这几天启动您自己的WordPress网站非常容易。不幸的是,黑客很快就可以将您的网站定位为目标。
确保WordPress网站安全的最佳方法是了解运行WordPress网站带来的每一个漏洞。然后安装适当的安全措施以阻止黑客在这些地方的每个地方。
在本文中,您将学习如何更好地保护域,WordPress登录名以及可用于保护WordPress网站的工具和插件的安全。 。
创建私有域
这些天来查找可用域 并以非常便宜的价格购买非常容易。大多数人从未为其域购买任何域插件。但是,您应该始终考虑的一个附加组件是“隐私保护”。
GoDaddy具有三个基本的隐私保护级别,但它们也与大多数域提供商的产品相匹配。 li>基本:在WHOIS目录中隐藏您的姓名和联系信息。仅当您的政府允许您隐藏域联系信息时,此功能才可用。
完整:用其他电子邮件地址和联系信息替换您自己的信息以掩盖您的真实身份。 / li> 最终:附加安全性,可阻止恶意域扫描,并包括对实际站点的网站安全监视。通常,将您的域升级到这些安全级别之一仅需要选择从您的域名列表页面上的下拉列表进行升级。
基本域保护相当便宜(通常每年约$ 9.99),并且安全级别更高便宜得多。
这是阻止垃圾邮件发送者将您的联系信息从WHOIS数据库或其他有恶意企图访问您联系信息的人中删除的绝佳方法。
>隐藏wp- config.php和.htaccess文件
第一次安装WordPress 时,您需要在wp-config.php文件中包括WordPress SQL数据库的管理ID和密码。 。
安装后该数据将被加密,但是您也想阻止黑客编辑该文件并破坏您的网站。为此,请在网站的根文件夹中找到并编辑.htaccess文件,并在文件底部添加以下代码。
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
为防止对的更改。 htaccess本身,也将以下内容添加到文件的底部。
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
保存文件并退出文件编辑器。
您还可以考虑右键单击每个文件,然后更改权限以完全删除所有人的写访问权限。
在wp-config.php文件上执行此操作不会引起任何问题,但在.htaccess上执行此操作可能会导致问题。特别是如果您正在运行任何安全的WordPress插件,可能需要为您编辑.htaccess文件。
如果确实收到WordPress的任何错误,则可以随时更新权限以允许对进行写访问。 htaccess文件再次出现。
他们将通过所谓的“蛮力”攻击来做到这一点,在这种攻击中,他们将发送许多人常用的典型用户名和密码的变体。黑客希望他们能走运并找到正确的组合。
您可以通过将WordPress登录URL 更改为非标准来完全阻止这些攻击。
有很多WordPress插件可以帮助您做到这一点。最常见的之一是WPS隐藏登录 。
此插件在WordPress的设置下的常规选项卡中添加了一个部分。
在那里,您可以键入所需的任何登录URL,然后选择保存更改以将其激活。下次您要登录WordPress网站时,请使用此新URL。
如果有人尝试访问您的旧wp-admin URL,他们将被重定向到您站点的404页面。
注意:如果您使用缓存插件,请确保将新的登录URL添加到要缓存的网站列表中。然后确保在再次登录到WordPress网站之前清除缓存。
安装WordPress安全插件
有很多WordPress安全插件 从中选择。在所有这些文件中,出于充分的原因,围栏 是最常下载的版本。
免费版本的Wordfence包括一个功能强大的扫描引擎,用于查找后门威胁,插件中的恶意代码 或您网站上的MySQL注入威胁等。它还包括用于阻止活动威胁(如DDOS攻击)的防火墙。
它还可以通过限制登录尝试并阻止进行过多错误登录尝试的用户来阻止暴力攻击。
有很多可用的设置在免费版本中。足以保护中小型网站免受大多数攻击。
还有一个有用的仪表板页面,您可以查看该页面以监视最近被阻止的威胁和攻击。
使用WordPress密码生成器和2FA
您想要的最后一件事是让黑客轻松猜测您的密码。不幸的是,太多的人使用很容易猜到的非常简单的密码。一些示例包括使用网站名称或用户自己的名称作为密码的一部分,或者不使用任何特殊字符。
如果您已升级到最新版本的WordPress,则可以使用功能强大的密码安全工具来保护WordPress网站。
提高密码安全性的第一步是转到您网站的每个用户,向下滚动到“帐户管理”部分,然后选择生成密码按钮。
这将生成一个很长且非常安全的密码,其中包括字母,数字和特殊字符。将此密码保存在安全的地方,最好保存在外部驱动器上的文档中,您可以在在线时断开与计算机的连接。
选择其他地方注销以确保所有密码活动会话将关闭。
最后,如果您安装了Wordfence安全插件,则会看到一个激活2FA按钮。选择此选项可为用户登录启用双重身份验证。
如果您不使用Wordfence,则需要安装所有这些流行的2FA插件。
其他重要的安全注意事项
您还可以做一些其他事情来完全保护WordPress网站。
两者WordPress插件 和WordPress本身的版本应始终进行更新。黑客经常尝试利用您站点上旧版本代码中的漏洞。如果您不同时更新这两项,则将使您的网站处于危险之中。
1。在WordPress管理面板中定期选择插件和已安装插件。查看所有插件的状态,以表明有新版本可用。
当您看到其中一个过期时,请选择立即更新。您也可以考虑为插件选择启用自动更新。
但是,有些人对此保持警惕,因为插件更新有时会破坏您的网站或主题。因此,在您的实时网站上启用插件更新之前,最好先在本地WordPress测试站点 上对其进行测试。
2。登录WordPress仪表板时,如果运行的是旧版本,则会显示WordPress过期的通知。
再次,备份站点并将其加载到
3。在您自己的PC上的本地测试网站上测试WordPress更新不会破坏您的网站,然后再在实时网站上对其进行更新。利用您的网络主机的免费安全功能。大多数Web主机为您在此处托管的网站提供各种免费的安全服务。他们这样做是因为它不仅可以保护您的站点,而且还可以保护整个服务器的安全。当您使用共享托管帐户,而其他客户端在同一服务器上拥有网站时,这一点尤其重要。
这些通常包括为您的站点安装的免费的SSL安全性 ,免费备份 ,阻止恶意IP地址的功能,甚至是定期提供的免费站点扫描程序扫描您的网站中是否存在任何恶意代码或漏洞。
运行网站从来没有像安装WordPress和发布内容那样简单。确保您的WordPress网站尽可能安全是很重要的。以上所有技巧都可以帮助您轻松完成任务。