您在寻找最终的WordPress安全指南吗?保持您的WordPress网站安全非常重要。您希望采取所有必要的预防措施来保护您的网站免受恶意黑客,垃圾邮件发送者和入侵者的侵害。保护您的网站看起来似乎是一项复杂的任务,尤其对初学者而言,但实际上并非如此。
在本文中,我们将分享我们的最终WordPress安全指南,以便您可以轻松保护您的网站。由于这篇文章很冗长,这里有一个目录,可以帮助您浏览我们将要执行的步骤:
目录:WordPress安全指南
- 你的WordPress网站有风险吗?
- 保护您网站的最简单方法?使用最好的WordPress安全插件
- 选择安全的WordPress主机
- 使用强密码和唯一密码
- 为WordPress管理员选择一个强用户名
- 关注WordPress插件和主题最佳实践
- 保持您的WordPress网站更新
- 安装WordPress备份插件
- 限制登录尝试
- 将安全问题添加到WordPress登录
- 自动注销空闲用户
- 禁用您网站上的文件编辑
- 标志着你的WordPress网站被黑了
- 如果您的网站遭到黑客攻击该怎么办
现在,让我们开始吧。
你的WordPress网站有风险吗?
如果你经营一个小型企业网站或者你想 开始个人WordPress博客,您可能认为您的网站没有风险。但它是。从巨型电子商务网站到小型个人网站,每个网站都有遭受黑客攻击的风险。
您可能还认为,由于WordPress是最受欢迎的构建网站平台,因此您的网站非常安全。但这也不完全正确。虽然WordPress核心软件非常安全,但您还需要采取其他步骤来进一步保护您的网站。此外,WordPress的绝对受欢迎程度部分是吸引这些网络犯罪分子进入您的网站的原因。
看看其中的一些 WordPress统计信息 这表明保护您的WordPress网站是多么重要:
- 2017年被黑客攻击的所有基于CMS的网站中有83%运行WordPress,这是有道理的,因为WordPress拥有60%的CMS市场份额。 (WPBeginner)
- 黑客攻击大大小小的WordPress网站,每分钟发生超过90,978次攻击。 (WPPlugins)
- 四种最常见的WordPress恶意软件感染是Backdoors,Drive-by下载,Pharma hacks和恶意重定向。 (粉碎杂志)
- Google每周都会将大约20,000个恶意软件网站和大约50,000个网络钓鱼网站列入黑名单。 (WPBeginner)
- 在过去30天内,Wordfence在WordPress网站上阻止了3,236,017,356次攻击。 (Wordfence)
从这些统计数据中可以看出,任何拥有WordPress网站的人都有遭受攻击的风险,因此加强WordPress网站的安全性非常重要。
被黑网站可能会花费您大量资金并损害您的业务声誉。如果您在线销售产品或从客户那里收集在线支付和敏感信息,保护您的网站应该是首要任务。黑客可以窃取客户的私人信息,密码,信用卡信息等。
您不必担心敏感信息被盗。黑客也经常接管您的网站及其内容以安装恶意软件,甚至可以向您的用户分发恶意软件。他们甚至可能会要求您支付赎金以重新获得访问您自己的网站。
有些黑客甚至不需要理由来攻击你的网站,有些黑客只是为了它的“乐趣”而这样做。
保护您的WordPress网站不是您想要忽略的。即使您不懂技术,也可以采取一些简单的步骤来破解您的WordPress网站。所以,让我们深入探讨WordPress安全指南中的第一步。
保护您网站的最简单方法?使用最好的WordPress安全插件
保护WordPress网站的最简单,最有效的方法是安装WordPress安全插件。 WordPress安全插件可以保护您的网站免受伤害,让您放心,知道您的网站是防黑客的,无需您进行任何技术操作。
该 最好的WordPress安全插件 应具备以下功能:
- 扫描 – 一个好的安全插件会定期扫描您的网站,以查找恶意软件和其他潜在威胁。
- 防火墙 – 防火墙监控您网站的所有流量,并防止试图访问您网站服务器的易受攻击的机器人。
- 删除和修复 – 您的安全插件应该保证在您受到攻击的情况下删除您网站上的恶意软件和修复程序。
由于有很多WordPress安全插件可供使用,因此很难确定哪些可以为您的网站提供最大程度的保护。因此,为了帮助您为WordPress网站选择最好的安全插件,这里有一些我们选择最好的WordPress安全插件。
1.苏库里
Sucuri是我们最好的WordPress安全插件的首选。我们在自己的网站上使用它,我们喜欢它。 Sucuri是一个完整的,基于云的网站安全解决方案,可以保护您的网站免受恶意软件,暴力攻击和任何其他潜在威胁的侵害。
当您使用Sucuri时,您的所有网站流量都会通过其CloudProxy服务器,并且会扫描每个请求以过滤掉恶意请求。这不仅可以保护您的网站,还可以减少服务器负载 提高您网站的性能 和速度。
Sucuri还报告了WordPress核心团队和第三方插件的潜在安全威胁,拥有一个防病毒软件包,每隔4小时监控您的网站是否存在威胁,跟踪您网站上发生的一切,等等。
立即开始使用Sucuri。
2. SiteLock
SiteLock是另一个惊人的WordPress安全插件。它具有保护您网站所需的所有功能,包括恶意软件扫描,托管Web应用防火墙,DDoS预防等。
他们的基于云的技术可在几分钟内部署并保护您的网站,因此可以超级快速地查找,修复和预防漏洞。每天SiteLock会扫描你的 WordPress主题,插件和文件,查找可能导致您的网站被列入黑名单的潜在漏洞。
此外,当SiteLock发现并自动修复任何漏洞时,它们会为您提供易于理解的报告,以便您可以了解有关安全性的更多信息。
立即开始使用SiteLock。
3.语法
Wordfence是另一个强大的WordPress安全插件,提供保护您网站所需的一切。
Wordfence提供免费插件,其中包括Web应用程序防火墙,恶意软件扫描程序以及防止暴力攻击等重要功能。如果您刚刚开始并且需要具有成本效益的保护解决方案,这是完美的。
使用Wordfence Premium,您可以访问更强大的功能,如实时IP黑名单,实时防火墙规则和恶意软件签名更新,双因素身份验证,国家/地区阻止等。
Wordfence唯一的缺点是它运行在你自己的服务器上,而不是像其他安全插件那样基于云。
立即开始使用Wordfence。
现在您已经为WordPress安全插件提供了一些很好的选择,可以保护您的网站并让您放松心情,让我们看看您可以轻松提高WordPress网站安全性的其他方法。
选择安全的WordPress主机
选择安全的WordPress主机是确保网站安全的另一个重要步骤。一个好的共享托管解决方案将始终采取必要措施来保护其服务器免受威胁。共享托管服务提供商 BlueHost的 和 Siteground 他们总是在监视他们的网络是否存在可疑活动,因此您不必担心这一点。
像这样的托管服务提供商还将保持其服务器软件和硬件的最新状态,拥有防止DDoS攻击的工具,并制定计划以在事件发生时保护您的数据。
WordPress托管应该附带的另一个关键安全功能是SSL证书。 SSL证书有助于保护您的网站与访问者之间的连接,有助于保护个人信息,电子商务交易和其他敏感数据的安全。
我们建议使用 BlueHost的 用于托管您的WordPress网站。
Bluehost不仅是您WordPress网站最安全的托管解决方案之一,而且它们也为IsItWP读者提供了很多帮助。
当您使用Bluehost注册时,您将获得一个免费域名, 免费的SSL证书 保护您的网站,超过60%的网络托管。因此,您可以启动您的网站,确保它的安全性仅为每月2.75美元。
立即开始使用Bluehost。
另一方面,如果您想要一个更安全的托管服务提供商,您还可以选择托管的WordPress托管服务。像Bluehost这样的共享托管解决方案的唯一缺点是您必须与所有其他客户共享服务器资源。这意味着黑客可能会使用邻近网站攻击您自己的网站。
使用托管的WordPress托管服务 WPEngine,这就像为您的WordPress网站获得安全礼宾服务。托管WordPress托管服务提供商为您完成所有工作。它们提供自动WordPress更新,自动备份和更高级的安全措施,使其成为您网站的更安全平台。
使用强密码和唯一密码
另一种更好地保护您网站的简单方法是使用强大而独特的密码。由于密码较弱,8%的WordPress安全漏洞发生。选择一个强大而安全的密码是一项简单的更改,可以保护您的网站免受入侵者的侵害。
所以,如果你有一个像“ilovesdogs”或甚至可怕的“12345678”的密码,现在就改变它。请查看以下有关如何选择安全密码的提示:
- 让它更长 – 一个代码破解程序只需要15分钟来计算一个8个字符的密码。密码至少10个字符。
- 使其独特 – 不要选择常用短语或直接从字典中选择的单词,使您的密码唯一。
- 混合它 – 添加特殊字符,数字以及大写和小写字母的混合。
- 不要使用个人详细信息 – 避免在密码中使用个人详细信息,如出生日期,社会安全号码或地址。
不想尝试自己设置安全密码?尝试IsItWp的 免费强密码生成器工具。
使用我们的密码生成器工具,您可以立即获得一个高度安全的密码,您的WordPress管理员无法让黑客知道。您可以决定密码的使用时间,是否要包含大写字母,数字或特殊字符,以及是否需要更容易记住的密码。
只需单击蓝色圆圈即可生成强密码。如果您不喜欢生成的密码,请再次单击以立即获取另一个强密码。
使用此工具,您可以轻松地为您的WordPress管理员提供一个密码,该密码可以让黑客花费超过一生的时间来搞清楚。
不要忘记,一旦您的WordPress管理员获得了安全密码,请不要将该密码用于任何其他帐户。
为WordPress管理员选择一个强用户名
虽然我们的主题是创建一个强密码,但您也应该为WordPress管理员选择一个强大的用户名。强大的用户名与选择强密码同样重要。当然,如果黑客试图侵入您的网站,他们需要找出您的密码和用户名。
WordPress用户选择的常用用户名是“admin”或他们的名字。如果您有一个简单的用户名,那么黑客就可以更容易地进入您的网站。因此,您需要创建一个更强大的用户名。
选择与您网站内容无关的用户名,不包含个人信息或详细信息,并使其成为您独有的内容,并且其他人难以猜测。
您还可以隐藏您的用户名,使其不会显示在您的网站上,以便黑客无法看到它。在WordPress仪表板中,转到“用户”,然后转到“您的个人资料”。转到公开显示名称字段,然后选择显示昵称而不是用户名的选项。
重要提示:不要让您的用户名太模糊。它必须是您可以轻松记住的内容,因为如果您忘记了密码,则需要使用用户名来检索密码。
关注WordPress插件和主题最佳实践
使用WordPress的一个好处是可以访问数以千计的免费插件和 免费的WordPress主题。但其中一些插件和主题实际上可能会威胁到您网站的安全性。事实上,几乎50%的WordPress网站都受到过时或编码不良的WordPress插件或主题导致的安全漏洞的影响。
因此,您需要注意选择在WordPress网站上下载和安装的主题和插件。
通常,选择安全的WordPress插件和主题的最佳方法是从WordPress官方插件目录中选择最流行的插件。数字安全。如果很多人使用插件或主题并且它有很多很棒的评论,那么它很可能是一个很棒的插件,无法让你了解任何漏洞。
如果插件或主题很少更新,有很多不良的客户评论,或者缺乏支持,那么它可能不是您想要在您的网站上使用的插件或主题。
要轻松找到上次更新插件的时间,只需转到WordPress官方目录中的插件页面即可。在页面的右上角,您可以看到插件上次更新的时间。
如果没有先进行研究,请不要下载任何插件。确保您选择的插件和主题是可信且安全的。
保持您的WordPress网站更新
此WordPress安全指南的下一步是保持WordPress网站的更新。保持WordPress网站的更新对于保护自己免受漏洞攻击至关重要。事实上,39%被黑客入侵的WordPress网站使用的是该软件的过时版本。这些插件和WordPress获得定期更新的原因通常是添加安全性改进和错误修复,因此您需要保持最新状态。
由于WordPress是一个开源软件,它会定期维护和更新。虽然WordPress会自动安装次要更新,但对于主要更新,您需要手动启动更新。
您还需要保持已安装的所有插件以及WordPress的更新。
幸运的是,WordPress可以让您轻松更新网站,插件和主题。在WordPress仪表板中,您将看到“更新”部分。每当您的第三方插件之一需要更新时,您都会收到通知。只需单击“更新”,您就会看到需要更新哪些插件。您可以选择每个插件,然后单击“更新插件”按钮立即更新。
在此区域中,您还可以确保已安装所有最新的WordPress更新。
安装WordPress备份插件
如果您的网站感染了病毒或恶意软件,或者您的网站遭到黑客攻击,那么备份您的网站非常重要。理想情况下,您需要完整备份整个网站,包括数据库和所有WordPress文件。这似乎是一个耗时且棘手的项目,但幸运的是,有很多 令人敬畏的WordPress备份插件 这将为你完成所有的工作。
以下是我们为保护和备份您的WordPress网站提供最佳备份插件的一些选择:
1. UpdraftPlus
UpdraftPlus有超过100万个有效安装,是最受欢迎的备份插件之一。 UpdraftPlus提供免费和付费版本的插件,您可以轻松设置所有网站文件的完整,手动或预定备份。这包括您的数据库,插件和主题。
您可以直接将云备份到Dropbox,Google云端硬盘,Amazon S3等。此外,您只需单击一下即可恢复文件 – 无需成为计算机专家。
2. BackupBuddy
自2010年以来,BackupBuddy一直在保护50万个网站,因此它是备份插件中另一个受欢迎的选择。只需点击几下,BackupBuddy就可以直接从WordPress仪表板备份整个WordPress网站。
备份网站页面,帖子,主题,插件,媒体库上传等后,BackupBuddy将为您提供整个WordPress网站的可下载zip文件。所以,如果你被黑客攻击,你的所有辛勤工作都将得到拯救。
立即开始使用BackupBuddy。
3. Jetpack的VaultPress
Jetpack的VaultPress,来自Automattic(后面的团队 WordPress.com),是最强大的备份和安全插件之一。
通过此插件,您可以轻松地通过所有WordPress内容的每日和实时同步来保持整个站点的最新备份。恢复备份也很简单,您只需单击1按钮,VaultPress将在几分钟内恢复任何备份。此外,此插件不仅可以备份您的WordPress网站,还可以对您的网站进行日常扫描,以查找可能存在危险的文件或可疑更改。
Jetpack今天开始使用VaultPress。
限制登录尝试
通过限制登录尝试来防止黑客进入您的WordPress网站。默认情况下,WordPress允许用户尝试根据需要多次登录。如果您想阻止黑客试图找出您的密码并进入您的网站,这并不理想。因此,限制登录尝试以防止暴力密码发现。
如果您正在使用带有Web应用防火墙的安全插件,如上所述,您的安全插件将为您提供此功能。但如果没有,你会想要下载像这样的插件 登录LockDown。
Login LockDown记录每次失败的登录尝试的IP地址和时间戳。如果在相同IP范围内的短时间内检测到超过一定数量的尝试,则对来自该IP范围的所有请求禁用登录功能。
在插件的设置中,您可以选择最大登录重试次数,重试时间段限制,锁定长度等。
将安全问题添加到WordPress登录
另一种加强WordPress登录安全性的方法是添加安全问题。安全问题就像是WordPress登录的额外密码,使入侵者更难以访问您的网站。
您可以使用类似的插件向WordPress登录添加安全问题 WP安全问题。使用此插件,您可以设置您选择的WordPress登录,忘记密码屏幕和注册的安全问题。
保护网站上的其他表格也很重要。例如,如果您想为您的网站创建联系表单,访客帖子提交表单,订单表格等,您需要确保这些表单也是安全的。黑客可以使用您的表单来暴露漏洞并访问您的网站,因此使用安全表单非常重要。
使用安全表单构建器时,如 WPForms,您的表单已经是安全的,但您也可以为表单添加额外的安全层。
使用WPForms,您可以自定义表单字段输入。这样黑客就无法输入随机字母和数字来尝试访问您的网站,他们只能输入您想要输入的数据。
您还可以在表单上启用reCAPTCHA。这会强制所有网站访问者在您的网站上提交表单,然后在提交之前单击“我不是机器人”复选框。此功能将有助于打击垃圾邮件,它还可以防止您的网站的评论和论坛被闯入并发布大量垃圾评论。
WPForms还提供了一个自定义CAPTCHA插件,允许您在表单上自定义问题和答案作为CAPTCHA。
立即开始使用WPForms。
自动注销空闲用户
您是否知道当用户将屏幕无人看管(例如让您的网站打开并远离计算机)时,您的网站实际上存在安全风险?当用户离开他们的屏幕时,入侵者可以接管他们的会话,更改他们的密码或更改其他敏感帐户信息。为防止这种情况发生,请安装一个插件 无效注销。
安装并激活插件后,您可以前往“设置”以配置插件设置。在这里,您可以决定用户在注销之前允许闲置的时间长度,并且您可以选择他们在注销时会看到的消息。
禁用您网站上的文件编辑
如果入侵者碰巧访问您的网站,他们可以轻松编辑WordPress管理界面内的插件和主题的PHP文件。由于存在安全风险,我们建议您关闭此功能。
如果您已下载安全插件 Sucuri 我们之前建议您使用其强化功能轻松完成此操作。
或者,您可以通过向网站添加一小段代码来关闭此功能。在wp-config.php文件中添加以下代码:
//禁止文件编辑
define('DISALLOW_FILE_EDIT',true);
点击此处获取详细说明 如何在WordPress中编辑wp-config.phph文件。
标志着你的WordPress网站被黑了
如果您是WordPress的新手并且正在构建网站,您可能想知道如何告诉您的WordPress网站已被黑客入侵。重要的是要认识到您的网站已尽快被黑客入侵。因为黑客在没有注意到的情况下访问您网站的时间越长,他们可以做的损害就越大。
所以,请注意并查看您的WordPress网站被黑客攻击的标志列表:
- 无法登录WordPress管理员 – 如果您无法登录WordPress管理员,并且您知道这不是因为您忘记了密码,则表明入侵者已获得访问您网站的权限并更改了您的登录详细信息。
- 网站缓慢或反应迟钝 – 如果您的网站加载时间比平时要长或没有响应,那么您的网站很可能被黑客入侵。当黑客向您的网站添加一段代码或称为拒绝服务的攻击时,就会发生这种情况。
- 污损主页 – 如果您的网站主页外观发生变化或显示来自黑客的消息,则表明您已被黑客入侵。
- 交通突然下降 – 黑客可以将流量从您的网站重定向,所以如果您看到网站流量突然大幅下降,您可能已被黑客入侵。
- 不需要的弹出窗口或广告 – 如果您在网站上看到不想要的弹出窗口或广告,那么您就会被试图将您的网站流量发送到垃圾网站或非法网站的入侵者攻击。
- 可疑用户帐户 – 在WordPress中查看可疑用户帐户是您遭到黑客攻击的另一个迹象。如果您的网站具有开放注册且没有垃圾邮件保护,则可以创建许多垃圾邮件帐户,这不是什么大问题。但是,如果您没有开放注册,并且发现具有管理员权限的可疑用户帐户,则表明您已被黑客入侵。
- 服务器日志中的异常活动 – 服务器日志是简单的文本文件,用于记录您网站上发生的各种活动。您可以在统计信息下的WordPress仪表板中查看这些日志。如果您在日志中发现异常活动,可能是因为您遭到黑客入侵。
如果您没有安全插件可以为您留意可疑活动,那么在寻找被黑客入侵的迹象时,您需要保持警惕。越早捕获入侵者,您就可以越早恢复安全。
或者,您可以使用我们的 免费WordPress网站安全扫描仪 检查您的网站是否存在任何已知的恶意软件或网站错误。
使用由Sucuri提供支持的免费工具,您只需输入您网站的URL,该工具即可立即扫描您的网站是否存在任何潜在漏洞。扫描完成后,您将获得有关您网站健康和安全的完整报告。
如果您的网站遭到黑客攻击该怎么办
如果您在WordPress网站上看到上述任何迹象,您可能会开始恐慌。如果您的网站之前从未被黑客攻击,那么很难知道您应该采取的下一步措施是什么。但不要担心,你可以恢复你的网站。
修复被黑网站的第一步是确定问题区域。使用上一节中的条件来确定黑客的来源。例如,您是否无法登录WordPress管理员?或者您的网站是否将用户重定向到其他网站?您需要知道问题是什么才能解决问题。
接下来,联系您的托管公司。大多数托管公司都有处理此类情况的经验,因此他们应该能够帮助指导您解决问题。他们甚至可以为您提供有关黑客如何获取对您网站的访问权限的额外信息,以便您可以防止它在将来再次发生。您的托管公司也应该能够完全帮助解决问题,但如果没有,您还可以转向其他地方。
现在,如果您的托管公司可以修复您的黑客网站,这并不意味着您一个人。您可以转向提供修复被黑网站的服务 Sucuri,我们之前提到的插件。 Sucuri不仅可以保护您的网站免受潜在攻击,而且如果您的网站被黑客攻击,他们也可以修复它。
您可以根据您希望响应时间的快速选择定价计划,禁食保证响应时间为4小时。修复网站后,您将收到完整的报告。
我们希望这个最终的WordPress安全指南帮助您学习如何保护您的网站免受所有类型的攻击者和入侵者的侵害。 WordPress的安全性并不难,只需实施这些提示,您的网站就是安全的。如果您喜欢这篇文章,请查看我们的其他帖子 如何正确升级WordPress。