本文概述
- 选择主机
- 选择强密码
- 不要使用管理员作为用户名
- 2步登录认证
- 限制登录尝试次数
- 禁用登录提示
- 更改登录页面URL
- 受信任的主题和插件
- 使用SSL
- WordPress安全金钥
- 使用安全的FTP(SFTP)
- 保持wp更新
- 保持卫生
- 禁用引用
WordPress中的安全性是必须的。你的WordPress网站可能遭到黑客入侵, 或可能会出现一些安全问题。 WordPress网站是黑客最喜欢的目标。
没有人能使站点得到完美的保护。这件事是不切实际或不可能实现的。但是至少可以通过应用不同的安全措施来降低风险。通过本文, 你将能够使你的网站保持相对安全。
为了保护你的网站和查看者的数据, 可以采取以下措施。这些步骤不会消除安全风险, 但可以确保将风险降到最低。
- 选择主机
- 强密码
- 不要使用管理员作为用户名
- 2步登录认证
- 限制登录尝试次数
- 禁用登录提示
- 更改登录页面URL
- 受信任的主题和插件
- 使用SSL
- 使用WordPress安全金钥
- 使用安全的FTP
- 保持wp更新
- 保持卫生
- 禁用引用
选择主机
为你的网站选择一个信誉良好且可靠的主机。不要便宜。你的托管公司会极大地影响你的站点安全。
许多主机提供商使用过时的软件。即使过去没有问题, 过时的软件也不能保证将来的安全。
查找以下用于选择主机的功能。
- 攻击监控与预防
- 更新他们的软件
- 应该能够隔离被黑客入侵的站点, 以防止共享服务器上的其他站点。
选择强密码
为安全起见, 请选择一个复杂的密码。选择密码时, 只需遵循三件事(复杂, 冗长和唯一)即可。 2.5版及更高版本具有密码强度指示器, 可帮助你识别密码是否足够牢固。
请记住以下几点:
- 使用新的唯一密码。
- 混合使用大写字母和小写字母, 符号和数字。
- 避免使用与你有关的常见信息, 例如手机号码, 周年纪念日或生日。
- 至少保留10个字符。
- 尝试输入没有任何意义的密码。
- 经常更改密码。
不要使用管理员作为用户名
WordPress将管理员作为默认用户名。作为默认值, 它是最常见的用户名, 因此很容易破解。
当人们开始使用WordPress时, 尤其是第一次使用WordPress时, 他们会坚持使用用户名作为管理员。更改用户名会使黑客更难破解它。
更改用户名:
- 通过单击用户>具有管理特权的新用户来创建新用户。
- 删除以前的管理员用户。
- 删除时, WordPress将询问你”如何处理此用户的内容”, 并且你可以选择删除所有内容或将其分配给新用户。
2步登录认证
两步登录身份验证(也称为2FA)为你的登录页面增加了安全性。它要求只能通过移动消息接收的身份验证码才能登录到你的帐户。
有一些2FA可用的插件。
限制登录尝试次数
通常, 登录页面会受到黑客的攻击。他们可能会多次攻击正确的用户名和密码。尽管他们的尝试可能不会成功, 但是他们进行的尝试次数消耗了大量的服务器内存。因此, 你的网站可能会变慢。在共享服务器上, 这将影响你的站点以及邻近站点。
一种解决方案是限制登录尝试的次数。有一些可用于此的插件, 例如Jetpack。
禁用登录提示
每当你输入错误的密码或用户名时, 都会提示你你的用户名或密码不正确。
对于黑客来说, 这是非常有用的信息。这就是为什么应禁用WordPress网站的登录提示的原因。
更改登录页面URL
黑客通常会在登录页面上进行攻击。如果你对黑客隐藏了登录页面, 则将在很大程度上提高你网站的安全性。
这可以通过使用WPS隐藏登录插件更改登录页面URL来完成。也有一些其他插件可用于此。他们只是拦截页面请求, 并使wp-admin目录和wp-login.php页面无法访问。你必须记住在激活pluign期间设置的新登录页面。
受信任的主题和插件
当不维护或更新插件和主题时, 总是会怀疑它们。在下载插件或主题之前, 请检查其评论和评论, 作者是否响应以及是否免费或付费。
在下载插件或主题之前, 请备份你的网站和主题。
使用SSL
SSL代表安全套接字层。将http转换为https。在包含敏感信息的页面上, 这一点很重要。这是额外的保护层。/p>
它会将你的站点信息加扰为不可读的形式, 因此, 当该信息从你的服务器传输到浏览器时, 它是不可读的格式, 没有任何意义。在浏览器端, 使用私钥使数据再次可读。
WordPress安全金钥
WordPress使用Cookie来验证其用户。这些cookie包含登录信息和身份验证详细信息。密码使用公钥和私钥进行散列。
可以使用WP安全密钥在此cookie周围添加一层。这些是一组随机变量, 可以提高cookie中存储的信息的安全性。
如果重新构造身份验证密钥, 则很容易破解未加密的密码。但是, 使用WP安全密钥进行加密非常困难。
如何添加WP安全密钥
- 打开wp-config.php文件。
- 转到”身份验证唯一密钥和盐”行
- 使用在线自动密钥生成器工具。
- 从在线工具密钥中替换wp-config.php文件中的现有密钥集并保存。
你可以固定时间重复此过程。每当你更改安全密钥时, 用户将从其帐户中注销。
使用安全的FTP(SFTP)
当你对网站进行一些更改或更新信息时, 文件传输协议用于将信息从你的网站传送到主机。
FTP连接增加了截取数据的机会, 而SFTP大大减少了它。
保持wp更新
你网站的最佳安全性是定期进行更新。将所有文件更新到最新版本可提高WordPress网站的安全性。
从3.7版开始, WordPress自动获取更新。但是你的文件, 主题和插件需要通过仪表板或FTP更新。
保持卫生
始终从你的站点中删除未使用的主题和插件, 因为它们很久以来就没有更新, 因此可能会带来一些安全问题。始终保持网站清洁。
禁用引用
引用通告通知你的网站内容已与另一个网页链接。通过引用, 黑客可以攻击你的网站。
因此, 对于新的WordPress网站, 请通过单击设置>讨论禁用此功能。取消选中”允许来自其他博客的链接通知”选项。
评论前必须登录!
注册