强大的网站安全性的重要性怎么强调都不为过。当您急于在最后期限前完成任务时,确保 WordPress 安全可能不是您的首要任务,但它应该是。这就是为什么我们整理了一份清单来帮助您做到这一点。
互联网上有超过 20 亿个网站,许多人认为他们的网站没有风险是可以理解的。但随着机器人攻击的自动化程度不断提高,每个网站都会在某个时候成为受害者。
因此,我们整理了一份清单,其中包含您应该采取的 14 个步骤,以保护您的网站免受攻击。
VPS中心
免费试用我们的服务器和域管理应用程序。您会感觉自己像一位经验丰富的管理员。
选择一个安全的网络主机。
使用地理位置禁用对 wp-admin 的访问。
使用密码管理器。
启用双因素身份验证并考虑获取硬件密钥。
设置WAF。
考虑使用备份插件。
考虑使用CDN。
在站点上设置HTTPS。
设置正确的重定向。
防止垃圾邮件。
设置正常运行时间监控。
考虑静态页面。
来自 Freelo.cz 的清单。
奖励:仅允许通过 VPN访问管理。
选择安全的网络主机
您可以采取本文中的所有步骤来保护您的网站,但如果您使用的是狡猾的网络托管服务商,这就像拥有一扇强化钛合金门并将钥匙留在门垫下一样。
无论安全性如何,共享主机都有足够的缺点。只需查看我们的文章,什么是网络托管以及如何选择合适的虚拟主机,我们将在其中更详细地讨论该主题。您将了解如何选择网络托管以及需要注意的事项。
最大的缺点是缺乏安全性。他人网站上的安全漏洞可能会危及整个物理服务器,从而更容易攻击您的网站 – 这并不是您自己的过错。
本文探讨了手机号码数据对消费者购买意 手机号码数据 向的影响。它强调了企业如何使用手机号码进行个性化短信营销、提醒和客户服务,以加强消费者的参与度。研究发现,通过手机进行及时更新和有针对性的促销可以增强信任并推动购买决策,使手机号码数据成为促进销售的宝贵工具。
如果您不想担心网站服务器上发生的情况,请选择虚拟服务器。使用VPS Center,网站管理类似于使用虚拟主机。此外,您拥有完全访问权限, 即所谓的 root,并且可以在服务器上执行任何安装和更改。服务器上的一切都已准备就绪,从 Web 服务器、数据库、电子邮件到监控。
研究我们的页面,其中我们描述了 虚拟服务器和共享网络托管上的个人安全性。
选择正确的虚拟主机的提示:
别看价格。在共享托管中,越贵越好。
选择一个没有安全丑闻的提供商。
技术支持是最重要的方面之一。检查评论并查看它们是否可用。
确保备份包含在价格中,如有必要,还包含恢复费用。
无论是提供数据中心级别的DDoS 保护还是免费的 HTTPS。
使用地理位置禁用对 wp-admin 的访问
攻击很少发生在攻击者“亲自在场”的情况下。无论您的网站有多大,您都无法确定恶意机器人不会找到您。
恶意机器人扫描整个互联网,寻找世界各地每个可能网站上的漏洞。如果他们发现有办法绕过您的 WordPress 登录页面,他们就会在您说“这不会发生在我身上”之前感染您的文件。
Freelo – 任务和项目管理工具
加入、邀请您的团队和客户、划分工作并观察任务的进展。
您可以采取几个步骤来确保您的登录页面免受此类攻击。
请记住,在不阻止 XML-RPC 的情况下,仅仅隐藏并不能解决任何问题。别担心,我们还将在本文中向您展示如何禁用 XML-RPC。最简单的选择是在 .htaccess 文件级别阻止它。Lynt.cz 的Vladimír Smitka在他的GitHub安全黑客攻击中提供了精彩的示例 。
正确安装和设置安全插件
使用Wordfence插件
Wordfence有大量活跃安装,但更新频率不如其他插件。但是,它仍然提供所有安全功能,例如:
WAF,
2FA,
屏蔽登录页面,
禁用 XML-RPC,
登录尝试概述,
封锁IP地址
或者如果网站上存在可疑流量,可能会发送警报。
当您购买许可证时,您还可以监控来自世界不同地区的网站登录尝试。然而,它的免费版本也很强大,对于大多数网站来说已经足够了。
如果您有兴趣设置 Wordfence 插件使其尽可能正常工作,请观看Vladi Smitka 的视频。他在布拉格 WordCamp(2019 年)上就安全主题发表了演讲。
Wordfence 插件仪表板中的示例
iThemes security 是 Wordfence 的一个很好的替代品
另一个流行的插件是iThemes,其下载量超过 100 万次。它提供了所有其他插件所需的一切。只有高级版本更昂贵,并且试图说服您可以直接从 WP 仪表板管理更多安全性,您可以在其中直接禁止访客/机器人。暂时授予用户管理员/编辑权限,可以为整个页面设置 Google reCAPTCHA,从而保护您免受垃圾邮件发送者和许多其他安全小工具的侵害。
安全插件使机器人更难进行暴力攻击。如果他们找不到您的登录页面,他们就无处测试密码。
您还可以尝试 AIOS(多合一安全)插件,该插件也会定期更新,并且拥有超过一百万的活跃安装量。
Smitka 的规则提示:MalCare 插件
该系列安全插件中另一个值得一试的插件是MalCare插件。 MalCare 被认为是最快的 恶意软件检测和删除插件(只需一键删除)。他能做什么?
只需一键扫描并删除恶意软件:
感谢云深度恶意软件扫描程序。
它可以发现所有类型的恶意软件,甚至是更复杂的恶意软件。
它会在 60 秒内删除恶意软件及其所有痕迹。
它还显示受感染文件的详细信息。
它不会减慢您的 WordPress 网站的速度。
保护网站:
它会阻止登录页面上已有的黑客机器人。
它识别并阻止所有恶意流量
它还允许使用 GEO 位置阻止 WP 管理员。
易于安装和可用的支持:
您只需配置一次安全性,无需再次配置。
快速安装。
免费版本可以做什么:
云恶意软件扫描:检测其他流行的 WordPress 安全插件所缺乏的全面恶意软件。
它有自己的网络应用程序智能防火墙:通过它您可以实时控制保护。在黑客和机器人损坏您的网站之前将其阻止。
使用验证码持续防御恶意登录页面流量:通过基于验证码的智能登录页面保护自动防止暴力攻击。
您需要额外支付的费用:
查看受感染或直接被黑客攻击的文
件:找出哪些模板、插件、文件或文件夹已被黑客攻击。
即时恶意软件删除:使用MalCare 的一键清理器在 60 秒内立即清理受感染的站点。
推荐的 WordPress 安全配置:只需直接从控制面板单击 1 次即可轻松配置推荐的安全最佳实践。不需要任何技术知识。
基于地理位置的阻止:根据用户的地理位置限制用户的访问。它可以轻松阻止来自某些“危险”国家的所有访客。
网站可用性监控:MalCare 持续监控网站。它将确保您不会错过任何停电。
通过电子邮件或聊天即时获得支持。
看看WordPress的官方网站,那里有详细介绍该插件的功能。
Sucuri插件
Sucuri插件是另一个超级安全插件。它基本上以两种方式工作。可以作为付费服务(类似于 Cloudflare),也可以作为独立的安全插件。使用 Sucuri,所有网站流量都直接路由到它们,cloudproxy 有一个防火墙,可以在将所有流量发送到托管服务器之前检查所有流量。因此,它可以在任何恶意请求或恶意软件攻击发生之前就将其过滤掉。
对于 WordPress,它提供了一个免费插件,您可以安装该插件来保护网站免受恶意软件和黑客的侵害。它创建了多层保护,保护网站免受安全威胁。
Tomáš Cirkl 在他的 WP Lama 论坛上描述了如何设置 Sucuri 插件。
使用密码管理器
密码有两个主要规则:
检查密码是否足够长并包含各种字符。
请勿同时对多个帐户使用相同的密码。
但你肯定知道这一点。懒惰和便利永远会战胜逻辑和安全。这就是为什么密码管理器为我们解决了两个最重要的规则。
1Password、Bitwarden或 Microsoft Authenticator(可下载Android 版和Apple版)是市场上最好的密码管理器。它们帮助您为所有帐户和应用程序创建和存储复杂的密码。当然,直接在 Chrome 或 Firefox 浏览器中实现的密码管理器也将有助于登录网站。
您需要记住的只是密码管理器的强而安全的密码 – 其余的都已处理完毕。
更高级的用户还可能考虑使用 bcrypt 方法对密码进行哈希处理。
启用双因素身份验证(可选)
您可以拥有超长且复杂的密码,但如果这 韩国号码 是您的数据和攻击者之间的唯一防御,那么它可能还不够。只需一次好的网络钓鱼攻击或社会工程,密码就会被盗。
双因素身份验证涉及将您的手机或其他设备链接到 WordPress,因此如果不输入每 10 秒更改一次的唯一代码就无法登录。
为此,我们可以使用 Wordfence 安全插件,并使用 2FA 应用程序,该应用程序允许:
作为最安全的远程系统身份验证形式之一,它们可以通过任何基于TOTP的身份验证应用程序或服务来使用。
使用验证码登录页面防止机器人登录。
禁用 2FA 或将2FA 添加到 XML-RPC。
您只需为每个用户帐户进行设置,每次有人通过用户名和密码屏幕时,系统都会提示他们打开应用程序并输入安全代码。
Wordfence 插件中的双因素身份验证
这使得黑客在无法同时访问您的用户名、密码和移动设备的情况下几乎不可能进入您的网站。
附加安全提示:
为每个 WP 帐户创建唯一的密码。如果您的密码被泄露,这将有助于识别“罪魁祸首”。
设置备用电子邮件地址,以防您丢失移动设备。
如果您忘记了屏蔽的登录 URL,您可以在数据库中找到它。
考虑使用硬件密钥 (U2F)
顾名思义,与其说它是一个程序,不如说它是一个看得见摸得着的帮手,用它可以简化并同时加强两步验证。通常,它是一种带有安全芯片的特殊 USB 或 NFC 设备(无线技术,可在最远 4 厘米的距离内快速安全地交换数据)。
安全密钥的工作原理与智能卡类似。例如,类似于打开酒店房间、办公室、实验室或类似场所的门。此时,芯片卡本质上充当了钥匙的作用。
硬件密钥的本质是,为了登录账户、数据等敏感文件,除了登录密码之外,还需要使用硬件密钥。
硬件密钥的类型(来源:
设置WAF(Web应用程序防火墙)
Web 应用程序防火墙 (WAF) 是一种特殊类型的防火墙,它设置定义的规则来保护 Web 应用程序免受攻击。
所有传入的 Web 服务器请求和响应均 内容营销人员克服写作障碍的指南 由此防火墙检查。它监控、过滤和阻止不需要的流量,并保护您的网站免受黑客和其他恶意流量的侵害。
WAF 只是 Web 应用程序和客户端之间的中介。
通常,WAF 用于防御传统解决方案无法提供保护的攻击,例如跨站脚本和 SQL 注入,但它也可用于防止对资源的非法访问 – 例如会话劫持。
Wordfence 插件已在其中实现了此防火墙,该插件本身可靠且免费使用。防火墙设置已经在插件的基本配置中完成。
考虑使用备份插件
事实是:计算机不会忘记。
无论是备份网站还是更新插件,没有什么比自动化过程更可靠的了。我们的WordPress 托管会自动将您的 WordPress 更新到最新版本。
使用插件自动备份
当然,A 计划是避免您的网站被黑客攻击。但做好最坏的打算总是好的,这就是 B 计划的用武之地。备份。没有他们,一切都会变得更加复杂,甚至无解。更新或不需要的干预也可能会损坏您的网络演示文稿。
用于备份的插件有很多,因此只需测试它们并选择合适的即可。有些是免费的,而另一些则按月或一次性付费。
UpdraftPlus – 备份超过 200 万个页面,最受欢迎的解决方案之一有付费版本和可以做很多事情的免费版本。
BackupBuddy – 最流行的高级插件。目前每个许可证的价格为80 美元。他能做什么?它只是设置自动备份,您可以将其保存到 Dropbox、FTP 甚至电子邮件。
BackWPup – 另一种解决方案,有付费和免费计划,可备份超过 600,000 个 WordPress 网站。
备份插件确实足够多,因此您只需测试其中的一些,然后在性价比适合您的情况下,在所有页面上使用它。