保护 WordPress 网站的 16 步检查表
拥有强大的站点安全性的重要性再怎么强调也不为过.当您急于赶上最后期限时,妥善保护您的 WordPress 网站可能不是您的首要任务,因此我们整理了一份清单,以确保您不会错过任何重要事项.
在超过 20 亿个网站的海洋中,为什么许多人认为他们的网站没有被黑客入侵的风险是可以理解的.
如果您从未成为攻击的受害者,您可能不会像您应该的那样担心这种可能性.
然而,拥有正确的保护而不需要它总比没有并后悔要好.
我们整理了一份清单,其中包含您在保护网站时可能需要采取的 16 个步骤——这有望让您轻松管理安全.
1.选择安全托管
2.屏蔽您的登录 URL
3.使用密码管理器
4.启用两因素身份验证
5.使用登录超时
6.设置 WAF
7.使用插件增强安全性
8.使用插件自动执行任务
9.采取措施防止 DDoS 攻击
10.定期检查恶意帐户
11.保护您的 wp-config 文件
12.为您的网站获取 SSL 证书
13.防止盗链
14.防止垃圾评论
15.定期访问您的网站
16.考虑一个静态网站
选择安全托管
您可以采取本文中的所有其他步骤并进一步强化您的网站,但是,如果您使用的是廉价的共享主机,则就像拥有一个加固的、超强的钛合金前门 – 然后离开门垫下的钥匙.
即使不考虑安全性,共享主机也有足够的缺点来说服大多数人避开——但这本身就是一个完整的话题.查看我们关于选择最适合您需求的主机类型的文章,深入了解共享主机的所有优缺点.
可能最大的缺点是缺乏安全性.其他人网站上的漏洞可能会导致服务器遭到破坏,您的网站也会受到攻击——这并非您自己的过错.
尽管托管公司确实尝试并采取一切预防措施来阻止此类恶意攻击的传播,但共享托管并不总是可行,因为这些站点托管在同一台服务器上.
如果您不想担心网站服务器中发生的事情,请选择 VPS 或专用主机.
WPMU DEV 的托管为您提供独立于任何其他站点(包括您与我们托管的其他站点)的专用内存、CPU 和 SSD 存储!
重要提示:
- 选择一家以拥有强大的安全性而闻名的托管服务提供商.
- 不要吝啬价格-在优质托管上多花一点钱比便宜又被黑要好.
- 利用您的主机提供的功能,例如自动备份、WAF 或阻止可疑 IP 地址的能力.立>
保护您的登录页面
很少有个人黑客尝试.您可能只为当地村庄的划船俱乐部运营一个小型网站,但这并不意味着它不会受到黑客攻击.
恶意机器人会在 Internet 上四处嗅探,寻找网站中的漏洞,但不会进行歧视.如果他们发现有一条路径经过您的 WordPress 登录页面,他们就会在您说"恶意软件!"之前感染您的文件.
您可以采取一些步骤来确保您的登录页面免受此类攻击.
屏蔽您的登录网址
第一种是使用诸如 Defender 之类的插件来隐藏您的登录 URL.
这使得机器人更难进行暴力攻击——如果他们找不到您的登录页面,他们就无处可尝试破解您的密码.
在 Defender 中激活非常容易.只需为您的登录 URL 选择一个新的 slug.
您还可以将尝试访问旧 wp-admin 链接的人重定向到您选择的页面.
使用密码管理器
关于密码有两个主要规则:
- 确保您的密码长度合适并且包含各种不同的字符.
- 不要对多个帐户使用相同的密码.
遵守这两条规则几乎不可能记住所有密码,这就是为什么您可以从密码管理器中受益.
LastPass 和 1Password 是市场上最好的两个密码管理器,可帮助您为所有帐户创建和存储复杂的密码.
您只需要记住一个强大且安全的主密码-其余的将由您来处理.
启用两步验证
您的密码可能看起来又长又复杂,但是,如果您的数据和狡猾的黑客之间只剩下 15 个字符的字符串,那么不幸的是,这并不总是足够的.
双因素身份验证涉及将您的手机或其他设备链接到您的 WordPress 管理员,以便在不输入唯一代码的情况下无法登录.
Defender 使用 Google Authenticator、Microsoft Authenticator 和 Authy 来执行此操作.
只需为您的每个用户帐户设置它,每次有人通过用户名和密码屏幕时,他们都会被要求打开您的身份验证器并输入代码.