担心WordPress的安全性?
你应该害怕!但是不要担心太多–如果你在你的网站上实施了一些WordPress网站安全最佳实践,你可以确信你的网站不会遇到问题。
博客 存在安全。但是用户采取的行动(以及用户安装的插件)会引入各种各样的WordPress漏洞。
为了避免犯这些错误,你需要做的就是遵循这篇文章中的提示。
为了使这篇文章尽可能可行,我们将把我们的WordPress安全提示分为两类:
- 7必须遵循WordPress安全最佳实践–每个WordPress用户都需要做这些事情无论什么.
- 12个额外的WordPress安全加固技巧–这些提示不是绝对必要的,但它们可以为您的网站增加额外的硬度,让您安心。
❗Seven必须遵循WordPress安全最佳实践
如果你没有从这篇文章中得到什么,我建议你在你的网站上至少实现这七个WordPress安全最佳实践。
如果你不做这七件事,你的网站就会暴露出巨大的漏洞。
1.尽快应用核心和插件更新
为了保证WordPress的安全,你能做的最好的事情之一就是及时更新WordPress的核心、插件和主题。
不管一个软件有多棒,发现新的漏洞是很自然的。然而,有了高质量的开发团队,这些漏洞将在被恶意行为者利用之前得到修复…只要您及时应用更新!
许多最近广泛传播的WordPress漏洞本可以避免如果人们更新了他们的网站.
要获得新更新的提醒,请注意仪表板→更新在你的WP管理区域。
如果您担心兼容性问题,可以在上测试更新集结地然后将它们应用到您的现场。您还需要在应用更新之前进行备份——稍后将详细介绍。
注意–此规则的一个例外是主要更新,它们只专注于添加新功能,不包括任何安全修复。您可以放心地等待几个星期来应用这些主要更新。
- 主要版本(功能)–5.0、5.1、6.0等。–您可以等待应用这些更新。
- 次要版本(安全/错误修复)–5 . 0 . 1、5.1.2、6.0.4等。你总是需要尽快应用这些。
2.只使用知名开发商的插件和主题(不要使用无效插件)
虽然WordPress的核心软件是安全的,但不能说每个插件和主题都是安全的(主要是插件).
通过添加新代码和修改网站的功能,插件会引入各种各样的漏洞。
与此同时,不使用插件并不是一个真正的选择,因为插件是每个WordPress网站不可或缺的一部分。
因此,重要的是只使用来自有良好代码质量和及时维护记录的著名开发者的插件和主题。
也就是说,小心你在网站上安装的插件.
这里有一些提示可以帮助你只使用高质量的插件和主题:
- 阅读评论.糟糕的评论可能表明糟糕的代码质量。
- 检查活动安装计数.虽然这不是一个硬性规定,但流行的插件通常更容易受到关注。
- 检查最近的更新.拥有一个活跃的开发人员对于修补任何新发现的漏洞非常重要。
- 不要安装不必要的插件.因为你安装的每个插件都是潜在的攻击媒介,所以你应该只安装对你的站点重要的插件。
我们也有选择WordPress插件的完整指南.
最后,您还需要避免空插件,因为您不知道插件中添加了什么代码。
3.使用安全的WordPress主机
选择一个高质量的WordPress虚拟主机服务提供商对确保你网站的安全大有帮助。
首先,一个高质量的WordPress主机提供商将确保你的环境是为WordPress安全优化的,比如适当的文件许可和安全的wp-config.php文件.
许多WordPress主机也将内置更主动的保护,比如内置防火墙或恶意软件扫描。
一些托管的WordPress主机甚至会免费清理你的站点,如果它发生了任何事情的话。
基本上,有了一个高质量的主机(尤其是一个托管的WordPress主机),他们会照顾到这些最佳实践,这样你就可以专注于发展你的网站。
要找到一些质量选项,请查看我们的帖子最佳托管WordPress主机和一般来说,最好的WordPress主机.
如果你负担得起,可以考虑以下选择飞轮(我们用于WPKube的——我们的飞轮评论)或者金斯塔(我们的金斯塔评论).
4.锁定您的登录页面和帐户访问
如果一个恶意的行为者能够进入你的一个合法的WordPress用户帐户(尤其是管理员帐户).
在现实世界中想一想——你可以拥有世界上最好的家庭安全系统,但是如果一个强盗拿到了你家的钥匙和安全密码,它也不会做任何事情。
这意味着它是必要的你找到保护你的WordPress站点的登录过程和用户账户的方法。
首先,您需要使用强帐户凭据:
- 用户名–切勿使用“admin”作为用户名。相反,选择一个你在其他地方都不使用的唯一用户名。
- 密码–使用强而唯一的密码。为了获得最佳效果,请使用LastPass或Bitwarden等密码管理器为每个站点生成唯一的密码。
除此之外,你也可以使用策略来保护WordPress登录页面:
- 更改登录URL–这也减少了大量的bot流量。怎么会?使用免费的WPS隐藏登录插件.
- 限制登录尝试–如果某个IP地址进行了太多次不正确的登录尝试(就像银行所做的那样),则临时阻止该IP地址。怎么会?使用免费限制登录尝试重新加载插件.
- 需要双因素身份认证(2FA)–让人们除了他们的凭证之外,还从认证器应用、SMS或电子邮件输入代码。怎么会?使用免费插件,如WP 2FA或者双因素.
所有网站都应该更改登录URL并限制登录尝试,但是使用WordPress双因素认证实际上只有任务关键型站点才需要。
5.安装SSL证书并使用HTTPS
SSL证书允许您在网站上使用HTTPS,而不是HTTP。
有了HTTPS,任何在浏览器和服务器之间传递的数据都会被加密。除了通常有利于保护隐私之外,这对于保护重要数据(如用户名和密码)至关重要。
如果没有HTTPS,互联网上的恶意行为者可以看到在您的浏览器和您的站点之间传递的所有数据。例如,如果您在当地的咖啡店使用HTTP登录到您的站点,该网络上的某个人将能够以纯文本的形式看到您的用户名和密码。
不过,当你使用HTTPS时,你的用户名和密码(以及所有其他数据)都被安全加密,这意味着恶意用户只会看到一堆随机字符。
现在,大多数高质量的WordPress主机提供商都提供免费的SSL证书。
一旦您通过托管仪表板安装了SSL证书,您就可以将您的站点配置为使用HTTPS。如果你需要一些帮助把你的网站搬到HTTPS,免费的非常简单的SSL插件提供一键式设置。
跟随我们的WordPress HTTPS指南了解更多细节.
6.使用支持的PHP版本
WordPress是用PHP编程语言.然而,有不同的PHP版本,你可以在你的托管账户上使用。
旧版本的PHP不再接受维护,这意味着它们可能有未打补丁的安全问题。
截至2022年,最早收到安全更新的PHP版本是PHP 7.4。然而,从2023年开始,你至少要使用PHP 8.0。
你可以在本页检查当前PHP版本支持.
作为额外的奖励,新版本的PHP也提供了很大的性能改进,这意味着你的网站会加载得更快除了更安全之外。
如果你不确定如何更新PHP,你可以向你的主机寻求支持。我们还有一个如何在流行的WordPress主机上更新PHP的指南.
7.定期备份您的网站
备份您的站点不会预防安全问题发生在你的网站上。但是,这将防止安全问题演变成更大的问题。
没有备份,任何安全事故在您的网站上可以是绝对毁灭性的。您可能会丢失数据,有很多停机时间,等等。
但是,对于最近的备份,安全事故的最坏情况通常是您只需要恢复站点的干净备份。仍然很烦人——但灾难性少了很多。
如果您的主机还没有提供安全的自动备份,付费工具如喷气背包备份或者仓库英语字母表中第十二个字母ogVault提供最简单的方法来实现安全的异地备份。
如果你没有购买工具的预算,UpdraftPlus也是一个很好的免费选项——只要确保将它连接到一个外部存储提供商,如Google Drive或亚马逊S3。
这是我们关于最好的WordPress备份插件的完整帖子.
十二个额外的WordPress安全加固技巧
如果你忠实地执行以上必须遵循的WordPress网站安全最佳实践,你将会避免网站上99%的问题。
然而,如果你想进一步加强,你可以实现一些额外的强化技巧来进一步保护你的站点。
8.设置防火墙
防火墙可以通过在恶意流量或行为影响您的站点或服务器之前阻止它们来主动保护您的站点免受威胁。
许多主机已经实现了他们自己的防火墙,这就是为什么如果你使用高质量的WordPress主机(见前).
如果您的主机没有(或者如果您想要更多的保护),您可以在应用程序级别添加一个防火墙,使用类似文字围栏或者在DNS级别使用类似美国云火炬或者苏库里.
9.使用WordPress安全插件
你可以创建安全的WordPress站点没有一个专用的安全插件,所以创建一个安全的网站肯定不需要安全插件。
话虽如此,安全插件仍然很方便,原因如下:
- 安全插件可以提供实时防火墙来抵御新出现的威胁。
- 一个高质量的安全插件将使实现这个列表中的许多其他强化技巧变得容易,这可以为你简化事情并节省你的时间。
当有疑问时文字围栏插件是一个很好的入门选择。您可以在中找到更多选项我们最好的WordPress安全插件的完整集合.
10.隐藏WordPress版本
隐藏WordPress版本号增加了一个微不足道的“模糊安全性”轻微地恶意行为者更难检测到你网站的版本号。
要隐藏它,你可以将下面的代码添加到你的孩子主题的functions.php文件中,或者像代码片段一样的插件中。
函数WP _ version _ remove _ version _ number(){ return“”;}add_filter('the_generator ',' WP _ version _ remove _ version _ number ');
如果你想走得更远,我们有向导关于如何隐藏你的网站使用WordPress.
11.检查文件权限
如果你使用的是高质量的主机,你的网站的文件权限应该是正确的。但是,这可能值得仔细检查,因为拥有正确的文件权限非常重要。
要了解更多信息,请查看我们的WordPress文件权限完整指南.
12.仅对FTP使用安全连接
每当你通过FTP连接到您的站点或其他技术,请确保您使用安全协议,如SFTP。
正如HTTPS保护你的浏览器和网站之间的数据,SFTP保护你的FTP客户端和服务器之间的连接。
您还应该避免将您的FTP密码存储在您的FTP客户端中,除非这些密码被安全地加密。
13.设置活动日志记录
活动日志记录允许您跟踪用户在您的仪表板中做了什么,这有助于您捕捉可疑的活动(尤其是如果您授予其他用户仪表板访问权限).
要设置这个,您可以使用一个插件,比如WP活动日志.我们有关于如何设置活动日志的教程,以及独家WP活动日志优惠券为了给你省点钱。
14.运行常规恶意软件/安全扫描
虽然如果您已经实现了上面的最佳实践,您的站点应该不会遇到任何问题,但是定期在您的站点上运行恶意软件/安全扫描.
要检查站点前端的任何问题,您可以使用免费的Sucuri站点检查工具.
要对服务器文件进行全面扫描,您可以考虑使用以下工具护理不当或者文字围栏.
你的WordPress主机也可能运行它自己的每日恶意软件扫描,这可能使这些工具变得多余。
15.禁用XML-RPC
XML-RPC帮助外部工具连接到你的WordPress站点,比如桌面WordPress应用程序。
然而,如果你不使用这些工具,它只会给你的网站增加一个不必要的攻击媒介。要完全禁用它,您可以使用免费的禁用XML-RPC插件.
16.块热链接
热链接是指有人在他们的网站上嵌入来自你的服务器的内容(例如图片)。它会在未经您允许的情况下耗尽您服务器的资源,从而影响您站点的安全性。
要阻止热链接,你可以在你的站点的。htaccess文件。
来生成。htaccess代码需要阻止热链接,你可以使用这个免费工具.它可以让你将某些热链接提供商(如谷歌图片搜索)列入安全名单,同时阻止其他人。
17.更改WordPress数据库前缀
改变WordPress数据库前缀增加了少量的“晦涩的安全性”,尽管一些专家说安全性的好处是微不足道的。
如果你有一个现有的WordPress站点,我不建议这样做,因为破坏你的站点的风险超过了任何潜在的安全利益。
然而,如果你正在建立一个新的WordPress站点,你也可以使用一个自定义的数据库前缀,即使它不会有很大的影响。
18.禁用wp-content/uploads文件夹中的PHP文件执行
您可以通过在您的WP-内容/上传文件夹。
方法如下:
- 使用记事本创建新的。htaccess文件。
- 添加下面的代码片段。
- 将该文件上传到WP-内容/上传文件夹。
% 3c文件*。php %来自所有% 3C/文件%3E
19.禁用仪表板内代码编辑
默认情况下,WordPress允许你从WordPress仪表板编辑主题和插件文件,这将允许攻击者添加恶意代码,如果他们曾经访问过管理员帐户的话。
为了防止这种情况,您可以通过将此代码段添加到您的wp-config.php文件:
define( 'DISALLOW_FILE_EDIT ',true);
WordPress网站安全常见问题
最后,这里有一些关于WordPress安全性的常见问题。
WordPress有安全问题吗?
WordPress本身没有安全问题,但是在你的网站上安装插件会引入安全漏洞,尤其是在插件编码和/或维护很差的情况下。
WordPress容易被黑吗?
绝大多数WordPress网站被黑是因为用户错误,而不是软件本身。遵循一些基本的安全最佳实践将使你的网站很难被黑。
你能保证WordPress的安全吗?
是的,绝对的。只要你遵循最佳实践,WordPress是非常安全的。有一个原因所以很多大品牌都信任WordPress.
你需要一个WordPress安全插件吗?
你可以创建一个安全的WordPress站点,而不需要一个全面的安全插件。然而,这些插件可以简化实施安全强化最佳实践的过程,并为您提供有用的功能,如防火墙和安全扫描。
今天就实施这些WordPress安全最佳实践
如果你没有从这篇文章中得到任何东西,我希望你至少实现上面的七个必须遵循的WordPress安全提示。
如果你做到了这七点,你可以确信你可以避免网站上99.9%的安全问题。
如果你想得到更好的保护,你可以继续执行这份清单上的19条建议。
关于WordPress的安全性,你还有什么问题吗?请在评论中告诉我们!
