WordPress网站安全防护, 标题

WordPress网站安全防护终极教程(2020整理)

WordPress网站安全防护问题对每个网站站长来说都是个非常重要的问题。要知道,谷歌每天会把1万多个恶意软件网站列入黑名单,每周会把5万多个钓鱼网站列入黑名单。

如果你真把自己的网站当回事儿,一定要注意网站的安全防护。本文苦心孤译将跟大家分享所有跟WordPress网站安全防护有关的提示和技巧,帮助大家对自己的网站进行设置,远离黑客和恶意软件的攻击。

虽然WordPress的核心组件是安全的,而且定期会有上千个开发人员对其进行审核,但我们还需要在网站的安全性能上进行巩固。

苦心孤译认为网站的安全防护不仅仅在于消除潜在风险,还要降低风险系数。作为一个网站所有者,你需要在网站的安全上多下功夫,提高网站的安全性。即使你不懂相关的技术也要注意网站的安全防护。

下面的方法大家都可以进行实操演练,堵住网站的安全漏洞。为了便于大家阅读,也为了让文章层次分明,下面苦心孤译为大家制作了文章的目录板块,供大家参考。

WordPress网站安全防护基础

下面我们进入网站安全防基础知识部分的学习。

网站安全防护的重要意义

遭到黑客攻击的WordPress站点会对企业收入和企业信誉造成负面影响。黑客可以剽窃用户信息、用户密码,并在网站上安装恶意软件,甚至会把恶意软件发送给网站用户。

最早的情况是,如果你想登录自己的网站,还需要向黑客支付一大笔钱。

谷歌曾在2016年3月报道称,大约有5000多个网站用户曾收到他们访问的网站包含恶意软件或有剽窃信息的风险。

另外,谷歌每周都会将大约2万个恶意软件网站和5万个钓鱼网站拉入黑名单。

如果网站就是你业务的全部,就更应该在WordPress网站安全防护方面下功夫。

很多实体经济从业者都会对实体店本身安装各种安防设备,作为一个互联网企业业主,也必须保证自己的网站远离风险。

WordPress网站要保持更新

WordPress是一个定期维护和更新的开源软件。WordPress建站程序默认会自动进行更新。但对于一些重大更新或是新版本,站长还是需要手动进行初始化更新。

WordPress还有数以千计的插件和主题,站长可以把这些插件和主题安装到自己的网站上,具体安装方法请参考我们的SiteGround建站教程。这些插件和主题都是由第三方开发人员进行维护,他们也会定期发布更新版的插件和主题。

这些更新对保证WordPress站点的安全性和稳定性至关重要。站长需要保障WordPress的核心组件、插件、主题都是最新的。

安全系数较高的密码和用户权限

WordPress网站遭遇攻击最常见的情况是密码被盗用。站长可以将登陆网站的密码强度设为更高级别,而且这个密码最好是独一无二的。WordPress管理员界面、FTP账户、数据库、网站托管主机账户及使用网站域名的自定义电子邮箱地址都要使用安全级别较高的密码。

还有一个办法可以降低风险,那就是不要随便让用户进入自己的管理员账户。如果你的网站背后有一个强大的团队,或者有很多投稿作者,在授权他们进入管理员界面之前一定要明白不同的用户角色和权限。

WordPress托管主机的作用

WordPress网站是否安全还取决于网站的托管主机。像Bluehost中国SiteGround这样的优质共享式主机会给网站提供其他措施来帮助服务器免受黑客的攻击。

下面就是虚拟主机供应商在后台运行并保障站点及站点数据的安全方式。

  • 持续监控网路上的可疑行为;
  • 优秀的网站托管主机都有防止大规模DDOS攻击的功能;
  • 保持服务器硬件和软件更新,防止黑客利用旧版本的安全漏洞;
  • 做好网站恢复和应对事故,保护网站数据不受主机停机等问题的影响;

网站共享主机套餐指的是你的网站要跟其他用户共享同一个服务器资源,这就存在跨网站攻击的风险。黑客可以攻击同一个服务器中的其他站点,达到攻击你网站的目的。

可管理式WordPress主机为网站提供了一个更加安全的环境,可管理式主机推出了网站自动备份、WordPress核心程序自动更新功能及更高级别的安全配置,可以对站点进行保护。

苦心孤译在此推荐WPEngineLiquid Web这2款可管理式WordPress网站主机供应,WPEngine还是业内最受欢迎的网站主机之一。

网站安全防护教程(无需代码)

对很多建站新手尤其是对技术不敏感的用户来说,网站安全防护这个板块听起来就很人头疼。但是,其实并没有那么吓人。

其实我们不需要了解任何代码知识,我们只要轻轻点击几次鼠标就可以加强WordPress网站的安全防护级别。

如果你按照本文的说明操作,一定可以强化自己站点的安全性能。

备份WordPress网站

备份是抵抗黑客对WordPress网站进行攻击的第一道防线。互联网上没有百分之百的绝对安全,如果政府网站可以被攻击,你的网站也能被攻击。

备份可以让站长迅速恢复网站,避免更糟糕的事情发生。

市面上有很多免费版和付费版WordPress网站备份插件,不过大家必须定期对整个网站进行备份,特别是远程备份。

我们推荐大家把网站备份到云存储服务平台。例如亚马逊、Dropbox或者类似Stash这样的私密云空间。

你可以根据网站上内容的更新频率设置备份时间间隔,可以是每天进行备份,也可以是1周或一个月进行备份。

我们可以利用VaultPressUpdraft这样的WordPress插件轻松对网站进行备份。这两款插件都很容易上手,而且不需要了解任何代码知识。

最好的WordPress网站安全防护插件

网站备份以后,我们需要做的就是建立一个审核监控系统,以便对网站上的发生的所有事件进行跟踪。

这种跟踪就包括文件监控,登录失败记录监控,以及扫描网站中存在的恶意软件等功能。

有一款免费的Sucuri Scanner插件就可以解决这个问题。我们可以安装免费版Sucuri安全插件,更多有关安装WordPress插件的内容请参考WordPress插件安装说明

安装并启动Sucuri插件后,我们在管理员控制面板左侧找到Sucuri菜单,首先我们需要生成免费的API秘钥,这一步是为了审核运行日志、检查集成情况、设置邮件提醒以及其他一些重要功能。

WordPress网站安全防护, sucuri API秘钥

接下来我们需要找到设置菜单里的“Hardening”选项并点击该选项。检查一下所有的设置选项,然后点击“Apply Hardening”按钮。

WordPress网站安全防护, Sucuri hardening选项

以上这些选项可以锁定黑客攻击目标的关键区域,唯一一个需要付费升级的功能是Web Application Firewall(网络应用防火墙),这里我们先跳过该设置,后边我们再做解释。

后边的内容还包括更多有关“Hardening”选项的设置。

设置完Hardening部分之后,该插件默认的设置已经足够大部分网站使用了,不需要再做其他修改。我们只推荐一个设置选项进行自定义,那就是Email Alerts(电子邮件提醒服务)。

默认的电子邮件提醒服务会让邮件收件箱接受跟网站相关的安全数据和信息。我们建议直接受关键操作的电邮提醒服务,例如更改插件设置或新用户注册等情况。设置电子邮件提醒服务的步骤按照Sucuri Settings→Alerts

这款WordPress网站安全防护插件功能非常强大,我们可以通过点击所有的菜单选项和设置选项查看有关恶意软件扫描、运行日志、失败尝试登陆网站次数统计等有关信息。

启动网络程序防火墙(Web Application Firewall)

保护网站最简单的办法就是使用网络程序防火墙,因为网站的防火墙可以阻拦恶意流量。

DNS级别网站防火墙 – 这些防火墙可以通过他们的云代理服务器引导网站流量,DNS级别网站防火墙只会把真正的流量发送到网站服务器上。

应用程序级别防火墙 – 这类防火墙插件会在流量抵达服务器前对流量进行检查,在服务器荷载方面这种方法不如DNS级防火墙有效。

我们推荐Sucuri插件为最好的WordPress网络应用防火墙。

Sucuri这款防火墙插件最强大的地方在于它可以清理恶意软件并对黑名单里的信息进行阻拦。如果网站是在这款插件的眼皮子底下遭受攻击的,一般来说网站都可以被修复,而且是不管有多少页面都可以被修复。

因为修复被黑客攻击的网站成本是很高的,但是如果使用Sucuri的服务,可以完全抵消这种成本。很多网络安全专家的费用是每小时250美金,但是如果使用Sucuri的服务,你只需要每年花费199美元就能买到Sucuri的安全套件。

Sucuri并不是唯一的DNS级别防火墙供应商,另外一个竞争产品是Cloudflare。

给网站安装SSL证书/HTTPS

SSL(Secure Sockets Layer)是一个在网站和浏览器之间对传输的数据进行加密的协议。这种加密技术让网络用户很难窃取网站信息。

启用SSL证书以后,网站的前缀就从HTTP变成了HTTPS,而且你还会在浏览器上看到网站前面的挂锁标志。

SSL证书一般是由证书的管理部门颁发的,它的价格每年从80美元到数百美元不等。由于额外的费用较高,大多数网站所有者选择不安全的协议。

为了解决这类问题,一家名为Let’s Encrypt的非营利组织向所有网站所有者推出了免费的SSL证书,而且它的服务也得到了谷歌Chrome、脸谱网、火狐和其他公司的支持。

如今给自己的网站安装SSL证书要比以前简单多了,2020年世界上最好的虚拟主机供应商都针对WordPress网站推出了免费的SSL证书计划。

如果你的网站托管供应商不提供免费的SSL证书,我们推荐您使用NameCheap平台购买SSL证书。要知道这家公司是目前市面上最好的网站域名和SSL证书交易平台。

DIY用户WordPress网站安全指南

如果您按照上述内容操作,网站的安全性就比较高了。但在WordPress网站安全防护方面,我们需要走的路还很长。

其中某些操作可能还涉及到代码知识。

更改默认的管理员用户名

过去WordPress默认的管理员用户名是“admin”。由于很多网站登录账户的名称都是admin,这些网站很容易遭受暴力攻击。

不过现在WordPress对此作了更改,我们可以在安装WordPress的过程中自定义一个用户名。

但是有些WordPress一键安装软件仍然将管理员用户名设置为“admin”。如果你的网站在安装时属于这种情况,最好换一个网站托管主机。

在此,苦心孤译为大家整理了2020年最好的国外虚拟主机,供大家参考。

WordPress自带设置是不允许用户更改用户名的,不过我们可以用以下三种方式更改用户名:

  • 删除旧用户名,创建一个新管理员用户名;
  • 使用一款用户名更改插件;
  • 从 phpMyAdmin处更改用户名;

注意:我们这里说的用户名指的是管理员用户名,并不是管理员角色。

取消文档编辑功能

WordPress内置的有一个代码编辑器,它允许用户在WordPress管理员界面(即网站 后台)对网站主题和插件进行编辑。不过这个功能可能会被黑客利用作为攻击网站的入口之一。因此,我们建议大家将这个功能关闭。

大家可以将下面这段代码添加到网站的wp-config.php文件里;

1 2// Disallow file edit define( ‘DISALLOW_FILE_EDIT’, true );

或者大家可以使用Sucuri插件中的Hardening功能,我们在上面已经提过这款插件了。

在某些WordPress目录下取消执行PHP文件

另外一种强化WordPress网站安全性的办法是取消某些WordPress目录下运行PHP文件,例如上传的图片等文件,这些文件在WordPress核心程序中的位置位于/wp-content/uploads/文件夹下。

我们可以打开文本编辑器(如记事本),然后将下面的代码粘贴到里面:

1 2 3<Files *.php> deny from all </Files>

接下来我们把这个文件保存为.htaccess格式的文件,然后将它上传到/wp-content/uploads/文件夹里,上传工具我们可以使用FTP上传软件。

或者我们也可以使用Sucuri插件里面的Hardening功能。

限制登录次数

WordPress默认设置是允许用户无数次登录自己的账户,但这同时也让网站容易被黑客暴力攻击。黑客会尝试各种字母数字组合破解网站登陆密码。

不过我们可以在网站上限制用户的登陆次数。如果您正在用前文我们提到的网络应用防火墙软件,这些软件会自动帮我们对用户的登录次数进行限制。

但如果网站没有设置防火墙,你需要遵照下面的操作来进行。

首先你需要安装启动Login LockDown这款WordPress插件。有关更多安装插件的内容,请参考SiteGround建站完整教程的插件安装部分。

启动该插件后,按照设置 Login→LockDown的顺序操作进入设置部分。

login lockdown, WordPress网站安全防护

启动双重认证功能(外文站)

双重认证技术要求用户使用两步验证法登录自己的账户。第一重认证是使用用户名和密码,第二重认证是要授权给独立的设备或第三方app。

大部分顶尖网站都允许用户进行双重认证,这样的网站很多,比如说谷歌、Facebook、推特。你也可以将双重认证功能添加到自己的WordPress网站上。

首先我们安装并启用Two Factor Authentication插件,启用后我们需要点击管理员侧边栏菜单中的“Two Factor Auth”选项。

接下来我们需要在手机上安装并打开一个身份认证app。这样的app很多,例如Google Authenticator、Authy和LastPass Authenticator。

我们推荐大家使用LastPass AuthenticatorAuthy,因为这两个平台都可以将账户备份到云端。在手机丢失、手机重启或购买了新手机的情况下,使用这两个平台进行认证,安全级别更高。

本篇文章我们使用LastPass Authenticator作为教学用。不过,所有的认证类应用的操作都是类似的。打开认证应用,然后点击添加按钮。

WordPress网站安全防护, 双重认证Lostpass

然后会出来扫描网站或扫描条形码的页面。我们选择扫描条形码,然后用手机摄像头对准插件设置页面的二维码。

接下来认证应用就会保存设置。下次登录网站时,在输入密码之后,还需要我们进行双重认证。

认证过程也很简单。我们打开手机上的认证app,然后输入手机上显示的代码。

更改WordPress数据库前缀

WordPress自带的设置是使用wp_作为WordPress所有表格的前缀。如果你的WordPress网站使用的是默认的数据库前缀,黑客很容易猜到里面的表格名称。因此我们推荐您换掉这些表格的前缀。

注意:如果操作失误,会导致网站崩溃。此外,还需要进行代码编辑。

WordPress管理员及登录页面设置密码保护

正常情况下,黑客可以在没有任何限制的情况下请求访问wp-admin文件夹和登录页面,因此他们会尝试各种破解技术并进行DDoS攻击。

我们可以在服务器端另外设置密码保护,这样可以有效阻止这种访问请求。

取消文件目录索引及浏览功能

浏览文件目录可以被黑客用来查找网站的已知漏洞,他们会利用这些文件获得访问权限。

浏览文件目录还会被其他人用来浏览文件、复制图片、查找文件目录结构及其他信息。因此我们强烈建议大家关闭文件目录检索和浏览功能。

我们需要使用虚拟主机上FTP或cPanel的文件管理器链接到网站。然后在网站的根目录下找到.htaccess文件夹。

接下来我们需要将下面这行短代码添加到.htaccess文件里:

Options –Indexes

完成上述操作后,再把.htaccess文件保存下来,然后上传到网站的根文件夹里。

关闭XML-RPC功能

XML-RPC在WordPress3.5里是默认开启的,因为它有助于将网站跟网络应用程序和移动应用程序进行集成。

由于XML-RPC本身功能非常强大,因此它还可以将暴力攻击的影响无限放大。

举个例子,传统意义上的黑客如果要在你的网站上尝试500个不同的密码,他们不得不分别进行500次尝试,这种情况会被登录锁定类插件阻挡。

但是黑客可以利用XML-RPC中的system.multicall功能可以尝试上万种密码。

因此如果你不用XML-RPC,我们建议你还是关闭这个功能。

在WordPress里面有3种方式可以关闭XML-RPC功能,这里我们对3种方式都介绍一下。

  • 第一我们可以将下列代码添加到网站中的插件里:
1add_filter(‘xmlrpc_enabled’, ‘__return_false’);
  • 另一种方法我们可以安装一个叫Disable XML-RPC的插件,然后启用这款插件就可以了。这款插件的功能跟上面的这行代码同样有效。
  • 将下列代码粘贴到网站的.htaccess文件里
1 2 3 4 5 6# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>

提示:第三种采用.htaccess的方法最好,因为占用的资源最少。

如果你还使用了上面提到的网络应用防火墙功能,就不需要进行这一步了,防火墙会解决XML-RPC的问题。

自动退出空闲用户

登录用户有时会离开显示界面,这会给网站带来风险。有人很可能会截取他们的对话,更改他们的密码或账户。

很多银行或金融机构会自动注销僵尸用户也是这个原因。我们也可以在自己的网站上实现这种功能。

我们需要安装并启用Inactive Logout这款插件,启用后按照设置→Inactive Logout的步骤操作对插件进行设置。

对插件进行设置时,我们只需要设置时间间隔,然后再添加退出登录的信息就可以了。最后点击保存更改按钮将设置保存下来。

在WordPress网站登录页面添加安全问题

在WordPress网站登录页面添加安全问题可以让未获授权的用户更加难以登录网站。

我们可以安装WP Security Questions插件来设置安全问题。启动插件后,我们按照设置→Security Questions进入插件设置页面。

接下来我们会看到插件提前设定好的一些安全问题,我们还可以点击顶部的“Add More”(添加更多)按钮添加自己的问题。我们还可以对已有的问题进行编辑,或删除已有的问题。

在设置页面的底部位置,我们可以看到在登录页面、注册页面、以及丢失密码页面开通回答安全的选项。

WordPress网站安全防护, 设置安全问题

最后我们需要点击保存设置按钮。自此,所有网站上的用户都需要在登录页面上选择并回答这些提前设置好的安全问题。

扫描WordPress网站的恶意软件和漏洞

如果网站上安装了安全插件,这些插件就会对恶意软件和安全漏洞进行扫描和筛查。

但是,如果你看到网站流量搜索排名突然下降,那么就需要对网站进行手动扫描了。当然我们还可以使用WordPress安全防护插件或者使用恶意软件及网站安全扫描工具。

运行这类在线扫描是很简单的,我们只需要输入网站链接就可以,然后扫描工具就会利用爬虫技术对网站上的恶意代码和恶意软件进行扫描。

但是我们要知道这类扫描工具只能对网站进行扫描,它们不能清除恶意软件或者清理被攻击的网站。

苦心孤译在此向大家推荐isitwpSucuri这两个恶意软件和网站漏洞扫描网站。

接下来,我们看一下恶意软件清理这部分内容。

修复被黑的WordPress网站

很多WordPress用户直到网站被攻击被破解才意识到网站备份和网站安全的重要性。对一个被攻击的WordPress网站进行清理其实相对比较复杂,而且很耗时。我们的第一建议就是找专业人士来修复被黑的网站。

黑客会在被黑的网站上安装后门程序,如果这些后门程序得不到修复,网站很可能会再次被攻击。

让类似Sucuri这样专业的网络安保公司修复网站是恢复网站的首选,而且这家公司还会保护网站远离后边的攻击。

以上就是苦心孤译要跟大家分享的有关WordPress网站安全防护方面的有关内容,希望本文可以帮助众多WordPress用户和爱好者保护自己的站点。

最后向大家推荐以下文章:

如果大家对本文有所疑问,可以在下方留言评论,我可以对上面的某些板块进行补充。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

3 + 20 =