如何执行 WordPress 安全审计(完整清单)

技术教程 2021年11月6日
1110 0

您要执行 WordPress 安全审核以确保您的网站安全吗?

开箱即用的 WordPress 非常安全.但是,如果您怀疑您的网站有问题,那么您可能需要执行完整的安全审核以确保您的网站是安全的.

在本文中,我们将向您展示如何在不关闭站点的情况下轻松执行 WordPress 安全审核.

Easily perform a complete WordPress security audit

什么是 WordPress 安全审计?

WordPress 安全审计是检查您的网站是否有安全漏洞迹象的过程.您可以执行 WordPress 检查以查找可疑活动、恶意代码或性能异常下降.

基本的 WordPress 安全性包含您可以手动执行的简单步骤.

要进行更彻底的审核,您可以使用 WordPress 安全审核工具自动为您执行检查.

您还可以使用在线 WordPress 安全审计服务来评估网站的安全性.

如果您发现可疑内容,则可以隔离、删除和修复它.

何时执行 WordPress 安全审计?

您应该至少每季度执行一次 WordPress 安全审核.这使您可以掌握一切并在安全漏洞造成任何麻烦之前关闭它们.

但是,如果您发现可疑内容,则应立即进行安全审核.

以下是一些表明您可能需要进行安全审核的迹象.

  • 您的网站突然变得太慢和呆滞
  • 您目睹网站流量下降
  • 您的网站上有可疑的新帐户、忘记密码请求或登录尝试
  • 您发现网站上出现可疑链接

话虽如此,让我们来看看如何在您的网站上轻松执行 WordPress 安全审核.

WordPress 安全审核清单

以下是您可以在网站上执行基本 WordPress 安全审核的一些步骤.

1.软件更新

WordPress 更新对于您网站的安全性和稳定性非常重要.他们修补安全漏洞,带来新功能并提高性能.

确保您的 WordPress 核心软件、所有插件和主题都是最新的.您可以通过访问 仪表板 » 轻松做到这一点.WordPress 管理区域内的更新页面.

WordPress updates

WordPress 会查找是否有可用的更新,然后列出它们供您安装.如果您需要更多帮助,请参阅我们关于如何正确更新 WordPress 以及如何正确更新 WordPress 插件的指南.

2.检查用户帐户和密码

接下来,您需要通过访问用户»来查看WordPress用户帐户.所有用户页面.您将寻找不应该存在的可疑用户帐户.

如果您经营在线商店、会员网站或销售在线课程,那么您可能拥有供客户登录的用户帐户.

但是,如果您经营博客或商业网站,那么您应该只能看到您自己或您手动添加的任何其他用户的用户帐户.

WordPress users

如果您看到可疑的用户帐户,则需要将其删除.

现在,如果您的网站不需要用户创建帐户,那么您需要访问设置»常规页面,并确保未选中"任何人都可以注册"选项旁边的框.

WordPress user registration

作为额外的预防措施,您需要更改您的 WordPress 管理员密码.我们强烈建议添加双因素授权以加强您网站上的密码安全.

3.运行 WordPress 安全扫描

IsItWP Security Scanner

下一步是检查您的网站是否存在安全漏洞.幸运的是,您可以使用多种在线安全扫描程序来检查恶意软件.

我们建议使用 IsItWP 安全扫描程序,它会检查您的网站是否存在恶意软件和其他安全漏洞.

这些工具很好,但它们只能扫描您网站的面向公众的页面.我们将在本文后面向您展示如何进行更深入的审核.

4.检查您的网站分析

网站分析可帮助您跟踪网站流量.它们也是您网站健康状况的一个很好的指标.

如果您的网站已被搜索引擎列入黑名单,那么您的网站流量会突然下降.如果您的网站速度缓慢或无响应,那么您的整体页面浏览量也会下降.

我们建议使用 MonsterInsights 来跟踪您的网站流量.它不仅会显示您的整体综合浏览量,而且您还可以使用它来跟踪注册用户、您的 WooCommerce 客户、表单转换等.

5.检查或设置 WordPress 备份

如果您还没有这样做,那么您需要立即设置一个 WordPress 备份插件.这可确保您始终有可用的备份,以防出现任何问题.

另一方面,许多初学者在设置后忘记了他们的 WordPress 备份插件.有时备份插件可能会在没有任何通知的情况下停止工作.确保您的备份插件仍在工作并保存备份是个好主意.

自动执行 WordPress 安全审计

通过上述清单,您可以了解安全审计中最重要的方面.但是,这不是一个非常彻底的过程,这意味着您的网站可能仍然容易受到攻击.

例如,很难手动记录所有用户活动、文件差异、可疑代码等.这是您需要一个插件来自动进行安全审计并记录所有内容的地方.

借助一些 WordPress 安全和监控插件,您可以自动执行此过程.

1.WP 活动日志

WP Activity Log

WP Activity Log 是市场上最好的 WordPress 活动监控插件.

它允许您跟踪您网站上的所有用户活动.您可以查看所有用户登录信息、IP 地址以及他们在您网站上的操作.

Activity log viewer

您可以跟踪在您的网站上拥有帐户的 WooCommerce 用户、编辑、作者和其他成员.

您还可以打开要跟踪的事件和关闭不想监视的事件.

Track events in WP Activity Log

该插件还会向您显示登录到您网站的所有用户的实时视图.如果您看到可疑帐户,则可以立即结束他们的会话并将其锁定.

有关更多详细信息,请参阅有关如何使用 WP 活动日志监控 WordPress 中的用户活动的指南.

2.苏库里

Sucuri

Sucuri 是市场上最好的 WordPress 防火墙插件,它也是您可以为您的网站获得的最好的一体化 WordPress 安全解决方案.

它通过在可疑活动到达您的网站之前阻止它来提供针对 DDoS 攻击的实时保护.这会减轻您的服务器的负载并提高您的网站速度/性能.

它带有一个内置的安全插件,可以检查您的 WordPress 文件是否有可疑代码.您还可以详细了解您网站上的用户活动.

最重要的是,Sucuri 的所有付费计划都提供免费的恶意软件清除服务.这意味着,即使您的网站已经受到影响,他们的安全专家也会为您清理.

我们希望本文能帮助您了解如何在您的网站上执行 WordPress 安全审核.您可能还想查看我们完整的 WordPress 安全指南,以获取有关如何保护您网站的分步说明.

PR(132)WordPress(893)如何(28)
7

相关文章

发表回复