保护 WordPress 博客的 10 种方法
1.- 保持 WordPress 和插件更新
定期更新 WordPress 及其插件将修复安全漏洞并降低黑客攻击的风险。
要更新 WordPress 及其插件,您可以按照以下步骤操作:
- 登录到您的 WordPress 控制面板并转到更新页面。
- 如果有适用于 WordPress 核心插件(或主题)的更新,请单击“立即更新” 按钮。
- 等待更新过程完成。
为避免破坏您网站的模板,您可以遵循以下提示:
- 更新前备份您的网站。 这将允许您在出现任何问题时恢复您的网站。
- 在更新之前检查您当前的主题和插件与最新版本的 WordPress 的兼容性。 您可以通过访问 WordPress 存储库中的插件或主题页面或联系开发人员来检查兼容性。
- 在更新 WordPress 核心之前更新您的主题和插件。 这将确保最新版本的主题和插件与最新版本的 WordPress 兼容。
- 更新后测试您的网站。 检查所有页面菜单和插件是否按预期工作。
- 如果出现问题,您可以通过恢复备份回滚到以前版本的 WordPress 您的主题或插件。
2 - 使用强密码
- 为包括管理员帐户在内的所有用户帐户使用强而独特的密码。 强密码是大小写字母数字和符号的组合。 管理员帐户对您的 WordPress 站点具有最高级别的访问权限,因此为该帐户使用一个强而独特的密码非常重要。
- 为不同的用户角色使用不同的密码:如果您在 WordPress 站点上有多个用户角色(例如,编辑作者、贡献者),请为每个角色使用不同的密码。
- 避免使用常用词:避免在密码中使用常用词、短语或个人信息。 黑客可以使用此信息来猜测您的密码。
- 让我们重复一遍,这非常重要:使用大小写字母、数字和符号的组合:强密码是大小写字母、数字和符号的组合。 避免使用字典中的单词或可预测的模式。
- 定期更改密码:定期更改密码有助于防止未经授权访问您的 WordPress 网站。 考虑每 3-6 个月更改一次密码。 记住强密码可能是一个挑战,但使用密码管理器或助记符可以使它变得更容易。 请务必将这些最佳实践传达给有权访问您的 WordPress 网站的所有用户。
如果您需要帮助创建安全密码,我们建议您阅读以下文章:创建强大但令人难忘的密码的10个技巧
3.- 限制登录尝试
限制登录尝试次数将防止黑客通过暴力猜测密码。 Login Lockdown 等插件可以帮助解决这个问题。
黑客访问您的 WordPress 网站的最简单方法之一是尝试猜测您的用户名和通过暴力破解密码。 为防止这种情况,您可以使用限制从单个 IP 地址登录尝试次数的插件或服务。 这有助于阻止对其踪迹的暴力攻击,因为攻击者将在一定次数的失败尝试后被锁定。 用于此目的的一些流行插件包括 Login Lockdown 和 Limit Login Attempts Reloaded。 请注意,某些网络托管服务提供商内置提供此服务,因此值得与您的提供商联系以了解他们是否提供此服务。
4.- 使用双因素身份验证
双因素身份验证通过要求在用户名和密码之外输入代码来增加额外的安全层。 Two-Factor 或 Google Authenticator 等插件可用于启用此功能。
双因素身份验证 (2FA) 是一项安全功能,可为您的 WordPress 登录添加额外的保护层。 传统上登录网站只需要用户名和密码。 但是,如果攻击者获得了您的密码访问权限(例如通过数据泄露或猜测您的密码),他们可以轻松访问您的帐户。
对于 2FA,除了您的用户名和密码之外,还需要一个代码。该代码通常在移动设备上生成或通过 SMS 发送,并且经常更改。 这意味着即使攻击者知道了您的密码,他们仍然无法在没有代码的情况下访问您的帐户。
WordPress 有几个插件可以启用 2FA。 Two-Factor 和 Google Authenticator 是两个流行的选项。 这些插件通过在您输入用户名和密码后提示您输入代码来工作。 该代码是在您的移动设备上生成的(使用 Google Authenticator 等应用程序),并且必须在一定时间内输入。
使用这些插件设置 2FA 包括安装和配置插件,以及在手机上设置移动应用程序。 配置后,每次登录 WordPress 站点时都会提示您输入代码。 这增加了额外的安全层,有助于保护您的网站免受暴力攻击和其他安全威胁。
5.- 禁用文件编辑
禁用在 WordPress 控制面板中编辑文件的功能可以防止黑客将恶意代码注入您的站点。 这可以通过将以下代码行添加到您的 wp-config.php 文件来完成:
define('DISALLOW_FILE_EDIT', true);
您可以通过主机帐户的文件管理器或 FTP 客户端(例如 FileZilla)访问 wp-config.php 文件。 确保将这行代码添加到英文 "/* That's all, stop editing! Happy publishing.*/".
- 为什么禁用文件编辑? 默认情况下,WordPress 允许用户直接从 WordPress 仪表板编辑主题和插件文件。 这可能是一个方便的功能,但它也带来了安全风险。 如果黑客通过编辑权限获得对用户帐户的访问权限,他们可以将恶意代码注入主题或插件文件,从而可能危及整个站点。 通过禁用文件编辑,您可以防止此类攻击。
- 禁用文件编辑的好处:禁用文件编辑不仅可以防止攻击者将恶意代码注入您的站点,还可以降低具有编辑权限的用户意外更改文件的风险。 这也是安全合规性的最佳实践。
- 编辑主题和插件文件的解决方法:如果您需要编辑主题或插件文件,您可以通过文本编辑器进行,然后将编辑后的文件上传到您的 WordPress 站点。 这是一种更安全的文件编辑方式,因为它需要直接访问您网站的文件系统,而不是依赖于 WordPress 仪表板。
- 使用安全插件:如果您不习惯编辑 wp-config.php 文件或想要更简单的方法来禁用文件编辑,您可以使用安全插件,例如 Wordfence、Sucuri 或 iThemes Security。 这些插件提供了一个用户友好的界面来管理 WordPress 安全设置,包括文件编辑。
如何删除恶意软件和 清理被黑的 WordPress 网站
如果您的 WordPress 网站已被感染,您可以采取以下一些步骤来清除它:
- 备份您的网站:在您开始清理您的网站之前,请务必备份您的网站文件和数据库。 这样可以确保您拥有站点的副本,以防在清理过程中出现问题。
- 识别恶意软件:使用诸如 Wordfence Sucuri 或 MalCare 之类的安全插件来扫描您的站点以查找恶意软件。 这些插件可以检测恶意代码和文件,还可以提供有关恶意软件类型及其如何进入您网站的信息。
- 删除恶意软件:一旦您确定了恶意软件,您就需要将其删除。 您可以通过删除受感染的文件手动执行此操作,也可以使用 MalCare 或 Sucuri 等恶意软件删除插件来自动执行此过程。 请务必按照插件提供的说明进行操作,以确保删除所有受感染的文件。
- 更新 WordPress、插件和主题:过时的软件会使您的网站容易受到攻击。 确保将 WordPress、插件和主题更新到最新版本,以确保您的网站免受已知漏洞的侵害。
- 更改您的密码:如果您的网站被感染,攻击者可能通过弱密码获得访问权限。 更改与您网站相关的所有密码,包括 WordPress 管理员密码、FTP 密码和数据库密码。 使用独特且不易猜到的强密码。
- 加强您的网站:清理您的网站后,采取措施加强您网站的安全性。 这包括实施我们在本文中讨论的安全提示,例如使用强密码限制登录尝试和禁用文件编辑。
- 监控您的网站:密切关注您的网站是否有任何异常活动或新感染迹象。 使用安全插件定期扫描您的网站是否存在恶意软件和漏洞。
在恶意软件感染后清理 WordPress 网站可能是一项艰巨的任务,但通过执行这些步骤,您可以确保您的网站安全并免受未来攻击。 如果您自己做这件事不自在,请考虑聘请专业人士来帮助您清理您的网站。
6.- 实施 SSL
实施 SSL 将加密用户浏览器和您的服务器之间发送的数据,防止敏感信息被拦截。
WordPress 是一种流行的内容管理系统 (CMS),用于创建和管理网站。 当用户与 WordPress 网站交互时,他们的浏览器会向托管该网站的服务器发送请求,服务器会响应所请求的数据,例如网页、图像或视频。
SSL(安全套接字层)是一种安全协议,可对用户浏览器与托管 WordPress 站点的服务器之间传输的数据进行加密。 SSL 确保双方之间交换的数据不受黑客或第三方的拦截和操纵。
在 WordPress 站点上实施 SSL 涉及从受信任的证书颁发机构 (CA) 获取数字 SSL 证书,该证书将验证站点的真实性并在用户的浏览器和服务器之间创建安全的加密连接。 安装后,SSL 将保护敏感信息,例如登录凭据、信用卡详细信息和在网站上输入的个人信息。
在没有 SSL 的情况下,用户浏览器和服务器之间传输的任何数据都以纯文本形式发送,这意味着任何可以访问网络的人都可以拦截和读取数据。 这使用户容易受到数据泄露和身份盗用的影响。
在您的 WordPress 网站上实施 SSL 对于确保用户数据的安全和隐私至关重要。 许多网络主机免费提供 SSL 证书,有些甚至通过一键式安装程序提供轻松安装。
SSL 是 WordPress 的插件吗?
不,SSL(安全套接字层)不是插件,而是在服务器级别实施的安全协议。 但是,有一些 WordPress 插件可以帮助您在网站上设置 SSL。
其中一个插件是 Really Simple SSL,它会自动检测您的 SSL 证书并将您的 WordPress 站点配置为使用 SSL。 该插件还修复了从 HTTP 迁移到 HTTPS 时可能发生的任何混合内容错误。
另一个插件是 WP Force SSL,它通过将所有 HTTP 请求重定向到 HTTPS 来强制您的 WordPress 站点使用 HTTPS。 如果您已经在服务器上安装了 SSL 证书并希望确保到您网站的所有流量都已加密,则此插件非常有用。
请记住,虽然插件可以帮助简化在您的 WordPress 站点上实施 SSL 的过程,但实际的 SSL 证书和配置必须在服务器级别设置。 许多网络主机提供免费的 SSL 证书,有些甚至通过其控制面板提供一键式安装。
7.- 使用防火墙
防火墙可以通过阻止可疑的 IP 地址或请求来帮助保护您的网站免受恶意流量的侵害。 Wordfence 或 iThemes Security 等插件可用于启用此功能。
什么是防火墙?
防火墙是一种安全措施,用于控制进出服务器的流量。 在 WordPress 站点的上下文中,防火墙可以帮助保护站点免受各种类型的攻击,包括暴力攻击、DDoS 攻击和恶意机器人程序。
可以在 WordPress 站点上实施两种类型的防火墙:网络级防火墙和应用程序级防火墙。
- 网络级防火墙在服务器级别实施,旨在在流量到达 WordPress 应用程序之前对其进行过滤。 这种类型的防火墙可以配置为根据各种标准(包括 IP 地址、端口和协议)阻止流量。
- 另一方面,应用程序级防火墙在 WordPress 应用程序本身内实施,旨在过滤应用程序级别的流量。 这种类型的防火墙可以配置为根据各种标准阻止可疑请求,包括用户代理、URL 参数和请求频率。
Wordfence 或 iThemes Security 等插件可用于在 WordPress 站点上实施应用程序级防火墙。 这些插件提供各种安全功能,包括恶意软件扫描、双因素身份验证和暴力破解保护。 它们还提供阻止可疑 IP 地址或请求的功能,这有助于保护您的网站免受恶意流量的侵害。
要在您的 WordPress 站点上实施防火墙,您可以安装安全插件配置防火墙设置并启用防火墙功能。 请务必注意,虽然防火墙可以帮助保护您的网站,但它们并不能替代良好的安全做法,例如使用强密码使您的 WordPress 网站和插件保持最新状态,以及定期备份您的网站。
8.- 隐藏 WordPress 版本
隐藏 WordPress 版本号可以防止黑客利用已知漏洞。这可以通过将以下代码行添加到您的 functions.php 文件来实现: p>
remove_action('wp_head', 'wp_generator');
隐藏 WordPress 版本号是一种有效的安全措施,因为它可以防止黑客针对特定 WordPress 版本中的已知漏洞进行攻击。 当黑客知道正在使用的 WordPress 的版本号时,他们可以搜索特定于该版本的漏洞并利用它们来访问该站点。
9.- 限制对 wp-admin 的访问
通过限制可以访问目录的 IP 地址来限制对 wp-admin 的访问可以防止未经授权访问您网站的后端。
这是一种常见的安全措施,有助于防止未经授权访问您网站的后端。 但是,如果您的 IP 地址是动态,这意味着它会在您每次连接到 Internet 时发生变化,那么根据您的 IP 地址限制访问可能会很困难。
有几种方法可以解决此问题:
- 使用 VPN:VPN(虚拟专用网络)可以为您提供静态 IP 地址,您可以使用该地址访问 wp-admin 目录。 这样,您可以根据您的 VPN IP 地址限制对 wp-admin 目录的访问。
- 使用动态 DNS 服务:动态 DNS 服务可以为您提供始终与您当前 IP 地址关联的域名。 这样,您就可以根据您的域名限制对 wp-admin 目录的访问。
如果这些选项都不可行,您仍然可以使用 .htaccess 文件来限制对 wp-admin 目录的访问。
方法如下:
- 如果 .htaccess 文件不存在,请在 wp-admin 目录中创建它。
- 将以下代码添加到 .htaccess 文件中:
<Files wp-login.php> order deny, allow deny from all allow from xx.xx.xx.xx </Files>
将“xx.xx.xx.xx”替换为您要允许访问 wp-admin 目录的 IP 地址或 IP 地址范围。 您还可以添加多个“允许来自”行以允许从多个 IP 地址或 IP 地址范围进行访问。
请记住,虽然限制对 wp-admin 目录的访问有助于防止未经授权的访问,但它不能替代其他安全措施,例如使用强密码、使您的 WordPress 网站和插件保持最新以及使用安全插件。
另一种选择,额外登录
要使用 .htaccess 和 .htpasswd 文件创建提示登录以保护 WordPress 站点,您可以按照以下步骤操作:
- 创建 .htpasswd 文件:使用 htpasswd 等工具创建 .htpasswd 文件,其中包含您要用于登录提示的用户名和密码。 例如,如果你想使用用户名“admin”和密码“password123”(当然,这个密码只是一个例子,使用一个强一点的!),你将在终端运行以下命令:
htpasswd -c /path/to/.htpasswd admin password123
这将创建一个新的 .htpasswd 文件,其中包含用户名“admin”和加密密码“password123”。
创建 .htaccess 文件:在 WordPress 站点的根目录中创建一个新的 .htaccess 文件。 将以下代码添加到 .htaccess 文件:
AuthType Basic AuthName "Restricted Area" AuthUserFile /path/to/.htpasswd Require valid-user Replace "/path/to/.htpasswd" with the actual path to your .htpasswd file.
- 将文件上传到您的服务器:将 .htaccess 和 .htpasswd 文件上传到您的 WordPress 站点的根目录。
- 测试登录提示:在网络浏览器中导航到您的 WordPress 站点。 您应该会看到一个登录提示,询问您在第 1 步中创建的用户名和密码。
- 排除 wp-admin 和 wp-login.php: 为了确保您仍然可以登录到 WordPress 管理仪表板,您需要排除 wp-admin 目录和 wp-login。 php 文件从登录提示。 将以下代码添加到您的 .htaccess 文件中:
<Files wp-login.php> Satisfy Any Allow from all </Files> <FilesMatch "^wp-admin"> Satisfy Any Allow from all </FilesMatch>
这将从登录提示中排除 wp-admin 目录和 wp-login.php 文件,因此您仍然可以像往常一样登录到 WordPress 仪表板。 通过执行这些步骤,您可以使用 .htaccess 和 .htpasswd 文件创建提示登录以保护您的 WordPress 站点。 这可能是一种有用的安全措施,可保护您网站的敏感区域,例如 wp-config.php 文件或 wp-content 目录。
10.- 定期备份
最后但也许是最重要的提示:定期备份您的站点将确保您可以在发生黑客攻击或其他灾难时恢复数据。 UpdraftPlus 或 BackupBuddy 等插件可用于启用此功能。
定期备份您的 WordPress 网站是任何网站所有者的一项基本任务,因为它可以帮助您在发生黑客攻击或其他灾难时恢复数据。 幸运的是,有许多可用的插件可以帮助您自动执行此过程。 以下是使用插件备份 WordPress 网站的方法:
- 安装备份插件:有许多适用于 WordPress 的备份插件,但两个流行的选项是 UpdraftPlus 和 BackupBuddy。 要安装插件,请转到 WordPress 仪表板的“插件”部分,然后单击“添加新插件”。 搜索您要使用的插件,安装并激活它。
- 配置插件 安装备份插件后,您需要对其进行配置。 这通常涉及设置备份计划(例如每天或每周备份)、选择要备份的内容(例如您的数据库或整个站点)以及决定将备份存储在何处(例如在您的服务器上、云中或 外部服务)。
- 运行您的第一个备份:配置备份插件后,运行您的第一个备份。 这可能需要一些时间,具体取决于您网站的大小和您选择的设置。
- 验证您的备份:备份完成后,验证它是否成功。 检查备份文件是否存在以及它是否包含您需要的所有数据。
- 自动备份:为确保您的备份始终是最新的,请使用插件的计划功能自动执行备份过程。 这将确保您的站点得到定期备份,而无需记住手动备份。
按照这些步骤,您可以使用插件定期备份您的 WordPress 网站。 这可以帮助您在发生黑客攻击或其他灾难时恢复数据,并让您高枕无忧,因为您知道您的网站已受到保护。