您的WordPress网站安全吗?您的访客的密码、个人数据及其它敏感信息是否能够免受越来越多的网络攻击?黑客攻击事件频繁,我们需要更加努力地保护网站。在本文中,将介绍安全性为何重要以及如何保障您的WordPress网站安全。
为什么WordPress网站安全很重要?
2021年上半年,拦截密码攻击超过860 亿次,平均每天有30,000个网站被黑。黑客或各种类型的恶意软件不断尝试访问网站及其敏感数据。
调查发现,有43%的网络攻击针对的是小型企业的,而这些企业中仅有14%做好了安全保障。
攻击总是出乎意料的。如果没有掌握WordPress网站安全性,则很难快速恢复。
从这些简单的安全基础开始
在设置 WordPress 网站安全性时,可以做一些基本的事情来加强保护。
以下是应该实施的一些首要措施,以帮助保护网站。
SSL已经成为了数百万网站用来保护其与客户通信的行业标准。如果还在使用HTTP协议而非HTTPS协议的话,应当立即部署SSL证书。
除了获得 SSL 证书外,还可以要求所有登录者使用强密码。
使用或重复使用熟悉或易于记忆的密码可能很方便,但这样做会使用户和网站面临风险。
提高密码强度和安全性会减少被黑客入侵的机会。
特别是管理员密码,一定要使用包含英文大写与小写、数字、符号的密码。否则容易被暴力破解。
WordPress 插件是快速向网站添加有用功能的好方法,并且有几个很棒的安全插件值得推荐。
安装安全插件可以为网站添加一些额外的保护层。
对于初学者,尽量只安装来自受信任的开发人员的插件和主题,越知名的开发者相对较安全。
如果插件或主题不是由可靠来源开发的,那么不使用它可能会更安全。
最重要的是,请确保更新 WordPress 插件和主题。
就像过时的 WordPress 版本一样,使用过时的插件和主题会使网站更容易受到攻击。
始终使 WordPress 保持最新状态对于维护网站的安全性和稳定性至关重要。
每次报告 WordPress 安全漏洞时,核心团队都会开始努力发布修复该问题的更新。
如果没有及时更新的话,那么可能使用的是具有已知漏洞的 WordPress 版本。
截至 2021 年,网络上估计有 13 亿个网站,其中超过4.55 亿个网站使用 WordPress。
因为它如此受欢迎,所以 WordPress 是黑客、恶意代码分发者和数据窃贼的主要目标。
不要使用旧版本的 WordPress 让自己受到攻击,建议开启自动更新功能。
保护WordPress网站安全的另一种方法是始终对网站和重要文件进行备份。并经常这样做,最好借助一些工具实现自动备份,例如计划任务crontab功能。
这样,如果网站确实发生了问题,可以快速使用已备份版本恢复和运行。
因为“admin”是一个很常见的用户名,它很容易被猜到。
记住,切勿使用“admin”用户名。
这样做会容易受到暴力攻击。
就像拥有一个强密码一样,为登录用户名使用唯一的用户名是一个好主意,因为它使黑客更难破解登录信息。
如果当前使用的是“admin”用户名,请马上更改 WordPress 管理员用户名。
增加更多的安全措施
如果已完成以上所有基础知识,且对WordPress有一定的熟悉度,那么建议继续往下看,并为WordPress网站增加更多的安全措施。
默认情况下,可以通过在域名末尾添加“/wp-admin”或“/wp-login.php”来访问大多数 WordPress网站的仪表板登录页面。
这使黑客很容易开始尝试侵入您的网站。
一旦黑客识别出您的登录页面,他们就可以尝试猜测用户名和密码以访问管理仪表板,甚至开展暴力破解。
隐藏WordPress登录页面是防止成为入侵目标的好方法之一。
WordPress 可以使用 XML-RPC 协议的实现将功能扩展到软件客户端。
此远程过程调用协议允许运行命令,返回采用XML格式的数据。
大多数用户不需要 WordPress XML-RPC 功能,它是最常见的漏洞之一,可让用户受到攻击。
Wordfence Security 插件或Perfmatters等插件都可以禁用XML-RPC功能。
WordPress wp-config.php 文件包含很多非常敏感的信息,包括WordPress 安全密钥和数据库连接详细信息。
Apache可以通过 .htaccess保护 wp-config.php 文件:
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$"> Order deny,allow Deny from all </FilesMatch> 如果是Nginx服务器,则可以参考:
location = /wp-config.php { deny all; }有时 WordPress 网站可能有一些不知道存在的漏洞。
使用可以发现漏洞并为修复它们的工具是明智的。
当发现新的安全漏洞时,该插件还会通过电子邮件发送通知。
加强服务器端安全
至此,已经完成了大部分的WordPress网站安全防护工作。
当然还可以采取加强安全性的其余操作,不过这些需要在网站的服务器端完成。
在寻找服务器服务商时,都希望找到一家快速、可靠、安全且能够为您提供优质客户服务的公司。
大公司意味着服务更全面,但不一定适合所有网站。因为小客户是很难获得一流支持的,不论是阿里云、腾讯云还是华为云等,一般的工单大多不是专业工程师在解答,大部分都是一些“非专业”客服照着文档回复的。
能为客户提供服务器安全加固或提供安全配置的服务器商还是有的,不过得额外收费。
如果使用的不是最新版本的 PHP,请立即升级 PHP 版本以保护自己免受攻击。
即时不升级至最新版PHP,也应该保持自己的PHP版本还在官方提供维护升级的范围内,并保持小版本最新(修复已知漏洞)。例如:PHP 7.4,截止到目前,最新版应该是PHP 7.4.29。
可以为 WordPress 网站添加额外安全措施的最后一件事是使用Web 应用程序防火墙 (WAF)。
WAF通常是基于云的安全系统,可为站点提供另一层保护。
可将其视为网站的网关。
它阻止所有黑客攻击并过滤掉其他恶意类型的流量,例如分布式拒绝服务 (DDoS) 攻击或垃圾邮件发送者。
WAF 通常需要按月付费,但如果非常重视 WordPress 网站安全性,那么购买一个是值得的。
