如果您拥有WordPress网站,则可能是您的网站一直在被黑客攻击。
无论是过时的插件还是主题或易于理解的密码,他们都在不断寻找让他们进入的弱点。一旦进入,他们显然可以发狂。
只需证明我在说什么,这就是我的WordPress仪表板现在所说的话。
这就是为什么您的WordPress网站需要绝对防弹的原因。这是根据我与企业的咨询对话而解决的最佳方法。
获得最佳的用户名和密码
如果我看过一次,我看过一千次。人们使用用户名和密码都设置为admin的WordPress网站进行设置,然后想知道为什么它们被黑了。
您的登录页面实质上是您网站的前门。因此,使入侵者尽可能难以进入是有道理的。您不会把房子的前门打开吗?
<!-In_content_1全部:[300x250] / dfp:[640x360]->
许多Web主机会自动为您设置WordPress,当他们这样做时,您应该指定与“ admin”不同的用户名。如果您使用“管理员”,对他们来说太容易了。
获取一个别人无法猜到的用户名。不要使用Internet上其他地方使用的用户名。只需使用Google即可找到这些用户名。
对于密码,请帮个大忙并获得密码管理器。我强烈推荐的免费开放源代码是密钥密码 。然后,使您的WordPress密码至少30个字符长,并在组合中添加特殊字符。是的,这是正确的。 30个字符。
安装AnAnti-Brute-Force插件
加强该门隐喻,添加一些安全锁也很有意义。在我看来,对于WordPress,您有四个选择-Google身份验证器 ,Authy ,登录锁定 或验证码 。
为清楚起见,Google Authenticator和Authy做相同的事情。您会在智能手机上收到验证码,然后在登录页面上输入验证码。没有它,您将被拒绝进入。
登录锁定是一个插件,它可以在您指定的特定时间段内阻止此人的IP地址之前,限制错误的登录尝试次数。您甚至可以将其与Authenticator一起安装,以实现超级双重安全性。
reCAPTCHA不是我的最爱,但总比没有好。它也不是万无一失的,因为它已经被破解了。但是正如我所说,总比没有好。 reCAPTCHA强制用户键入单词序列或单击某些图片。
确保所有主题和插件均已更新
下一步是确保定期更新所有主题和插件基础。再次,任何已知和未知的漏洞都可以被黑客用来入侵网站。
您应密切注意“更新”页面,其中列出了所有可用的升级。这应该每天进行。您可以在“仪表板”选项卡下的子选项卡中找到“更新”页面。
禁用任何不需要的主题和插件
就像您应该使所有主题和插件保持最新一样,因此也应该禁用所有您不使用的主题和插件不需要。
没有理由使未使用的主题和插件保持活动状态,这样做只会增加发现足够大的漏洞使攻击者进入的风险。因此,请删除所有未使用的主题。始终可以在以后重新安装它们。
对于插件,请先删除它们,或者至少停用它们。
不允许任何人创建用户帐户
如果WordPress网站被某个公司或某种团队使用,那么显然需要用户帐户。但是,如果您是该站点的单个用户,则不允许任何人创建用户帐户。尤其是您不认识的人。
您可以通过转到设置–>常规来阻止人们这样做。向下滚动到“ 成员身份”,然后取消选中“ 任何人都可以注册”。
降级所有其他授权用户
如果确实需要向用户提供用户帐户,请确保他们具有适当的访问角色。
例如,拥有站点的人应该是管理员。但是,如果有人为您撰写客座博客,则只需将其列为作者即可。
只要给用户–>所有用户,然后选择要更改角色的人,就不要给他们提升的特权。然后从下拉框中选择。
停止对所有具有索引的目录的访问。HTML文件
您可能不知道这一点,但是如果您在您的网站,向其中添加文件,而不在其中添加index.html文件,该目录的所有内容都是公开可见的。
要阻止这种情况发生,请创建空白文本文件,并将其命名为index.html。然后将其上传到新目录。现在,任何查看目录的尝试都会使该人退回到空白索引页面。
获取SSL证书
您可以为网站做的最好的事情之一就是获取SSL证书。 Google现在在搜索结果中为SSL网站赋予更高的优先级,当然它也可以保护您的网站。
SSL可以非常简单地保护用户浏览器与网站所在的Web服务器之间的连接。因此,这使黑客很难进入连接并窃取数据。
有两种获取SSL证书的方法。您可以购买一个,但也可以从让我们加密 免费获得一个。现在,许多网络托管商都提供“免费加密”作为加密服务。
每天备份YourWordpress网站
到目前为止,最简单的解决方案是喷气背包 ,它由创建WordPress的同一个人运行。一个网站每月仅$ 3.50,绝对是最省钱的。
结论
还有很多其他方法可以锁定您的网站,但其中许多涉及复杂的编码或安装具有复杂选项的插件。如果您只是刚开始学习此主题,那么最好先介绍一下基础知识,这是我今天试图介绍的内容。