外行的 WordPress 安全提示:保护您的 WordPress 登录和其他安全实践

外行的 WordPress 安全提示:保护您的 WordPress 登录和其他安全实践


自从二十多年前首次推出以来,WordPress 已经成长(并且成长)现在安全地被命名为世界上最受欢迎的内容管理系统。 今天,超过四分之一的现有网站是在 WordPress 上运行的。

然而,自古以来,越流行的东西,就越有人想利用它来作恶。 只需看看 Microsoft Windows 以及大量恶意软件、病毒和其他旨在针对这一特定操作系统的漏洞利用。

WordPress 漏洞
漏洞最多的 10 个 WordPress 版本(来源)。 2017 年的研究在 Alexa 排名前 100 万的网站中发现了 74 个不同版本的 WordPress; 其中 11 个版本无效——例如版本 6.6.6(来源)。

为什么您的 WordPress 博客是一个有价值的目标?

如果您想知道到底为什么黑客想要控制您的 WordPress 博客,有几个原因,包括:

  • 用它偷偷发送垃圾邮件
  • 窃取您的数据,例如邮件列表或信用卡信息
  • 将您的站点添加到他们以后可以使用的僵尸网络

幸运的是,WordPress 是一个为您提供大量保护自己的机会的平台。

我自己帮助设置和管理了几个网站和博客,我想与您分享一些您可以做的更基本的事情来帮助保护您的 WordPress 网站。

以下是您可以使用的 10 个可操作的安全提示。

保护您的 WordPress 登录页面

保护您的登录页面无法通过任何一种特定技术来完成,但您肯定可以采取一些步骤和免费的安全插件来降低任何攻击成功的可能性。

您网站的登录页面肯定是您网站上更易受攻击的页面之一,因此让我们开始让您的 WordPress 网站登录页面更加安全。

1.选择一个好的管理员用户名

使用不寻常的用户名。 以前使用 WordPress,您必须从默认管理员用户名开始,但现在不再如此。 尽管如此,大多数新的网络管理员使用默认用户名并且需要更改他们的用户名。 您可以使用 Admin Renamer Extended 来更改您的管理员用户名。

暴力破解登录页面是您的网站可能面临的常见 Web 攻击形式之一。 如果您有一个容易猜到的密码或用户名,您的网站几乎肯定会不仅仅是目标,而且最终会成为受害者。 根据经验,大多数网站黑客尝试尝试使用三个主要的用户名选择登录。 前两个始终是“管理员”或“管理员”,而第三个通常基于您的域名。

例如,如果您的网站是 crazymonkey33.com,黑客可能会尝试使用“crazymonkey33”登录。

不是一个好主意。

2.确保使用强密码

到现在为止,您可能会认为人们会知道使用强而复杂的密码来保护他们的帐户,但仍有许多人认为“密码”是一个很棒的密码。

Splash Data 编制了 2018 年常用密码列表。按使用情况排列密码。

  1. 123456
  2. 密码
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. 阳光
  9. qwerty
  10. 我爱你

如果您使用其中一个密码并且您的网站完全收到任何流量,那么您的网站几乎肯定迟早会被删除。

强密码将包括以下内容的混合:

  • 大写字母和小写字母
  • 是字母数字(AZ 和 az)
  • 包含特殊字符(!、@、#、$ 等)
  • 长度至少为 8 个字符

您的密码越随机,它就越安全。 如果您在想出一个密码时遇到问题,请试试这个随机密码生成器。

3. 实施 reCaptcha

从您的 WP 博客中删除机器人。

reCaptcha 旨在阻止自动化工具在网站上运行。 当然,考虑到当今黑客工具的复杂性,这些可以很容易地绕过,但至少有额外的安全层。

您可以在安装中使用许多 reCaptcha 插件,这些插件几乎可以开箱即用。

4.使用双因素身份验证(2FA)

2FA 是一种身份验证方法,需要对您的登录进行验证。 例如,一旦您使用您的用户名和密码登录,系统可能会向您的手机发送短信或通过电子邮件向您发送您需要输入的验证码以验证您的身份。

这种身份验证方法提供了良好的保护,今天被许多银行和金融机构使用。 同样,这个需求可以通过 2FA 插件轻松满足。

在以下视频中了解 miniOrange(一个 2FA 插件)如何与 WordPress 登录一起使用。

5.重命名您的登录网址

大多数黑客会尝试通过默认的 wordpress 登录页面登录,这通常类似于

sample.com/wp-admin.

要添加另一层保护,请使用 WPS 隐藏登录等工具快速轻松地更改登录页面 URL。

6.限制登录尝试次数

这是一种非常简单的技术,可以在您的登录页面上阻止暴力攻击。 蛮力攻击通过一遍又一遍地尝试多种组合来尝试正确获取您的用户名和密码。

如果跟踪了实施攻击的特定 IP,那么您可以阻止重复的暴力破解尝试并确保您的站点安全。 这也是为什么全球 DDOS 攻击发生在具有不同攻击来源的多个 IP 地址上,从而使托管服务和网站安全措手不及。

登录锁定和登录安全解决方案都提供了很好的解决方案来保护您网站的登录页面。 他们跟踪 IP 地址并限制登录尝试次数以保护您的网站。

加固站点安全墙

我们已经讨论了保护您的 WordPress 登录页面的各种策略——上面提到的这些步骤是您可以做的基础。 您还应该知道,一些网络主机要求其用户使用其中的一些安全措施。 您可以在您的站点上实施许多其他安全实践。

7. 保护您的 wp-admin 目录

为您的主机目录添加额外的安全层。

wp-admin 目录是 WordPress 安装的核心。 作为额外的保护措施,密码保护此目录。

为此,您需要登录到您的托管帐户控制面板。 无论您使用的是 cPanel 还是 Plesk,您正在寻找的选项是 ‘密码保护目录‘。

或者,您可以通过调整 .htaccess 和 .htpasswds 文件来对目录进行密码保护。 Dynamic Drive 免费提供详细的分步指南和代码生成器。

请注意,使用密码保护您的 wp-admin 文件夹将破坏 WordPress 的公共 AJAX – 您需要通过 .htaccess 授予管理员 ajax 的权限以避免任何站点错误。

8.使用SSL加密数据

HTTP 与 HTTPS 连接(来源:Sucuri)

除了站点本身之外,您还需要保护您与服务器之间的连接,这就是 SSL 用于加密您的通信的地方。 通过加密连接,当您与服务器通信时,黑客将无法拦截数据(例如您的密码)。

除此之外,现在实施 SSL 也是一种很好的做法,因为搜索引擎越来越多地惩罚他们认为“不安全”的网站。

对于个人博客作者和小型企业而言,免费的共享 SSL(通常可以从托管服务提供商 Let’s Encrypt 或 Cloudflare 获得)通常已经绰绰有余。 对于处理客户付款的企业——最好从您的网络主机或证书颁发机构 (CA) 购买专用 SSL 证书。

在我们全面的 AZ SSL 指南中了解有关 SSL 的更多信息。

9. 利用内容分发网络 (CDN)

虽然这可能无法使您的网站免于被黑客入侵,但它确实有助于减轻针对它的恶意攻击。 一些黑客旨在关闭网站,使公众无法访问它们。 CDN 将有助于缓解分布式拒绝服务攻击对您的站点造成的打击。

除此之外,它还可以通过缓存一些内容来帮助您加快网站速度。 要探索此选项,请以 Cloudflare 为例。 Cloudflare 以多层定价提供 CDN 服务,因此您甚至可以免费使用基本功能。

详细了解 Cloudflare 的工作原理以及使用该服务的优势。

10. 确保您的所有软件都是最新的

无论软件多么好或多么昂贵,总会在其中发现新的弱点,这些弱点可能会让它们容易被利用。 WordPress 也不例外,团队不断发布带有修复和更新的更新版本。

黑客几乎总是试图利用弱点,而一个未修复的已知漏洞只是自找麻烦。 这对于通常由资源较少的小公司创建的插件来说是两倍。

如果您使用插件,请确保定期发布更新,或者考虑寻找具有类似功能且不断更新的流行插件。

话虽如此,我不建议您使用自动 WordPress 和插件更新,尤其是在您运行实时站点时。 某些更新可能会导致问题,无论是在内部还是通过与其他插件和设置的冲突。

理想情况下,创建一个测试环境来反映您的实时站点并在那里测试更新。 一旦您确定一切正常,您就可以将更新应用到实时站点。

Plesk 等控制面板为您提供了为此目的创建站点克隆的选项。

11.备份,备份,备份!

无论您采取何种安全措施或多么谨慎,事故都会发生。 只需确保您有足够的备份服务,就可以避免心碎和数百小时的工作。

通常,您的虚拟主机至少会附带一些基本的备份功能,但如果您像我一样偏执,请始终确保执行自己的独立备份。 备份不只是复制一些文件那么简单,还要考虑到数据库中的信息。

寻找经过验证的备份解决方案。 即使是很小的投资也值得在紧急情况下节省眼泪。 BackupBuddy 之类的东西可以帮助您一次性保存包括数据库在内的所有内容。

12. 您的虚拟主机很重要!

尽管传统上,网络托管公司只是为我们提供托管网站的空间,但时代已经改变。 了解这些漏洞的网络托管服务提供商已经加强了安全性,许多提供增值服务来补充他们的网络托管服务。

以 HostGator 为例,它是游戏中较为成熟的名称之一。 除了基本的 Cloudflare 功能外,HostGator(价格为 10 美元以上/月)还附带无垃圾邮件保护、自动恶意软件删除、自动备份、域隐私等。

托管 WordPress 托管服务提供商 Kinsta 构建硬件防火墙并使用其定制系统主动监控其服务器是否存在恶意软件和 DDoS 攻击。

如果您还没有想到这一点,我强烈建议您查看主机提供的安全功能,并将其与当前可用的功能进行比较。

有关完整列表,您可以在此处查看 WHSR 的最佳网络主机汇编。

怎么办?

在你疯狂地开始在互联网上搜索一百万零一个安全解决方案之前,请深呼吸。 与其他所有事情一样,有人已经帮助您恐慌并寻找解决方案。

即使您实施了尽可能多的安全解决方案,您是否 当然 你安全了?

这就是像 Security Ninja 这样的东西的用武之地,它可以帮助您探测您的网站的弱点。

快速演示:Security Ninja 的工作原理。

使用 Security Ninja 之类的工具有几个令人信服的理由,但我要说的是,我建议您在保护网站的过程中的多个阶段使用它。

首先,在您的网站上“按原样”运行它——在进行任何更改之前。 在为您提供结果之前,让插件戳戳并刺激您的网站。

然后根据这些结果,努力保护您的网站。 安全忍者执行 50 多项测试来探测您的防御。 即使在您进行了更改之后,再次运行它(并且每次有站点更改或插件更新时)只是为了测试您的站点。

如果这听起来对你来说有点太多的工作,…

Leave a Comment