上海网站优化公司:提高WordPress安全性只需几个简单的步骤

WordPress安全一直是值得深思的。尽管大多数最新更新都涉及WordPress安全问题,但仍然有很多工作可以用来改善安全性,即使是对我们技术不太熟悉的人也是如此。在这里,上海网站优化公司想列举一些关于如何提高WordPress网站安全性以获得最佳WordPress安全性的建议。

上海网站优化公司:WordPress安全性只需几个简单的步骤

WordPress本身有一个您可能想要阅读的WordPress安全性列表。当然,该列表中的一些内容将在下面的文章中重复。就个人而言,我更喜欢更实际的列表和方向; 这就是为什么我们决定写这篇关于最好的WordPress安全性的文章。

由于我们不了解您的网站,因此我们不确定它将如何回应这些提示。我们强烈建议您在尝试此处的任何方法之前备份您的网站。我们使用BlogVault来满足所有备份需求。

1.不要用admin作为用户名

想想这个。这可能是WordPress安全性最简单的基准步骤,您可以将其作为WordPress用户。它不需要你,安装也很容易。今天的大多数攻击都是使用管理员和某些密码的组合来攻击您的wp-admin / wp-login访问点,这就是所谓的暴力攻击。常识会指示如果你删除管理员,你也会彻底杀死攻击。

是的,存在这样的论点:攻击者仍然可以枚举用户ID和名称,并且在某些情况下可以提取新的用户名。不可否认这一点。但请记住,正如我们在Sucuri的朋友所说的那样,安全不是关于风险消除,而是关于降低风险

对于每天,自动暴力攻击,删除默认管理员管理员用户名已经有很大帮助。你至少使它有点更难黑客猜测用户名。为了清楚起见,请理解当我们说admin我们只是专门针对用户名而不是角色时。

只需在用户>新用户的WordPress中创建一个新用户,并使该用户具有管理员权限。之后,删除admin用户。不要担心管理员用户已创建的帖子或页面。WordPress会很好地问你:“该用户拥有的内容应该怎么做?”并为您提供删除所有内容或将其分配给新用户的选项,例如您刚刚创建的内容。

2.为自己创建一个编辑器帐户

除此之外,当您编写/编辑博文时,当您将鼠标悬停在帖子中的作者姓名上时,您的“作者姓名”会显示在浏览器的左下角。如果您的作者姓名与您的管理员名称相同,那么您只是给了黑客一半成功的黑客攻击。

修复很简单:为自己创建一个只有编辑权限的用户名,然后在您登录编写和编辑帖子时,使用该名称; 因此,它会在你的所有帖子上。您的黑客会认为这是您的管理员名称,并且会浪费大量时间尝试使用仅具有编辑权限的用户名进行攻击。对这些邪恶的人有什么简单而伟大的报复!

此外,还有WordPress的安全插件限制登录尝试并将黑客报告给您的电子邮件,以便您可以判断是否存在使用您的真实管理员名称的黑客企图。这告诉您是时候在他们输出密码之前更加注意您的安全性了。

3.使用不常用的密码

一个容易记住的事情是CLU:复杂。长。独特。

这就是1PasswordLastPass等工具发挥作用的地方,因为它们都有密码生成器。您输入长度,然后生成密码。您保存链接,保存密码,然后继续您的一天。根据我想要密码的安全程度,我通常会设置密码的长度(20个字符总是正确的)并决定包含不常用字符(如#或*)之类的内容。

‘123456’不是密码。’qwerty’就像在你的银行卡上写下你的安全码一样。’让我进去’; 当真?对你感到羞耻。甚至’starwars’也列出了2015年最常用的25个密码。记住,你永远不会像你认为的那样独特……

4.添加双因素身份验证

即使您没有使用“管理员”并且使用强大的随机生成的密码,Brute Force攻击仍然是一个问题。为了解决这个问题,双因素身份验证等功能是帮助降低此类攻击风险的关键。

哦,我知道,麻烦的双因素身份验证是。但就目前而言,这是你的诺克斯堡。WordPress安全性的双因素身份验证的本质与名称中隐含的两种身份验证形式完全相同。今天,它是您接入点增强安全性的标准。您已经在使用Gmail,Paypal和作品(至少应该是)的双因素身份验证,为什么不将它添加到您的WordPress安全工具包中。Ipstenu(Mika Epstein)做了一篇关于你可能想要阅读的主题的文章:双因素身份验证

5.采用最低特权原则

WordPress.org团队一起放在WordPress的法典关于一个伟大的文章角色和功能。我们鼓励您阅读并熟悉它,因为它适用于此步骤。

Least Privileged的概念很简单,授予以下权限:

  • 那些需要它的人,
  • 当他们需要它时
  • 只在他们需要的时候。

如果某人暂时需要管理员访问权限以进行配置更改,请将其授予,但在完成任务后将其删除。好消息是除了采用最佳实践之外,您不必在这里做太多事情。

与流行的看法相反,并非每个访问您的WordPress实例的用户都需要在管理员角色下进行分类。将人员分配到适当的角色,您将大大降低您的安全风险。

6.隐藏wp-config.php.htaccess

这样做相对容易,但做错可能会使您的网站无法访问。进行备份并谨慎行事。WordPress的Yoast SEO使这个过程更容易一些。转到工具>文件编辑器以编辑您的.htaccess

为了更好的WordPress安全性,您需要将其添加到您的.htaccess文件中以保护wp-config.php

1 <Files wp-config.php>
2 order allow,deny
3 deny from all
4 </Files>

这将阻止访问该文件。类似的代码可以用于您的.htaccess文件本身,顺便说一句:

1 <Files .htaccess>
2 order allow,deny
3 deny from all
4 </Files>

你能行的。这不是多么难的事情。

7.使用WordPress安全密钥进行身份验证

身份验证密钥和Salts可以相互协作,以保护您在浏览器和Web服务器之间传输的cookie和密码。这些认证密钥基本上是一组随机变量。这些密钥可以提高cookie中信息的安全性(加密)。要在wp-config.php中更改此设置,只需在此处获取一组新密钥并添加这些密钥。这些键会在刷新该页面时发生变化,因此您将始终获得一个新的设置。

WPBeginner的Syed Balkhi做了一篇关于WP安全密钥的文章,以防你需要更多背景信息。该Sucuri插件可以帮助您与这些键为好。

8.禁用文件编辑

如果黑客入侵,更改文件的最简单方法是转到WordPress中的外观>编辑器。要解除WordPress安全性,可以通过该编辑器禁用这些文件的写入。再次,打开wp-config.php并添加以下代码行:

1 define('DISALLOW_FILE_EDIT', true);

您仍然可以通过自己喜欢的FTP应用程序编辑模板; 你将无法通过WordPress本身做到这一点。

9.限制登录尝试

像蛮力攻击这样的攻击会针对您的登录表单。特别是对于WordPress安全性,All in One WP安全和防火墙插件可以选择只更改该登录表单的默认URL(/ wp-admin /)。

除此之外,您还可以限制从某个IP地址登录的尝试次数。有几个WordPress插件可以帮助您保护您的登录表单免受IP地址的攻击,这些IP地址以您的方式触发大量登录尝试。我们还没有测试过所有内容,但请随时告诉我您的体验。

10.选择XML-RPC

XML-RPC是一个已经存在一段时间的应用程序接口(API)。它被许多插件和主题使用,因此我们提醒注意他们如何实现此特定强化提示的技术性较低。

虽然功能正常,但禁用可能需要付出代价。这就是为什么我们不建议禁用所有内容,而是更多地选择允许访问它的方式和内容。在WordPress中,如果你使用Jetpack,你会在这里要格外小心

有许多插件可以帮助您默认情况下实现和禁用XML-RPC的方式非常有选择性。

11.托管和WordPress安全性

在过去几年的网站评论中,我们有一些网站所有者声称他们的托管公司无法帮助解决这个问题,或者知道杰克。托管公司只是以不同方式查看您的网站。没有简单的规则来决定你的WordPress托管公司。 但是,在优化WordPress安全性时,托管公司的选择确实很重要。

在托管或托管公司上写的每篇文章似乎都首先告诉你,最便宜的一篇可能不是最好的。最便宜的托管计划将无法帮助您解决被黑网站问题。这些计划几乎没有保护您的网站,例如设置网站防火墙(稍后在Sucuri网站防火墙上更多)。例如,共享托管确实意味着您的托管服务器也是其他网站的主页。这些可能存在自己的安全问题,这反过来也可能影响您自己网站的安全性。

WordPress安全性似乎是专业WordPress托管产品中提供的主要USP之一,就像GoDaddy提供的那样  。它们提供备份,冗余防火墙,恶意软件扫描和DDoS保护以及自动WordPress更新,以实现非常合理的定价(低估)。

注意主机帐户

主机面临的最大挑战之一是网站所有者的帐户配置。网站所有者可以根据需要安装和配置任意数量的网站,这样可以营造“汤厨房”般的环境。

这是具有挑战性的,因为在许多情况下,网站将通过称为跨站点污染的概念受到损害,其中邻近站点被用作攻击向量。攻击者穿透服务器,然后横向移动到服务器上的相邻站点。

解决此问题的最佳方法是创建两个帐户。您将其视为一个生产环境的一个帐户 – 只有这个实时网站 – 以及一个暂存的网站,您可以将其他所有内容放在其中。

12.最好的WordPress安全插件和主题

大多数WordPress用户倾向于随意将主题和插件应用于他们的帖子。除非您在测试服务器上执行此操作仅用于测试该主题或插件,否则这没有任何意义,尤其是不参考WordPress安全性。大多数插件和很多主题都是免费的,除非你有一个坚实的商业模式来陪伴这些免费赠品。如果开发人员只是因为它很有趣而维护插件,那么他或她可能没有花时间进行适当的安全检查。

我们几年前与Sucuri合作,以确保每个插件在发布前都经过安全检查,我们也与他们达成协议以进行持续检查。如果您正在创建免费主题或免费插件,您可能没有资源来添加这样的实体检查。

未能对您的WordPress安全采取必要的预防措施,并利用专家可能导致恶意软件感染,品牌问题,百度黑名单,并可能对您的搜索引擎优化产生巨大影响(我们内心深处的东西)。因此,我们转向他们以满足我们的需求,就像他们转向我们进行网站优化一样。

结束思考

如果您在本文中已经走到这一步,那么您将没有理由不改善您网站的WordPress安全性。与添加帖子和页面一样,检查WordPress安全性应该是每个WordPress站点所有者的例程。

这不是您可以为保护您的网站所做的所有事情的完整列表。我知道,例如,应该创建定期备份。而WordPress也有许多插件。但备份不是WordPress安全本身的一部分,我认为这些是一般网站的一部分 – 它们是管理/维护任务。

我相信这篇关于WordPress安全性的文章为您提供了一个实用的列表,列出了您可以而且应该做的事情,以确保至少保护您网站的第一层防御。请记住,WordPress的安全性 并不是绝对的,而且我们会让黑客更加难以理解!

越视界是一家专业的整合营销公司,整合媒体传播服务、网站优化服务、口碑营销服务为一体,从成立至今已为超过529家公司,提供了优质服务,为企业提供优质的网络营销服务是我们立足市场的根本,联系电话:4000-565-626好了,上海网站优化公司:提高WordPress安全性只需几个简单的步骤就分享到这里。感谢阅读,欢迎分享!

北京网站优化公司_SEO优化公司_北京新闻发稿_稿件策划撰写_越视界

相关新闻