更新:六月27,2023
WordPress, 安保行业
没有评论
提高网站安全性的 8 个快速简便的 WordPress 技巧

提高网站安全性的 8 个快速简便的 WordPress 技巧

Wordfence 的安全更新表明,在 20 年 2020 月,超过 XNUMX 万次针对超过 XNUMX 万个 WordPress 网站的攻击。仅当月这些攻击的绝对数量就证实了您的网站可能有多脆弱。

这并不意味着 WordPress 内容管理系统不是一个安全的地方——它是。 是什么让它成为攻击者的诱人目标是大多数管理员未能遵守必要的 WordPress 保安 最佳做法。

如何优化您的 WordPress 网站以提高安全性

现在,创建和维护一个完全安全的站点几乎是不可能的。 但是,有一些事情可以帮助改善您的整体安全状况并降低网络攻击的风险:

明智地选择您的托管服务提供商

前段时间,在选择与哪家托管公司合作时,功能和价格是主要考虑因素。 对于大多数人来说,安全排在最后,也就是说,如果它在他们的关注列表中。 但在黑客攻击变得如此猖獗的时候,优先事项发生了变化。 在选择信任您的网站的托管公司时,安全托管应该是您的指南。

选择时应注意几个基本的安全功能 最好的WordPress虚拟主机提供商 2021 年。其中包括:

  • 可靠的服务器安全性
  • 恶意软件扫描
  • 安全服务器功能 - 它应该是 SFTP 安全的。 还要检查 SSL 证书的类型。
  • DDoS 攻击预防(检查它是否与 CDN 公司合作,例如 Cloudflare)。
  • 防火墙保护
  • 能够手动重启

保护 wp-config[.]php 文件

wp-config[.]php 是一个核心文件,其中包含 WordPress 存储和检索数据库数据所需的关键凭据和连接信息。 此信息包括 localhost、名称、用户名和密码。

wp-config[.]php 文件是恶意行为者最有针对性的区域之一,因为它使他们能够轻松访问存储关键站点内容的数据库。 使该文件不可访问意味着您正在从核心强化您的站点。

保护 wp-config[.]php 文件涉及将其从默认位置移出。 好东西,WordPress 允许您将它隐藏在 WordPress 安装之外,它仍然可以工作。

在 Kubernetes 上部署 WordPress

WordPress 本质上是一个供初学者使用的简单平台,也是供开发人员使用的强大工具。 难怪它是全球近 30% 的网站的选择——从小型个人博客到大型公司。

您可以通过使用 Kubernetes 编排的 Docker 容器来托管 WordPress 站点,从而使其更易于管理和安全。 在 Kubernetes 上运行 WordPress 可为您带来一些好处,包括持续集成 (CI)。 作为开发人员,CI 将您发布新更新所需的时间缩短了 10-15%。

此外,对您的 WordPress 站点进行 docker 化意味着一旦出现漏洞,只有一个容器会受到威胁。

将已建立的站点转移到 Docker 容器可能需要一些工作。 但是,考虑到容器是托管的未来,我们建议学习 Docker 和 Kubernetes 安全 你尽快做。

安装 WordPress 安全插件

关于是否需要 WordPress 安全插件的建议无处不在。 除非您拥有需要全方位保护的高风险网站之一,否则无需使用专用的 WordPress 安全插件即可保护您的网站。

但是,如果您认真对待您网站的安全性(我们打赌您会这样做),那么您需要考虑使用 WordPress 安全插件。 最好的 WordPress 安全插件,例如 Sucuri 和 Wordfence,通过强化登录页面、扫描站点中的恶意软件和创建防火墙,为您的站点提供额外的防线。

让这些密码变得艰难!

密码旨在成为抵御黑客和恶意软件的第一道防线。 但令人惊讶的是,大多数 WordPress 网站所有者仍然使用简单易猜的密码,例如 123456、QWERTY 和密码。 'iloveyou' 也不强。

在为您的网站设计密码时,请确保它既长又复杂。 将字母、数字和字符(例如括号、方括号和百分号)组合在一起会使攻击者猜出您的密码变得更加困难和耗时。

重要的, 避免使用相同的密码 适用于不同的站点和设备。 如果密码泄露,后果可能是灾难性的。

启用 WordPress 2 因素身份验证

黑客和恶意行为者总是在他们的密码猜测游戏中处于领先地位。 尽管关于使用严格登录凭据的重要性的运动永无止境,但与密码相关的攻击继续上升并不奇怪。

仅对您的 WordPress 网站实施超强密码是不够的。 实施 2 因素身份验证至关重要,因为它创建了一个额外的验证阶段,用户必须提供只有他们知道的信息。 这可以是通过电话或电子邮件发送的代码或文本、生物特征证明(例如面部扫描)或来自其他应用程序的基于时间的代码。

禁用文件编辑

默认情况下,管理员用户可以打开 外观>>主题编辑器 并使用此编辑插件直接从 WordPress 面板修改他们想要的任何文件。 这可能非常有用,但也存在潜在的高风险。

如果攻击者闯入您的仪表板,启用此文件编辑选项可让他们绝对访问您网站上的所有代码。 如果您很少更改文件,则您或其他用户可能不需要此插件。

禁用此插件简单明了。 您只需要添加文本 定义('DISALLOW_FILE_EDIT',真); 在最后 wp-config[.]php 文件中。

避免像瘟疫这样无效的主题

在搜索最好的 WordPress 插件时,您可能会寻找一个在降低成本的同时提供强大功能的插件。 Nulled WordPress 主题是大多数人最喜欢的选择。 无效主题是指高级 WordPress 主题的盗版副本,通常以原始成本的一小部分出售。

尽管无需花费太多就能从高级功能中受益的承诺很诱人,但请不要上当。 无效的主题和插件是当今大多数 WordPress 网站被黑客入侵的主要原因之一。 这是因为这些产品通常携带恶意软件,这些恶意软件很容易在您网站的不同文件中传播,因此难以检测和修复。

这些破解的主题和插件还包含恶意代码,黑客利用这些代码窃取您的凭据信息,例如电子邮件地址、用户名和密码,并使其可供暗网上的其他行为者使用。

    推荐文章

    0 条评论

    没有评论。