保护您的 WordPress 网站不是一劳永逸的事情。无论您多么信任您的安全插件,或者您在加固网站方面做得多么彻底,今天的安全网站不会成为明天的安全网站。为防止黑客攻击,您必须定期进行 WordPress 安全审核并弥补您发现的安全漏洞。

网站黑客攻击策略一直在进步,随之而来的是保护您网站安全的预防措施。把它想象成一个循环。网站越安全,闯入它的黑客就越有创意,这意味着您的网站必须变得更加安全,等等。

目标是至少每三个月进行一次 WordPress 安全审计。每月更好,每周(甚至每天,取决于您网站的敏感程度)最好。当然,如果您觉得您的网站有问题,请立即进行安全审核。以下任何一项都应发出危险信号:

  • 您的网站突然变得缓慢而迟缓。
  • 无明显原因的网站流量大幅下降。
  • 新帐户、登录尝试或“忘记密码”请求。
  • 您未添加的新链接在您的网站上。

以下步骤对于使您的网站在安全性方面保持最佳状态是必要的。有了核对清单,您将简化审计而不是压倒它。

WordPress 安全审计概述

在某些时候,几乎每个 WordPress 站点都会遇到某种类型的安全问题。一个常见的情况是当插件或主题受到漏洞的困扰时,允许黑客直接访问您的网站。一旦您的网站被黑客入侵,可能会发生很多事情:

  • 客户个人数据被盗
  • 显示非法广告和内容
  • 流量分流到别处
  • WordPress 数据被加密、删除或出售

这不仅仅是几个小时的头痛或网站崩溃。黑客可以保留您的数据以索取赎金。您网站上的信息可以在暗网上出售。 Google 可以将您的网站列入黑名单以在网络上显示垃圾邮件。如果客户的信用卡信息被盗,客户可以起诉你。一旦黑客获得您的访问权限,其他网站可能会被感染。

WordPress 安全审核可识别这些漏洞,因此您可以在黑客攻击之前立即修补它们。您将确保您当前拥有的安全措施仍然有效,并且您还将找出您需要更多保护的地方。

评估您正在使用的安全插件

您的 WordPress 安全插件是保护您网站的最重要工具之一。确保您的安全插件仍按如下方式运行:

  • 活动日志:这会跟踪您网站的用户,包括登录者和登录时间、登录尝试失败以及网站更改。
  • 防火墙:这将阻止试图进入您网站的机器人、黑客和 IP 地址。
  • 登录尝试:Quality Security 插件将强制使用强密码,需要双因素身份验证并限制登录尝试。
  • 登录保护:这可以防止黑客尝试不同的用户名和密码组合来登录的暴力攻击。
  • 恶意软件扫描和清理:这应该每天运行并深度扫描您网站的数据库、恶意软件的文件和文件夹,并清除它找到的所有内容。
  • 实时警报:如果您的网站发生任何可疑情况,该插件应立即通知您。

还没有安全插件?将此视为 WordPress 安全审核的第一步。我们收集了 6 个最好的 WordPress 安全插件供您选择。

测试您的网站备份解决方案

如果您的网站出现无法修复或过于复杂而无法修复的问题,拥有 WordPress 备份意味着您可以将网站恢复到以前的状态问题发生前的状态。但是,如果您的备份失败,那么您将无法恢复任何内容,这意味着您可能会陷入受感染或出现故障的站点。理想情况下,您将使用允许您测试备份的备份解决方案(无论它是由您的主机提供还是您使用的插件),例如 Blog Safe。您可能还想阅读我们的文章 6 个最佳 WordPress 备份插件。

检查您的 WordPress 管理员和 FTP 设置

使用 WordPress,您可以多次登录以处理各种项目,但是这并不意味着每次登录的 Everyone 都应该拥有对您站点的完全访问权限。对于您的 FTP 客户端,允许多人访问意味着他们可以更改……好吧,关于您站点的所有内容。

当您在 WordPress 中添加新用户时,您会为他们分配一个角色(您也可以编辑他们的个人资料以更改他们的角色):

不同的角色有不同的能力。例如,管理员可以访问网站的所有管理工具(如更改主题或安装插件),但贡献者只能撰写和管理自己的帖子。以下是对不同角色及其能力的全面细分。

对于您的 WordPress 安全审核,请执行以下操作:

  • 查看哪些 WordPress 用户具有管理员级别的访问权限。
  • 确定是否所有这些用户都需要该级别的访问权限(以及其他具有有限访问权限的用户是否应该是管理员)。
  • 通过更新这些人的用户角色来降低权限并限制访问。
  • 如果您无法在仪表板中识别用户,请将其删除 - 它们可能是黑客创建的帐户。
  • 是否有仅“admin”的用户名?这是一个非常常见的用户名,黑客经常试图使用它来访问您的网站。为那个人创建一个新的用户帐户并删除旧的。
  • 删除不需要如此高级别访问权限的用户的 FTP 帐户。

最后,如果您的站点允许成员,您要确保他们在注册时必须实际创建一个帐户,并且他们的默认角色不允许管理员访问。前往“设置”>“通用”。取消选中任何人都可以注册旁边的框。然后,在新用户默认角色下选择适当的选项。

确保WordPress已启动to date

你可以自动运行这个程序,但你仍然需要仔细检查 WordPress 是否更新到最新版本。更新不只是修补安全漏洞——它们还提高性能和添加功能。转到仪表板 > 更新以查看它是否准备就绪。

清理你的插件和主题

插件可以扩展您网站的功能,但它们也容易受到攻击,特别是如果它们很长时间没有更新。可靠的开发人员会密切关注他们的插件是否存在漏洞并发布补丁更新。在您的 WordPress 安全更新期间,转到您的插件列表并执行以下操作:

  • 停用并卸载您不再使用或识别的所有插件。
  • 更新任何剩余的准备好更新的插件。
  • 如果您使用的插件尚未收到开发人员的更新,请考虑使用另一个具有相同功能的插件——过时的插件很容易受到安全问题的影响。

即使您每个月左右进行一次 WordPress 安全审核,定期检查您的插件以根据需要更新它们也是一个好主意。此外,删除您当前未使用或不需要的任何主题。就像插件一样,主题也会带来安全漏洞的风险,因此最好尽可能保持您的网站清洁。

注意安全!

您不会停止处理业务的其他部分 - 提出新产品或服务、营销它们、销售等。您的网站安全性应该没有什么不同。如果您不及时发现一个小问题,可能会很快导致威胁业务的黑客攻击,但如果不知道问题是什么,您将不知道要实施哪些修复。

保持您的网站安全是一个持续的过程,拥有一个 WordPress 安全审核清单可以让您省去试图记住每个月要做什么的麻烦。另外,您可以使用安全插件实现的自动化越多越好。如果您需要做的大部分工作是仔细检查插件是否仍在正常运行,那么您的 WordPress 安全审核清单可能会小得多。我们对两个领先的安全插件 Sucuri 和 Text Fence 的评论进行了深入的概述。

来源