提升WordPress安全性的几个简单方案
如果您正在使用 WordPress,那么您应该始终考虑网站的安全性。WordPress 的安全性并不优于或劣于其他平台,但由于其庞大的用户群、插件和第三方附加组件,使得它成为攻击者的主要目标。不过别担心,即使您不是专业技术人员,也可以采取一些基本步骤来确保网站的安全:
尽量避免使用默认的用户名“admin”
大多数 WordPress “入侵” 和攻击只不过是尝试通过猜测您的密码来暴力破解。如果攻击者不需要猜测您的管理员用户名,那破解密码对他们来说会更容易!避免使用常见词(如 admin)作为用户名可以大大降低暴力破解攻击的风险。
如果您正在使用包含“admin”用户的旧站点,现在是时候删除该账户,并将内容管理权限和访问权限转移到一个更安全的用户名上了!
使用复杂密码
使用更好的密码可以使其更难猜测或暴力破解。一个简单的记忆技巧是 CLU:复杂(Complex)、长(Long)、唯一(Unique)。
但是更长、更独特的密码可能很难记住,这就是1Password和LastPass等工具发挥作用的地方,因为它们各自都有密码生成器。您输入所需的长度,它会为您生成密码。只需保存好链接并保存密码即可。
添加双因素认证
即使您设置了用户名并使用了复杂密码,暴力破解依然有可能发生,而双因素认证可以为您的登录过程增加额外的安全性,降低密码被猜中的风险。
其原理是,除了输入您的登录详细信息外,您还需要通过输入来自您拥有的另一台设备的一次性代码(通常通过手机上的应用程序)来确认身份。这样,攻击者几乎无法伪造。
Google Authenticator 和 Rublon Plugin是两个比较流行的身份验证插件。
采用“最低权限”原则
最低权限的概念很简单。仅对以下几种情况授予权限:
1.需要它的人
2.在需要的时候
3.仅在需要的时间
例如,如果某人需要临时管理员访问权限来进行配置更改,可以授予,但任务完成后应立即删除该权限。
并非每个访问 WordPress 的用户都需要被设为管理员角色。将用户分配到适当的角色(如“编辑”或“贡献者”)可以大大降低安全风险。
如果您需要更细致的控制,可以使用 User Role Editor 等插件来调整访问规则和单个用户权限。
隐藏系统文件
wp-config.php 和 .htaccess 文件对 WordPress 的安全性至关重要。它们包含了系统凭据以及网站结构和配置的信息,确保攻击者无法访问它们非常重要。
隐藏这些文件相对容易,但操作不当可能会导致您的网站无法访问。因此,请先备份,然后谨慎操作。
为提高 WordPress 的安全性,您可以在 .htaccess 文件中添加以下内容以保护 wp-config.php:
order allow,deny
deny from all
这将防止文件被访问。类似的代码也可以用于保护 .htaccess 文件本身:
order allow,deny
deny from all
使用 WordPress 安全密钥
wp-config.php 文件有一个专门的区域,您可以在其中设置身份验证秘钥,这是一组随机值,对于您的站点来说是唯一的。WordPress 使用它们来加密存储在 cookie 中的信息,这使得攻击者更难通过假冒认证用户来潜入。
您可以定义自己的随机值,或使用方便的生成器来获取秘钥。
禁用文件编辑
黑客入侵后,最简单的方法是通过WordPress的“外观”>>“编辑器”来修改文件,因此可以通过禁用该编辑器编辑文件的功能来提升安全性。
您可以通过在wp-config.php文件中添加如下代码来实现:
define('DISALLOW_FILE_EDIT', true);
设置之后您可能无法再通过WordPress对网站进行编辑,但是您依然可以通过FTP或者文件管理器操作。
隐藏登录页面并限制登录尝试次数
暴力破解攻击通常针对您的登录页面。因此,更改其位置可以使攻击者更难进入。All in One WP Security & Firewall 插件可实现将默认 URL(从/wp-admin/)更改为更安全的 URL。
此外,您还可以限制从某个 IP 地址登录尝试的次数,保护登录表单免受大量登录尝试的 IP 地址的攻击。
谨慎使用 XML-RPC
XML-RPC 是一个已经存在了一段时间的应用程序接口(API)。有很多插件和主题都使用这个接口,因此技术水平较低的人在实现此特定硬化提示时要注意。
但是我们也不建议完全禁用它,而是有选择性地控制其访问。如果您使用 Jetpack,您需要特别小心。
选择好的主机服务
即使您对网站的安全性非常讲究,如果它托管在一个不那么讲究的公司,您所做的一切可能都白费了。
如果攻击者可以访问您的主机或者服务器,他们可以完全控制一切。这意味着选择(或迁移到)一个重视安全性的主机服务非常重要。较便宜的主机服务通常缺少良好的安全性或备份,或者可以帮您解决攻击和维护的技术支持。
对于初学者来说,找到合适的主机服务可能很复杂,在网上多浏览一些技术测评和评价,就可以有一个大致的范围选择,针对于WordPress网站,可以考虑Hostease这样比较老牌的主机提供商,他们公司中有些还带有专用的 WordPress 插件,提供更强的安全优势。
保持更新
定期更新主题、软件、插件和其他组件至关重要。否则,就等于是给攻击者敞开大门。
如果您正在运行最新版本的 WordPress,您还可以配置您的网站和插件,以便在有新版本时自动更新。
最后除了WordPress网站的本身,还需要确保主机服务甚至您本地计算机连接到服务器的FTP或者其他任何需要用到密码的地方,都建议定期进行更新。
定期备份
如果出现问题,您需要有备份,以便安全地回滚到较早的日期。好的托管公司会在其套餐中提供备份设施,但如果您想货比三家,有一些优秀的插件可用。
考虑使用安全插件
有些插件会寻找已知的攻击者和常见的攻击模式,并在他们有机会破坏您的网站之前阻止他们。如Sucuri Security 和 Wordfence,由雇佣安全研究人员的公司维护,这些研究人员负责监控、培训和修补问题。这有助于保护您的网站免受所有最新威胁的侵害。
使用 CDN 阻止“边缘”攻击
最佳安全解决方案可防止攻击者接近您的网站或管理员控制。许多内容分发系统包括复杂的防火墙功能;结合性能优化和保护。这些系统可以在网络级别识别并拦截恶意流量,并阻止其到达您的网站。
Cloudflare 在阻止“恶意流量”方面尤其出色,甚至有专门为保护 WordPress 网站开发的规则和扫描。他们的“零信任”安全方法扩展了我们的建议,即采用“最小特权”原则,假设所有流量和请求都是“不良的”,除非证明不是——而且他们的工具在防止常见攻击和暴力攻击方面做得很好。
日志记录和监控
即使有最好的保护,还是无法100%避免网站不出现问题,一旦出错了,了解发生了什么以及如何防止再次发生很重要。
在您的 WordPress 网站中添加活动日志插件可以帮助您诊断黑客入侵后的情况,并帮助您监控日常活动。
版权声明:
作者:zhangchen
链接:https://www.techfm.club/p/145159.html
来源:TechFM
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论