保护 WordPress 网站的 10 个鲜为人知的技巧
博客被黑,一夜之间失去多年的博客工作是人们实际经历过的可悲现实。事实上,研究表明每天有 37,000 个网站遭到黑客攻击,而 WordPress 为大约 25.4% 的网站提供支持,您可以确定每天都有大量 WordPress 博客遭到黑客攻击。
WordPress 安全性是一个完全不同的球赛。一旦您拥有了 WordPress 博客,拥有难以猜测的用户名和难以破解的密码等提示就不再足够了。一个错误的主题、错误的插件或错误保护的文件都可能导致您的博客在一夜之间被黑客入侵。
无论您是没有使用 WordPress 的经验,还是自该平台问世以来就一直在使用它,本文提供了10 种实用且超级有效的方法来保护您的 WordPress 博客,任何人都可以实施。您不会在流行的“如何保护您的博客”文章中找到这些技巧中的大部分,但有一天它们很可能会拯救您的博客!
60 多个最受欢迎的 WordPress 技巧和技巧(更新)
你有没有遇到过 WordPress 博客,看到你喜欢的东西,然后想到;他们是怎么做到的,… 阅读更多
1.禁用WordPress主题和插件编辑器
WordPress 有一个方便的功能,允许网站所有者直接从 WordPress 仪表板自定义和编辑他们的主题和插件,从而为网站所有者提供更大的灵活性,但此功能已成为大多数博客的废墟。
使用此功能,一个轻微的错误可能会使您的站点崩溃并将您锁定在您自己的网站之外。黑客可以轻松地将恶意代码插入到您的主题中,通过获得对具有足够权限使用主题和插件编辑器的帐户的控制权,使他们能够通过后门访问您的网站,甚至完全接管您的网站。
您可以通过禁用插件和主题编辑器来保护自己,这样就无法在没有 FTP 访问权限的情况下修改您的主题和插件。
通过将以下代码添加到您的 wp-config.php 文件来执行此操作:
define( 'DISALLOW_FILE_EDIT', true );
5 个检测恶意代码的最佳 WordPress 插件
WordPress 是人们使用的最流行的内容管理系统 (CMS) 之一,用于简单的博客… 阅读更多
2.启用双因素身份验证
双因素身份验证正迅速成为保护您的在线帐户的最可靠方法之一,大多数可靠的网站都会坚持要求其用户启用它。
虽然 WordPress 不一定内置双因素身份验证,但您可以通过安装以下插件在您的博客上启用双因素身份验证:
3.根据失败尝试次数限制登录
黑客试图访问您的博客的方法有很多种,最常用的技术之一是暴力破解攻击:黑客一遍又一遍地尝试用户名和密码的组合,直到他/她能够成功访问你的博客。
默认情况下,WordPress 不受此攻击的保护。通过安装在特定 IP 尝试失败一定次数后限制登录的插件,您可以使黑客更难访问您的博客。
Jetpack Protect Module插件还可以保护您免受暴力攻击。
4. 定期浏览你的博客
主题文件、插件、链接和其他看似无害的元素可用于访问您的博客。不要等到您的网站完全被感染后才采取措施。相反,安装安全扫描插件以定期扫描您的网站并在文件更改时通知您。
安全扫描插件的一个很好的例子是Wordfence。除了为您提供手动/自动扫描您的 WordPress 博客的选项外,它还会在您的博客上发生可疑活动时立即通知您。
它还会发送有关潜在恶意评论的信息,并将您的主题和插件文件与 WordPress 存储库进行比较,让您知道您的插件或主题版本是否已被修改,并可能成为黑客进入您网站的后门。
其他可以帮助您扫描博客以查找恶意软件和漏洞的安全插件包括:
- Sucuri 安全扫描器
- Acunetix WP 安全
- iThemes 安全(以前称为“更好的 WP 安全”)
10 个面向博主和内容创作者的免费 SEO 工具 (2023)
搜索引擎优化 (SEO) 和内容创建齐头并进,因为当您创建高质量的内容时,您… 阅读更多
5.改变你的主人
虽然这听起来像是简单的建议,但它实际上有很大的分量。研究表明,41% 的被黑 WordPress 网站是通过其托管平台上的安全漏洞被黑的。这远远超过其他来源,包括使用弱密码。
您的主机可以在您是否会被黑客攻击方面发挥重要作用;确保您只选择经得起时间考验且符合行业最佳实践的可靠网络主机。
6.隐藏你的WordPress版本号
默认情况下,WordPress 会显示您的 WordPress 版本号;这使 WordPress 可以轻松跟踪全球活跃的 WordPress 博客数量。但是,这也可能是一个巨大的问题来源;黑客和机器人可以使用具有已知漏洞的 WordPress 版本号扫描网络以查找博客,使您很容易成为目标。
您可以通过隐藏您的 WordPress 版本号轻松解决这个问题。要隐藏您的 WordPress 版本号,只需将以下代码添加到您的 functions.php 文件中:
add_filter( 'the_generator', '__return_null' );
7. 禁用 PHP 错误报告
当插件或主题在您的 WordPress 博客上运行不佳时,PHP 错误报告可以通过向您显示一条消息来帮助您揭示错误原因。然而,这个优点也有一个缺点:当报告 PHP 错误时,它包括错误的完整服务器路径,泄露黑客可以用来对付你的信息。
您可以通过禁用 PHP 错误报告来保护自己。只需将以下代码添加到您的 wp-config.php 文件中:
1个
2个
|
error_reporting( 0 ); @ini_set(‘display_errors', 0 ); |
8. 处理你的 WordPress 文件权限
在防止您的 WordPress 网站遭受安全漏洞攻击时,确保您拥有正确的文件权限至关重要。这使得黑客很难操纵您服务器上的插件、主题或文件来接管您的网站。
确保WordPress文件夹权限设置为755或750;文件权限设置为 640 或 644;wp-config.php 权限设置为 600。
9.确保定期备份
即使拥有安全专家和顾问团队的大型网站也会遭到黑客攻击,虽然遵循最佳实践可以使您的网站比 99.9% 的网站更强大,但事情仍然可能会崩溃。
防止 WordPress 黑客攻击的最佳安全措施是良好的备份;确保定期备份站点——如果可能的话,每天备份一次。这样,如果您的网站遭到黑客攻击,您的文件就位并且可以立即恢复。
以下是一些最好的 WordPress 备份插件:
10. 限制对登录页面的访问
当迫在眉睫时,您可能不得不采取一些激烈的行动。保护您的博客免受黑客攻击的一种非常可靠的方法是完全阻止对您的 wp-admin 和 wp-login.php 页面的访问。
仅当您使用一个不变的 IP 地址时才推荐这样做(您不想将自己锁在博客之外!)。如果您使用多个 IP 地址但要跟踪这些地址,您仍然可以使用此选项。
要限制对登录页面的访问,请将以下代码添加到您的 .htaccess 文件中:
1个
2个
3个
4个
5个
6个
7
8个
9
10
11
|
<IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^Your IP address 1 $ RewriteCond %{REMOTE_ADDR} !^ Your IP address 2 $ RewriteCond %{REMOTE_ADDR} !^ Your IP address 3 $ RewriteCond %{REMOTE_ADDR} !^ Your IP address 4 $ RewriteCond %{REMOTE_ADDR} !^ Your IP address 5 $ RewriteRule ^(.*)$ - [R= 403 ,L] </IfModule> |
请务必将您的 IP 地址 1到您的 IP 地址 5编辑为您要授予访问权限的不同 IP 地址;您可以简单地添加或删除一行以允许或阻止更多 IP 访问您的站点。
如何在 WordPress 中免费部署 SSL 和 HTTPS
部署 SSL 将为您的网站带来多项优势。除了提高网站安全性,SSL 还有助于… 阅读更多
结论
当然,您不应该忽略基本的安全提示,例如不使用可预测的用户名、使用强密码、定期更新您的 WordPress 安装等。但是,以上是一些鲜为人知、经常被忽略的安全提示,它们可以让您的WordPress 博客更安全一点。