WordPress 安全性对于任何网站所有者来说都是最重要的主题之一。无论是管理一家精品电子商务商店还是 50 个客户站点,遇到安全漏洞都可能意味着时间、金钱和信誉的损失。所有这些都是没有人愿意面对的。
虽然没有适用于每个 WordPress 站点的“一刀切”的安全解决方案,但有一些可以产生巨大影响的最佳实践。在本文中,我们将首先解释网站为何遭到黑客攻击,并分享易于在的工作流程中实施的安全提示。
一、为什么 WordPress 网站会被黑客攻击?
在我们直接进入 WordPress 安全最佳实践之前,首先了解网站为何遭到黑客攻击会很有帮助。一般来说,黑客倾向于针对网站的原因如下:
- 通过网站发送垃圾邮件。
- 窃取信息,例如数据、邮件列表、存储的信用卡等。
- 欺骗网站在用户的计算机上安装恶意软件。
虽然安全事件可能感觉像是个人攻击,但它通常是更大计划的一部分,例如分布式拒绝服务攻击。黑客可能不会针对单个站点,而是针对站点正在运行的基础设施,从而同时影响多个站点。这就是为什么了解一些基本的 WordPress 安全标准很重要,即使只是运行个人网站。
除此之外,WordPress 可能会成为专门的攻击目标,因为它广泛流行。由于 WordPress 现在为超过 43%的网站提供支持,因此对于在线攻击者来说,WordPress 是一个巨大的“机会领域”。
但仅凭这一点不应该引起恐慌。 WordPress 是一个开源 CMS,拥有高度敬业且参与的贡献者社区,这意味着有大量人员不断致力于提高平台的安全性。
二、6个WordPress的安全措施
1. 保持主题、插件和WordPress版本的更新
增强网站安全性的最简单方法之一就是保持所有内容的更新。虽然跟上插件更新可能会让人觉得乏味(特别是当尝试管理多个WordPress 网站时),但这些更新的发布是有原因的(通常与安全相关)。
如果开发人员发现代码中存在漏洞,他们通常会推送更新来修复它。网站使用过时版本的时间越长,就越有可能成为黑客的目标。
虽然这可能需要一些时间,但保持所有插件、主题和 WordPress 核心更新的最新状态是限制安全风险的好方法。如果使用的是托管 WordPress 主机,则 WordPress 更新应自动执行,从而帮助掌握最新的核心更新。
当涉及到保持插件更新时,智能插件管理器等解决方案会在预先安排的时间自动检查插件是否有更新。使用机器学习和视觉测试,智能插件管理器还可以确保网站在更新时不会中断。
2. 应用用户名和密码最佳实践
3. 限制登录尝试
既然登录凭据已得到加强,请通过限制登录尝试进一步提高登录安全性!这是防御试图访问网站的暴力攻击的最佳方法之一。
要限制登录尝试,可以使用像Limit Login Attempts这样的插件,它将在三个错误后阻止任何登录网站的尝试,并阻止该尝试二十分钟。
4. 移动WordPress登录URL
让 WordPress 网站更加安全的另一种方法是更改登录页面。众所周知,要登录网站,只需添加/wp-admin到URL末尾即可。通过更改链接,可以有效地隐藏网站的入口,使黑客更难找到。
可以通过多种方式更改登录 URL,但WPS 隐藏登录插件(WPS Hide Login)是一个不错的起点!只是不要忘记将URL更改为什么,并记住与任何其他网站协作者或客户共享。
5. 使用双因素身份验证
使登录更安全的另一个好方法是使用双因素身份验证。此安全方法充当临时第二密码,每 30 秒左右更新一次。为了访问网站,黑客必须在 30 秒的时间内猜出网站的真实密码和临时安全代码,这大大增加了阻止他们的机会!
双因素身份验证非常有用,因为可以将其用于与管理的站点相关的各种登录名。例如, WP Engine 允许在WordPress 托管帐户上启用双因素身份验证,并且还可以将其添加到各个 WordPress 站点。
6. 将验证码添加到表单中
正如可能已经了解到的那样,锁定网站的登录页面非常重要。然而,这并不是应该关注的唯一形式。不要忘记博客评论、结帐页面或网站上的任何其他开放表单!
这些表单中的每一种都为黑客提供了向网站提交信息的机会,例如评论中的恶意链接。即使它不会直接影响网站的性能,但存在可疑链接也会造成令人困惑的用户体验,甚至可能损害业务。
为了防止此类活动,可以安装 WordPress 插件,例如BestWebSoft的Google Captcha (reCAPTCHA)。
分类:新闻资讯