分享有效的WordPress安全防护措施,以帮助你保护网站免受黑客和恶意软件的侵害。

让WordPress保持最新版

WordPress是一款开源的软件,也是会定期维护和升级。默认情况下,WordPress会自动安装一些小的更新。对于大版本更新,你需要手动启动更新。

WordPress还有成千上万的插件和主题可以安装,这些插件和主题是由第三方开发者维护的,也是会定期进行更新。

这些WordPress更新对你网站的安全性和稳定性起到关键的作用。你需要确保WordPress核心文件,插件和主题都升级到了最新版。

复杂密码和用户权限

最常见的黑客攻击是使用被盗的密码,你可以通过专门为网站创建一个复杂的密码来提高这种攻击的难度。不仅你的WordPress管理员后台密码要提高强度,同时还有FTP账户、数据库、WordPress主机账户以及你的邮箱密码。

小白不喜欢使用复杂密码最主要的原因是因为它们太难记了,为了解决这个问题,我们推荐你使用密码管理器。

另一个降低风险的方法是不要将你的管理员账户交给其他人使用,除非这非常有必要。如果你的团队人数较多或者有很多兼职作者,在你添加新用户和作者前,请确保你已经了解了WordPress中用户角色和权限相关的内容。

用靠谱的服务器

你的服务商在网站安全性方面扮演着非常重要的角色。好的服务器会通过持续监管、自动备份等手段来预防和抵御攻击。。

但是,在共享主机上,你与许多其他客户共享服务器资源。 这可能会导致跨站点污染,黑客可以利用邻近站点攻击你的网站。

使用WordPress托管服务可为你的网站提供更安全的平台。 WordPress托管公司会提供自动备份,自动WordPress更新和更高级的安全配置来保护你的网站。

安装WordPress备份方案

备份是你面对WordPress攻击时的第一道屏障。记住,没有什么是100%安全的,如果连政府的网站都能被攻破,又何况是你的呢?

备份可以让你在遇到突然状况时快速回复你的网站,WordPress有许多免费和付费的备份插件。在备份时,你需要知道的最重要的事情是你必须定期将全站备份保存到一个远程位置(而不是你网站所在的主机)。

基于你网站的更新频率,理想的备份频率是每天备份或者实时备份。

修改默认的用户名“admin”

在以前的老版本中,WordPress管理员的默认用户名是“admin”。因为知道了用户名的话,那就相当于知道了1/2的登录凭据,这也使得黑客进行暴力攻击变的更加容易。

值得庆幸的是,在近几年的WordPress版本安装时,WordPress会要求你自己设置一个自定义的用户名。

然而,一些WordPress一键安装包任然将默认的管理员用户名设置为“admin”。如果你注意到了这种情况,可能你该考虑换一家主机服务商了。

由于WordPress默认是不允许你修改用户名的,所以这里我们给出三种让你可以修改用户名的方法。

禁用文件编辑

WordPress自带一个代码编辑器,你可以很方便的在管理员后台界面就可以对主题或者插件的文件进行编辑。

但是如果使用不当的话,这个功能也是存在安全风险的,所以我们建议关闭该功能。

你可以在wp-config.php文件中添加如下代码来关闭此功能。

// Disallow file edit define('DISALLOW_FILE_EDIT', true );

对特定的WordPress目录禁用PHP文件执行

另一个可以加强WordPress安全性的方法是对那些不必要的目录(例如:/wp-content/uploads/)禁用PHP文件执行。

打开文本编辑器,将下面的代码拷贝进去:

<Files *.php> deny from all </Files>

然后,将文件保存并命名为 .htaccess ,使用FTP客户端将文件上传至 /wp-content/uploads/。

当然,你也可以在上面提到的免费Sucuri插件中,点击Hardening功能中的相关条目来一键关闭。

修改WordPress数据表前缀

默认情况下, WordPress数据库中的数据表都是使用 wp_ 作为前缀的。如果你的数据库使用默认的前缀,那么黑客就很容易猜到你的数据表名,所以我们推荐修改前缀。

修改之前一定要备份。

注意:如果处理不好的话,你的网站会整个都挂掉。除非你对自己编程技术有信息,否则不要修改。

用密码保护WordPress管理员和登录页面

正常情况下,黑客可以不受限制的请求你的 wp-admin文件夹和登录页面,这也给了黑客机会去尝试他们的各种黑客技巧已经运行DDoS攻击。

你可以在服务器端添加额外的密码保护,这可以高效的拒绝这类的请求。

如何修改:

如何设置密码: ① 创建一个.htpasswds文件。 把这个文件上传到/public_html/目录外。 例如 home/user/.htpasswds/public_html/wp-admin/passwd/ ② 创建一个.htaccess文件。 并上传到/wp-admin/目录下。 ③ 在.htaccess文件中添加以下代码。 AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere ④ 更新用户名,更新AuthUserFile路径。

禁用目录索引和浏览

目录,是一个导览的作用。 我们可以用目录来快速的查看和浏览指定文件。 那么同样的,黑客也可以。 通过我们的目录,黑客可以查看我们的文件,复制我们的图片,还能看我们的文件有没有漏洞。 所以,我们一定要禁用目录的索引和浏览。 ① 使用FTP或cPanel的文件管理器连接到网站。 ② 在网站的根目录中找到.htaccess文件。 在.htaccess文件的最后添加“Options -Indexes" 代码. ③ 保存并上传.htaccess文件到网站。

禁用WordPress的XML-RPC

XML-RPC是工作在Internet上的远程过程调用协议。 它有助于将我们的独立站与Web和移动应用程序连接起来,所以在WordPress 3.5以上版本中被默认启用。 由于其本身强大的特性,所以当受到黑客攻击时,它会将黑客的攻击力放大。 也就是说,使用XML-RPC,会给我们带来好处,但是同样也会增加风险。 所以需要大家自己抉择是否使用。 如果不使用XML-RPC的话,我们需要将它的默认启用改为禁用。 更改办法: 在网站public_html目录下的.htaccess文件添加以下代码就能禁用此功能。 # Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow allow from 123.123.123.123

为WordPress登录添加安全问题

向WordPress登录页面添加安全问题,可以使一些人更难以获得未经授权的访问。

隐藏 WordPress 版本号

这个设置是用来为我们没有及时更新而保险的。 因为有些版本的WordPress,存在已知的漏洞。 这就意味着,别人一看你用的版本,就知道该用什么方法攻击你。 所以隐藏版本号,就很有必要。 隐藏办法: 在主题的functions.php 文件中,添加代码“remove_action('wp_head', 'wp_generator');" 即可。

限制 MySQL 连接地址

大多数受管理的Web主机默认情况下,都会确保MySQL 数据库拒绝来自外部的人员和系统连接到本地服务器。 但一些使用专用服务器的主机,就需要我们自行设置限制MySQL 连接地址。 限制方法: 将代码“bind-address = 127.0.0.1"添加到MySQL my.cnf 配置文件的 [mysqld] 部分。 其实WordPress本身安全性并不低的,大家也不用太过担心。 希望这篇文章可以让你了解到关于WordPress安全性方面的内容,希望大家有这个意识,提高警惕。

最后说的是及时更新和网站备份是必须要做的事!

而且,所有需要登录名和密码的地方,一定要使用不同的账号密码。

还要隔一段时间就更改一次密码。