WordPress安全性问题对于每个网站主来说都是非常重要的一个话题。Google每周都会将20000多个恶意软件网站和50000多个钓鱼网站加入黑名单。
WordPress安全性问题对于每个网站主来说都是非常重要的一个话题。Google每周都会将20000多个恶意软件网站和50000多个钓鱼网站加入黑名单。如果你真的关心网站的安全性,那你需要花一些精力去真正去实践WordPress安全防护的措施。在本指南中,我们将分享所有最有效的WordPress安全防护措施,以帮助你保护网站免受黑客和恶意软件的侵害。
虽然WordPress软件核心的部分是非常安全可靠的,而且还有上百名开发者定期审核,但是仍然可以从许多方面来加强你的网站安全性。
我们认为安全不仅仅是指消除危险,也是指减少危险。作为一个网站主,你可以做很多事情来提高你的网站安全性(即使你不懂技术)。
我们有许多可操作的步骤,您可以采取这些步骤来提高WordPress的安全性。为方便起见,我们创建了一个目录,以帮助您轻松浏览我们的终极WordPress安全指南。
目录
WordPress安全基础知识
为什么WordPress的安全性这么重要?让WordPress保持最新版复杂密码和用户权限网络主机的角色
提高WordPress安全性的简单方式 (无需代码)
安装WordPress备份方案最好的WordPress安全插件启用网络应用防火墙 (WAF)
DIY用户的WordPress安全性
修改默认的用户名“admin”禁用文件编辑禁用PHP文件执行限制登录尝试修改WordPress数据表前缀用密码保护WordPress管理员和登录页面禁用目录索引和浏览禁用WordPress的XML-RPC自动注销空闲用户为WordPress登录添加安全问题修复被黑的WordPress网站
准备好了吗?我们开始吧!
为什么WordPress的安全性这么重要?
被黑客入侵的WordPress网站可能会严重损害您的业务收入和声誉。 黑客可以窃取用户信息,密码,安装恶意软件,甚至可以向用户分发恶意软件。最糟糕的是,你可能会为了重新获得网站的权限而不得不向黑客支付赎金。
在2016年3月,Google曾发布报告称,大约有5千万网站用户在访问可能包含恶意软件或者会窃取信息的网站时收到过警告。此外,谷歌每周都会将大约20,000个恶意软件网站和大约50,000个网络钓鱼网站列入黑名单。
如果你的网站是企业网站,那你更需要对网站的安全性额外关注。
与企业所有者保护其实体店铺的责任类似,作为在线企业所有者,你有责任保护你的企业网站。
让WordPress保持最新版
WordPress是一款开源的软件,也是会定期维护和升级。默认情况下,WordPress会自动安装一些小的更新。对于大版本更新,你需要手动启动更新。
WordPress还有成千上万的插件和主题可以安装,这些插件和主题是由第三方开发者维护的,也是会定期进行更新。
这些WordPress更新对你网站的安全性和稳定性起到关键的作用。你需要确保WordPress核心文件,插件和主题都升级到了最新版。
复杂密码和用户权限
最常见的黑客攻击是使用被盗的密码,你可以通过专门为网站创建一个复杂的密码来提高这种攻击的难度。不仅你的WordPress管理员后台密码要提高强度,同时还有FTP账户、数据库、WordPress主机账户以及你的邮箱密码。
小白不喜欢使用复杂密码最主要的原因是因为它们太难记了,为了解决这个问题,我们推荐你使用密码管理器。
另一个降低风险的方法是不要将你的管理员账户交给其他人使用,除非这非常有必要。如果你的团队人数较多或者有很多兼职作者,在你添加新用户和作者前,请确保你已经了解了WordPress中用户角色和权限相关的内容。
网络主机的角色
你的网路主机服务商在网站安全性方面扮演着非常重要的角色。一个合格的共享主机提供商,例如BlueHost或者Siteground会采取一定的措施来保护他们的服务器免受一般的威胁。
但是,在共享主机上,你与许多其他客户共享服务器资源。 这可能会导致跨站点污染,黑客可以利用邻近站点攻击你的网站。
使用WordPress托管服务可为你的网站提供更安全的平台。 WordPress托管公司会提供自动备份,自动WordPress更新和更高级的安全配置来保护你的网站。
我们推荐使用WPEngine作为首选WordPress托管商,他们也是业内最受欢迎的产品之一。
提高WordPress安全性的简单方式 (无需代码)
我们知道提升WordPress安全性对于小白来说无疑是一个大难题,尤其是你还不懂技术的情况下。不过不用担心,不懂技术的人不止你一个。
我们将为你展示如何仅用鼠标点几下就可以提升网站的安全性(无需代码)。只要你会使用鼠标,你就可以做到!
安装WordPress备份方案
备份是你面对WordPress攻击时的第一道屏障。记住,没有什么是100%安全的,如果连政府的网站都能被攻破,又何况是你的呢?
备份可以让你在遇到突然状况时快速回复你的网站,WordPress有许多免费和付费的备份插件。在备份时,你需要知道的最重要的事情是你必须定期将全站备份保存到一个远程位置(而不是你网站所在的主机)。
我们推荐将备份内容保存在像Amazon,Dropbox这样的云盘中,或者像Stash的私有云。
基于你网站的更新频率,理想的备份频率是每天备份或者实时备份。
幸好,备份这个枯燥的工作可以使用VaultPress或者BackupBuddy这样的插件自动完成。他们都非常可靠,最重要的是使用简单(不需要代码)。
最好的WordPress安全插件
备份之后,我们需要做的下一件事是建立一个审计和监控系统,跟踪网站上发生的一切。这包括文件完整性监控,登录尝试失败,恶意软件扫描等。
值得庆幸的是,这可以通过最好的免费WordPress安全插件Sucuri Scanner来完成。你需要安装并启用Sucuri Security插件,安装的具体步骤。
启用后,从管理员后台进入Sucuri的菜单。
首先,你需要去生成一个免费的API key。有了API key后就可以启用审核日志记录,完整性检查,电子邮件警报和其他重要功能。
下一步,点击Sucuri菜单的Settings,点击“Hardening”标签,然后挨个点击“Apply Hardening”按钮。
这些选项可以锁定黑客在攻击中经常使用的关键区域。 唯一需要付费的是Web应用防火墙,我们将在下一步中解释,因此暂时跳过它。
对于那些想要在不使用插件的情况下执行这些操作或者其他操作(例如“修改数据库前缀”或“修改管理员用户名”)的人,我们也在后面介绍了相关的操作方式。
设置完Hardening部分后,大部分默认设置就都不需要修改了。我们唯一推荐的是对Email Alerts(邮件警告)进行自定义。
默认的报警设置可能会让你的收件箱接收很多无用的邮件,我们建议设置成只接收重要操作的邮件,例如插件更改,新用户注册等。你可以在Sucuri设置中的Alerts选项卡里进行设置。
这个WordPress安全插件非常强大,你可以浏览所有选项卡和设置来了解它的全部功能,例如恶意软件扫描,审核日志,失败登录尝试跟踪等。
启用网络应用防火墙 (WAF)
保护网站并对WordPress安全性充满信心的最简单方法是使用网络应用防火墙(WAF)。 防火墙可以在所有恶意流量到达你的网站之前进行阻止。
Sucuri是我们在WordPress上推荐的最好的网络应用防火墙。
Sucuri防火墙最好的地方是它还自带恶意软件清理和黑名单软件删除的功能。基本上只要在软件的监控下你的网站被入侵了,他们保证可以将你的网站修复(无论你有多少页面)。
这是个非常强有力的保障,因为修复被入侵的网站非常贵,安全专家每小时的收费通常在250美金,而你只需要每年花199美金就可以或得完整的Sucuri安全软件包。
Sucuri当然不是唯一的防火墙提供商,另一款比较流行的竞品是CloudFlare.
DIY用户的WordPress安全性
如果上面提到的操作你都做了,那么你的网站应该很安全了。但是,你仍然可以从很多方面来加强网站的安全性。其中一些步骤可能需要编码知识。
修改默认的用户名“admin”
在以前的老版本中,WordPress管理员的默认用户名是“admin”。因为知道了用户名的话,那就相当于知道了1/2的登录凭据,这也使得黑客进行暴力攻击变的更加容易。
值得庆幸的是,在近几年的WordPress版本安装时,WordPress会要求你自己设置一个自定义的用户名。
然而,一些WordPress一键安装包任然将默认的管理员用户名设置为“admin”。如果你注意到了这种情况,可能你该考虑换一家主机服务商了。
由于WordPress默认是不允许你修改用户名的,所以这里我们给出三种让你可以修改用户名的方法。
创建一个新管理员用户名,然后把之前的那个删除。使用Username Changer插件。从phpMyAdmin修改用户名。
注意:我们在讨论的是叫“admin”的用户名,不是管理员角色。
禁用文件编辑
WordPress自带一个代码编辑器,你可以很方便的在管理员后台界面就可以对主题或者插件的文件进行编辑。但是如果使用不当的话,这个功能也是存在安全风险的,所以我们建议关闭该功能。
你可以在wp-config.php文件中添加如下代码来关闭此功能。
// Disallow file edit
define('DISALLOW_FILE_EDIT', true );
或者,你也可以在上面提到的免费Sucuri插件中,点击Hardening功能中的相关条目来一键关闭。
对特定的WordPress目录禁用PHP文件执行
另一个可以加强WordPress安全性的方法是对那些不必要的目录(例如:/wp-content/uploads/)禁用PHP文件执行。
打开文本编辑器,将下面的代码拷贝进去:
<Files *.php>
deny from all
</Files>
然后,将文件保存并命名为.htaccess,使用FTP客户端将文件上传至 /wp-content/uploads/。
当然,你也可以在上面提到的免费Sucuri插件中,点击Hardening功能中的相关条目来一键关闭。
更详细的说明,请查看如何对特定的WordPress目录禁用PHP文件执行。
限制登录尝试
WordPress默认是允许用户无限制的不断尝试登录,但是这让你的网站面临被暴力破解的风险。黑客会试图通过不同的组合来破解密码并登录你的网站。
这个问题可以通过限制用户登录失败的次数来修复。如果你正在使用上面提到的网络应用防火墙,那么它已经自动开启了该功能。
如果你没有设置防火墙的话,按照下面的步骤也是可以的。
首先,安装并启用Login LockDown插件。插件安装的具体步骤请参考如何安装WordPress插件。
启用后,前往 “设置”“Login LockDown”去进行插件的设置。
详细的操作步骤,请查看如何以及为什么你应该限制WordPress登录尝试。
修改WordPress数据表前缀
默认情况下, WordPress数据库中的数据表都是使用 wp_ 作为前缀的。如果你的数据库使用默认的前缀,那么黑客就很容易猜到你的数据表名,所以我们推荐修改前缀。
你可以按照这篇《如何修改WordPress数据库前缀来提升安全性》的文章进行修改。
注意:如果处理不好的话,你的网站会整个都挂掉。除非你对自己编程技术有信息,否则不要修改。
用密码保护WordPress管理员和登录页面
正常情况下,黑客可以不受限制的请求你的 wp-admin文件夹和登录页面,这也给了黑客机会去尝试他们的各种黑客技巧已经运行DDoS攻击。
你可以在服务器端添加额外的密码保护,这可以高效的拒绝这类的请求。
可以按照这篇教程来学习如何使用密码来保护WordPress管理员(wp-admin)目录。
禁用目录索引和浏览
黑客可以使用目录浏览来查看是否有任何已知漏洞的文件,这样他们可以利用这些文件来获取访问权限。
目录浏览还可以被其他人用来查看你的文件,复制图片,查看你的目录结构以及其他信息。所以我们高度推荐你关闭目录索引和浏览。
使用FTP或者cPanel的文件管理器连接到你的网站,然后找到网站根目录下的.htaccess文件。如果你看不到该文件,可以了解一下为什么你无法看到WordPress中的.htaccess文件。
然后,将下面的代码添加到 .htaccess文件中。
Options -Indexes
最后别忘了将文件保存并上传到原来位置。关于这个话题更详细的内容,请阅读如何在WordPress中禁用目录浏览。
禁用WordPress的XML-RPC
从WordPress 3.5开始,XML-RPC是默认启用的,因为它可以帮你将WordPress网站连接到网络应用或者手机应用。
然而由于其强大的特性,XML-RPC会明显的提升暴力攻击的成功率。
举个例子,以前如果一个黑客想尝试500种不同的密码登录你的网站,那他们需要进行500次的登录尝试,但这回被Login LockDown插件察觉并进行阻拦。
但是使用XML-RPC,黑客可以使用 system.multicall 函数在20或50个请求中就进行上千次的密码尝试。
所以如果你用不到XML-RPC的话,我们建议你禁用它。
有三种可以禁用XML-RPC的办法,我们已经在《如何禁用WordPress的XML-RPC》中都提到了。
提示:.htaccess是最好的方法,因为它使用最少的资源。
如果你正在使用前面提到的网络应用防火墙,那么防火墙就可以处理这个问题。
自动注销空闲用户
已登录的用户有时候需要离开电脑前一会,这暴露出一个安全隐患。有人会黑进他们的session,修改密码,或者修改他们的账户。
所以这也是为什么许多银行和财务类网站会自动注销不活动的用户。你也可以在WordPress网站上实现类似的功能。
你需要安装并启用Idle User Logout插件。启用后,前往“设置”“Idle User Logout”页面对插件进行设置。
只需要设置一下时间并取消选择“Disable in WP Admin”选项(为了更安全)就可以了。最后别忘了点击“保存更改”。
更详细的教程,参见WordPress中如何自动注销不活动的用户。
为WordPress登录添加安全问题
向WordPress登录页面添加安全问题,可以使一些人更难以获得未经授权的访问。
你可以通过安装 WP Security Questions 插件来添加安全问题。启用插件后,前往“WP Security Questions”“Plugin Settings”页面对插件进行设置。
更多详细的教程,请查看如何给WordPress登录页添加安全问题。
修复被黑的WordPress网站
许多WordPress用户在他们的网站被黑之前都没有意识到备份和网站安全性的重要。
清理一个网站是非常有难度的并且也会耗费大量的时间。我们首选的建议是让网络安全专家来处理。
黑客会在被感染的网站上植入后门,如果这些后门没有被完全修复,那么你的网站很有可能会被再次黑掉。
请专业的安全公司,例如Sucuri,来修复你的网站可以确保网站在以后的使用中是安全的,同时也会对未来的攻击进行防御。
对于DIY用户,我们推荐这篇如何修复被黑的WordPress网站。
以上就是这篇指南全部的内容了,希望这篇文章可以让你了解到关于WordPress安全性方面的内容,同时也能为自己的网站找到最佳的安全插件。