如何使他人更难以侵入您的WordPress网站


如果您拥有WordPress网站,则可能是您的网站一直在被黑客攻击。

无论是过时的插件还是主题或易于理解的密码,他们都在不断寻找让他们进入的弱点。一旦进入,他们显然可以发狂。

只需证明我在说什么,这就是我的WordPress仪表板现在所说的话。

这就是为什么您的WordPress网站需要绝对防弹的原因。这是根据我与企业的咨询对话而解决的最佳方法。

获得最佳的用户名和密码

如果我看过一次,我看过一千次。人们使用用户名和密码都设置为admin的WordPress网站进行设置,然后想知道为什么它们被黑了。

您的登录页面实质上是您网站的前门。因此,使入侵者尽可能难以进入是有道理的。您不会把房子的前门打开吗?

<!-
In_content_1全部:[300x250] / dfp:[640x360]
->

许多Web主机会自动为您设置WordPress,当他们这样做时,您应该指定与“ admin”不同的用户名。如果您使用“管理员”,对他们来说太容易了。

获取一个别人无法猜到的用户名。不要使用Internet上其他地方使用的用户名。只需使用Google即可找到这些用户名。

对于密码,请帮个大忙并获得密码管理器。我强烈推荐的免费开放源代码是密钥密码 。然后,使您的WordPress密码至少30个字符长,并在组合中添加特殊字符。是的,这是正确的。 30个字符。

安装AnAnti-Brute-Force插件

<图类=“ lazy aligncenter”>

加强该门隐喻,添加一些安全锁也很有意义。在我看来,对于WordPress,您有四个选择-Google身份验证器Authy登录锁定验证码

为清楚起见,Google Authenticator和Authy做相同的事情。您会在智能手机上收到验证码,然后在登录页面上输入验证码。没有它,您将被拒绝进入。

登录锁定是一个插件,它可以在您指定的特定时间段内阻止此人的IP地址之前,限制错误的登录尝试次数。您甚至可以将其与Authenticator一起安装,以实现超级双重安全性。

reCAPTCHA不是我的最爱,但总比没有好。它也不是万无一失的,因为它已经被破解了。但是正如我所说,总比没有好。 reCAPTCHA强制用户键入单词序列或单击某些图片。

确保所有主题和插件均已更新

下一步是确保定期更新所有主题和插件基础。再次,任何已知和未知的漏洞都可以被黑客用来入侵网站。

您应密切注意“更新”页面,其中列出了所有可用的升级。这应该每天进行。您可以在“仪表板”选项卡下的子选项卡中找到“更新”页面。

禁用任何不需要的主题和插件

就像您应该使所有主题和插件保持最新一样,因此也应该禁用所有您不使用的主题和插件不需要。

没有理由使未使用的主题和插件保持活动状态,这样做只会增加发现足够大的漏洞使攻击者进入的风险。因此,请删除所有未使用的主题。始终可以在以后重新安装它们。

对于插件,请先删除它们,或者至少停用它们。

不允许任何人创建用户帐户

<图class =“ lazy aligncenter”>

如果WordPress网站被某个公司或某种团队使用,那么显然需要用户帐户。但是,如果您是该站点的单个用户,则不允许任何人创建用户帐户。尤其是您不认识的人。

您可以通过转到设置–>常规来阻止人们这样做。向下滚动到“ 成员身份”,然后取消选中“ 任何人都可以注册”。

降级所有其他授权用户

<图class =“ lazy aligncenter”>

如果确实需要向用户提供用户帐户,请确保他们具有适当的访问角色。

例如,拥有站点的人应该是管理员。但是,如果有人为您撰写客座博客,则只需将其列为作者即可。

只要给用户–>所有用户,然后选择要更改角色的人,就不要给他们提升的特权。然后从下拉框中选择。

停止对所有具有索引的目录的访问。HTML文件

您可能不知道这一点,但是如果您在您的网站,向其中添加文件,而不在其中添加index.html文件,该目录的所有内容都是公开可见的。

要阻止这种情况发生,请创建空白文本文件,并将其命名为index.html。然后将其上传到新目录。现在,任何查看目录的尝试都会使该人退回到空白索引页面。

获取SSL证书

您可以为网站做的最好的事情之一就是获取SSL证书。 Google现在在搜索结果中为SSL网站赋予更高的优先级,当然它也可以保护您的网站。

SSL可以非常简单地保护用户浏览器与网站所在的Web服务器之间的连接。因此,这使黑客很难进入连接并窃取数据。

有两种获取SSL证书的方法。您可以购买一个,但也可以从让我们加密 免费获得一个。现在,许多网络托管商都提供“免费加密”作为加密服务。

每天备份YourWordpress网站

<最后,如果最糟糕的情况到了最坏的情况,并且您被黑,您需要一种方法来获得您的网站尽快备份并运行。这就是为什么您需要每天备份所有安装文件的原因。

到目前为止,最简单的解决方案是喷气背包 ,它由创建WordPress的同一个人运行。一个网站每月仅$ 3.50,绝对是最省钱的。

结论

还有很多其他方法可以锁定您的网站,但其中许多涉及复杂的编码或安装具有复杂选项的插件。如果您只是刚开始学习此主题,那么最好先介绍一下基础知识,这是我今天试图介绍的内容。

Web Security: Active Defense, by Luciano Arango

相关文章:


7.02.2019