如何保護您的 WordPress 博客

如何保護您的 WordPress 博客

在服務器上設置 WordPress 博客後,保護您的 WordPress 博客是必須做的一件重要事情。沒有任何理由讓您的 WordPress 敞開大門,讓黑客潛入並竊取您的信息或破壞您的數據。花幾個小時保護 WordPress,您將節省無數時間來應對持續的攻擊。本指南介紹了多種保護 WordPress 的方法,以確保您的數據和信息安全。

同樣有幫助的是:您可以為您的 WordPress 網站獲取免費的 SSL 證書,以保護您網站的訪問者。

1. 使用一體化安全插件

為了簡單起見,請從在一個位置處理多個任務的 WordPress 安全插件開始。最好的選擇之一是一體化安全 (AIOS)。憑藉超過一百萬次安裝的令人印象深刻的 5 星級評級,值得將其添加到您的網站。另外,許多功能是完全免費的。

如何保護您的 WordPress 一體機

該插件執行以下操作:

  • 阻止暴力攻擊
  • 啟用雙因素身份驗證
  • 對機器人隱藏您的登錄頁面
  • 強制喜歡始終保持登錄狀態的用戶註銷
  • 有助於提高密碼強度
  • 通過添加 64 個新字符(每週更改一次)來改進 WordPress Salts(加密密碼的哈希過程的一部分)
  • 添加防火牆保護
  • 包括惡意軟件防護(僅限高級版)
  • 減少垃圾評論

這只是所包含內容的一小部分。設置所有內容可能需要一段時間,但管理一個插件比管理多個插件更好。

2. 停止暴力攻擊

黑客可以使用暴力攻擊輕鬆破解您的登錄密碼和憑據。為了防止這種情況發生,請安裝登錄鎖定插件。該插件記錄每次失敗的 WordPress 登錄嘗試的 IP 地址和時間戳。一旦檢測到一定次數的失敗嘗試,它將禁用該範圍內所有請求的登錄功能。

如何保護您的 WordPress 暴力攻擊

它還添加了另外兩個方便的功能:雙因素身份驗證和驗證碼。這些也大大減少了暴力攻擊。

3.使用強密碼

確保您使用他人難以猜到的強密碼。使用數字、特殊字符和大寫/小寫字母的組合來構成您的密碼。您還可以使用 WordPress 2.5 及更高版本上的密碼檢查器來檢查密碼的強度。

如何保護您的 WordPress 密碼生成選項

使用密碼管理器生成完全隨機且安全的密碼是另一種選擇。即使您不存儲密碼,這些仍然是為您的網站生成唯一密碼的好工具。

4. 保護您的 WP-Admin 文件夾

您的“wp-admin”文件夾包含有關您網站的所有關鍵信息,並且是您最不希望授予其他人訪問權限的地方。保護它的最簡單方法是添加額外的密碼。即使黑客使用用戶的憑據進入您的網站,他們仍然必須找出您的wp-admin文件夾的憑據。至此,您可能已經了解了該漏洞,並且能夠更改被黑客攻擊的用戶的密碼和您的 wp-admin 密碼以提高安全性。

有多種方法可以做到這一點。第一個取決於您的網絡主機。許多提供 cPanel。步驟可能因主機而略有不同。

  • 登錄您網站的 cPanel 部分。您的網絡託管服務商將提供有關如何執行此操作的說明。
  • 向下滾動到“安全”,然後選擇“密碼保護目錄”。
如何保護您的 WordPress Wp 管理員
  • 選擇“目錄隱私”。
如何保護您的 WordPress Wp 管理目錄
  • 選擇要使用密碼保護的目錄,然後按照提示進行操作。通常會有一個教程進一步介紹如何使用此方法最好地保護目錄。

第二種方法是手動的,通常不推薦,因為如果您做得不正確,您最終可能會被鎖定在網站之外。

  • 使用您喜歡的文本編輯器創建一個文本文件並將其命名為“.htaccess”
  • 將以下內容添加到文件中,但將 AuthUserFile 路徑更改為您將上傳密碼文件的位置(在下一步中),並將“yourusername”更改為您的用戶名。

AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

  • 創建另一個名為“.htpasswd”的文本文件
  • 使用 htpasswd 生成器生成文件內容。Hosting Canadaweb2generatorsAskApache都有易於使用的生成器。填寫生成器後,將給定的文本複製到。您創建的 htpasswd 文件。
  • 將這兩個文件複製到您的 wp-admin 文件夾中,一切就完成了。

5.刪除WordPress版本信息

許多 WordPress 主題在元標記中包含 WordPress 版本信息。黑客可以快速掌握這些信息,並針對該版本的安全漏洞策劃特定的攻擊。

如何保護您的 WordPress 版本

刪除 WordPress 版本信息:

  • 登錄到您的 WordPress 儀表板。
  • 轉到“設計->主題編輯器”。
  • 在右側查找您的“標頭”文件。
  • 查找以下代碼行:

<meta name="generator"content="WordPress versionnumber"/>

  • 刪除此行,然後按“更新文件”。

您還可以使用 WordPress 安全插件(例如Sucuri Security)來隱藏此信息。

6.隱藏你的插件文件夾

如果您訪問您的網站 URL:https://yourwebsite.com/wp-content/plugins 並且您可以看到您使用的插件的完整列表,那麼您的 WordPress 網站不太安全。您可以通過將空的“index.html”上傳到插件目錄來輕鬆隱藏此頁面。

  • 打開文本編輯器。將空白文檔另存為“index.html”。
  • 使用 FTP 程序將“index.html”上傳到“/wp-content/plugins”文件夾。

同樣有幫助的是:使用這些WordPress 統計插件來衡量您的網站。

7. 更改您的登錄名

默認用戶名是“admin”。保護 WordPress 安全的一個簡單方法就是改變這一點。否則,黑客已經知道您一半的登錄信息。

  • 登錄到您的 WordPress 儀表板,然後選擇“用戶”。
  • 選擇“新用戶”。
如何保護您的 WordPress 管理員
  • 將角色設置為“管理員”,然後向所需的電子郵件帳戶發送邀請。接受邀請後,您可以登錄、創建密碼並成為新的管理員帳戶。
如何保護您的 WordPress 管理員 新
  • 設置新用戶後,返回“用戶”。
  • 找到“admin”帳戶,並將其刪除。
  • 選擇“將所有帖子和鏈接歸因於”,然後選擇您的用戶名。
  • 按“確認刪除”。

8. 升級到最新版本

WordPress 以及主題和插件會定期更新。這添加了新功能、解決了錯誤並修復了安全漏洞。最後一部分是最重要的。如果黑客意識到您的舊版本存在安全漏洞,他們會立即利用該漏洞。

每月安排一天執行更新。雖然您可能沒有對所有內容進行新更新,但請對可用內容進行更新。這包括您的核心 WordPress 安裝。這是保護 WordPress 安全的簡單方法,但非常有效。

在執行任何重大更新之前,請對您的站點進行完整備份,以防萬一。

9. 定期進行安全掃描

如何保護您的 WordPress 安全掃描
圖片來源:Pexels

每個 WordPress 安裝都需要一個安全插件。我們已經提到過的一體式安全 (AIOS) 和 Sucuri Security 是不錯的選擇。您還可以嘗試以下操作:

10.備份你的WordPress網站

無論您的網站有多安全,您仍然要為最壞的情況做好準備。安裝 WordPress 備份插件,並安排它每天備份您的數據庫。

您有多種選擇,但一些頂級選項包括:

11. 定義用戶權限

如何保護您的 WordPress 用戶角色

如果您的博客有多個作者,您可以安裝用戶角色編輯器插件來定義每個用戶組的功能。這將使您(博客所有者)能夠控制用戶在博客中可以做什麼和不能做什麼。

12.升級到SSL

如果您沒有 SSL 證書,現在是時候獲取一個了。安全套接字層 (SSL) 是一種對用戶和網站之間發送的內容進行加密的協議。許多網絡主機提供免費或低成本的 SSL 證書,而且安裝起來非常簡單。如果用戶登錄您的網站或進行購買,這些就尤其重要。另外,Google 更喜歡具有 SSL 證書的網站。

如何保護您的 WordPress SSL
圖片來源:Pexels

13.禁用文件編輯

您可以直接從網站的管理區域編輯插件和主題代碼。想像一下,如果其他人未經您的許可就開始修改代碼。為了避免令人討厭的意外,請禁用文件編輯。

雖然您可以使用像 Sucuri 這樣的插件,但您也可以在“wp-config.php”文件中添加幾行代碼。

  • 在站點的根文件夾中找到“wp-config.php”文件。您可以使用任何您希望訪問文件的 FTP 客戶端。
  • 下載該文件並在您喜歡的文本編輯器(例如記事本)中打開它。
  • 將以下內容添加到代碼中:

// Disable file editdefine('DISALLOW_FILE_EDIT', true);

  • 將現有的“wp-config.php”文件替換為新版本以禁用文件編輯。

同樣有幫助的是:如果您要向網站添加大量媒體,請考慮這些WordPress 圖像優化技巧

14.使用雙因素身份驗證

如何保護您的 WordPress 2fa

即使黑客能夠訪問用戶的登錄信息,雙因素身份驗證 (2FA) 也意味著黑客仍然需要訪問另一個密碼。在這種情況下,代碼通常會發送到用戶的手機。您可以使用安全插件,例如本文前面提到的那些插件,或專用的 2FA 插件,例如miniOrange Google AuthenticatorWP 2FA

圖片來源:Unsplash。克里斯托·克勞德 (Crystal Crowder) 的截圖。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *