网站的 1 / 3 尚未更新到最新版本。最重要的是,简直 2/3 的 Web 主机应用早于 7.0 的 PHP。过期的 WordPress 装置和服务器框架对您的网站形成了微小威逼,并减少了胜利违规的危险,因为黑客会尝试应用未修补的破绽拜访您的网站。
事实上,如果你放弃所有的主题、插件和 WordPress 都是最新的,你将比 75% 的非法网站更平安——因为据估计,四分之三的网站蕴含未修补的破绽。侥幸的是,获取最新版本的 WP 插件、主题和 WP 自身非常简单——您只需单击几下按钮即可。
同时,确保您的服务器运行最新的 PHP 版本可能会更耗时。这就是为什么最好分割您的托管反对并要求他们为您指出如何本人降级它的指南,甚至要求他们为您降级它。
2. 装置恶意软件扫描程序和防火墙
如果您认为只有您的 PC 会受到恶意软件、病毒和暴力攻打的影响,那么您大错特错了。WordPress 不仅会受到影响,而且实际上是受感化最重大的网站 CMS,这很可能与其受欢迎水平有很大关系。
好消息是,WordPress 有许多收费和付费的防火墙和恶意软件扫描程序。
3. 取得 VPS 并将其变成堡垒
与共享主机相比,VPS 容许您管制其配置的各个方面。因而,您不仅能够使您的网站更快,还能够确保其托管环境(服务器)失去适当的爱护。
在非托管 VPS 上,您能够抉择操作系统(例如,与 Ubuntu 相比,CentOS 被认为更平安)、防火墙和您装置的其他软件,例如恶意软件扫描程序(您应该同时装置在 WordPress 和服务器自身上)。
此外,通过在具备 root 拜访权限的 VPS 上装置 WordPress,能够轻松更改 MySQL 明码或重命名 WordPress 文件夹并重新配置其文件以缩小潜在攻打的机会。只管其中一些也能够应用平安插件来实现
当然,为了取得虚构专用服务器的所有益处(速度、灵活性和可扩展性等等),您应该从提供不同定价包的公司租用服务器,如果您须要更多资源,这些套餐易于降级。您能够在此处看到此类优惠的一个很好的例子。
4. 暗藏 /wp-admin 和你的 WordPress 装置
为什么要通知世界你首先在 WordPress 上运行?尽管它是一个很棒的内容管理系统,但您不用吹牛运行它。特地是它为潜在的入侵者提供了有价值的信息。例如,除非您暗藏 WordPress,否则诸如 What WordPress 主题 之类的网站?不仅要披露无关您应用的主题的信息,还要披露无关某些插件的信息。这就像通知黑客 嘿,这就是你能够进入的形式
那么,您如何暗藏您的 WP 站点信息免受潜在入侵者的窥探?侥幸的是,您基本不须要任何技术技能。在有需要的中央,有 WordPress 插件,您能够应用它们来做到这一点。
5. 更改您的 WP 用户名并将其暗藏
就像您不应该应用单词明码作为理论 明码 一样,保留默认的 WordPress 用户名 管理员 可能会产生可怕的结果。最初,这可能是任何潜在入侵者尝试猜想的第一件事,因而通过应用它,您能够让他们十分轻松地找出您的管理员帐户的详细信息。
如何扭转它?有两种办法能够做到这一点。您能够寻找一个能够为您实现或手动形式的插件。就集体而言,我更喜爱后者——因为它同样疾速和简略,任何人都能够做到这一点。然而,因为 WordPress 没有为您提供开箱即用的选项来更改它,因而您须要应用一个小的解决办法。首先,登录您的网站并转到用户 > 增加新。
在那里,插入新管理员帐户的用户名,并确保将用户角色设置为 管理员。 实现后,单击显示明码并更改或复制默认(平安)明码。**
创立用户后,登记站点,而后应用新用户登录。转到“所有用户”>“用户”,而后删除旧的 WordPress 管理员帐户。然而,这还不是全副。您须要一个帐户能力公布帖子,对吗?与其应用管理员公布它们,因为永恒链接,管理员使其用户名易于猜想(除非您应用它们),请持续创立一个独自的帐户。这一次,不是将其角色设置为管理员,而是将其设置为没有管理员性能(例如作者或编辑者)的角色。
实现后,持续将所有现有帖子的作者设置为新用户(您能够在每篇文章下的“所有帖子”>“疾速编辑”中执行此操作)。
6. 爱护现有的 WordPress 用户帐户
您是否与虚构助手单干或有能够拜访您的 WordPress 网站的员工?在这种状况下,最好不要让他们拜访所有插件和数据。最初,他们可能不用可能配置您网站上的所有插件。而且,除非他们是受信赖的开发人员,否则他们相对不应该拜访主题编辑器。如何限度他们的拜访?一种办法是创立他们的帐户并将其角色设置为贡献者、作者或编辑者的默认角色之一。
然而,如果您想阻止他们拜访超过这些角色限度,同时容许他们拜访默认设置未提供给他们的网站局部,该怎么办?在这种状况下,您能够应用收费的插件。
7. 通过审核日志监控流动
如果您不能限度用户拜访您网站上的大多数易受攻击的元素,而是至多想晓得谁更改或编辑了什么,以防呈现任何问题,该怎么办?要以综合审核日志的模式获取概述,您能够装置一些插件。它让您不便地理解员工和 VA 的流动:
8. 应用谷歌身份验证器使登录更平安
说到用户,您还能够做一件事来使您的网站更加平安。设想一下,您的 WordPress 凭据(或您的员工的凭据)被盗。在这种状况下,依据员工的用户角色,入侵者能够拜访整个 WP 网站。为避免这种状况产生,请思考在登录时增加双因素身份验证。最简略的办法是谷歌身份验证器插件。实现后,即便有人取得了您的用户名和明码,如果没有 Google 身份验证器应用程序提供的代码,他们也无奈登录。
如果您遵循上述提醒,请在向别人授予对您网站的拜访权限时放弃审慎,并使您的网站元素放弃最新,您的网站以及应用它,您的业务将免受任何潜在入侵者的侵害。更不用说您能够节俭多少只能避免安全漏洞。