保護 WordPress 網站的 6 個技巧
WordPress 已經驅動了互聯網 30% 的網站,它是世界上增長最快的 內容管理系統 (CMS),而且不難看出原因:通過大量可用的定製化代碼和插件、一流的 搜索引擎優化 (SEO),以及在博客界超高的美譽度,WordPress 贏得了很高的知名度。
然而,隨著知名度而來的,也帶來一些不太好的關注。WordPress 是入侵者、惡意軟體和網路攻擊的常見目標,事實上,在 2019 年被黑客攻擊的 CMS 中,WordPress 約佔 90%。
無論你是 WordPress 新用戶或者有經驗的開發者,這裡有一些你可以採取的重要步驟來保護你的 WordPress 網站。以下 6 個關鍵技巧將幫助你起步。
1、選擇可靠的託管主機
主機是所有網站無形的基礎,沒有它,你不能在線發布你的網站。但是主機的作用遠不止起簡單的託管你的網站,它也要對你的網站速度、性能和安全負責。
第一件要做的事情就是檢查主機在它的套餐中是否包含 SSL 安全協議。
無論你是運行一個小博客或是一個大的在線商店,SSL 協議都是所有網站必需的安全功能。如果你正在進行線上交易,你還需要 高級 SSL 數字證書 ,但是對大多數網站來說,基本免費的 SSL 證書就很好了。
其他需要注意安全功能包括以下幾種:
- 日常的自動離線網站備份
- 惡意軟體和殺毒軟體掃描和刪除
- 分散式服務攻擊 (DDOS)保護
- 實時網路監控
- 高級防火牆保護
另外除了這些數字安全功能之外,你的主機供應商的 物理 安全措施也是值得考慮的。這些包括用安全警衛、閉路監控和二次驗證或生物識別來限制對數據中心的訪問。
2、使用安全插件
保護你的網站安全最有效且容易的方法之一是安裝一個安全插件,比如 Sucuri,它是一個 GPLv2 許可的開源軟體。安全插件是非常重要的,因為它們能將安全管理自動化,這意味著你能夠集中精力運行你的網站,而不是花大量的時間來與在線威脅作鬥爭。
這些插件探測、阻止惡意攻擊,並提醒你需要注意的任何問題。簡言之,它們持續在後台運行,保護你的網站,這意味著你不必保持 7 天 24 小時地保持清醒,與黑客、漏洞和其他數字垃圾鬥爭。
一個好的安全插件會免費提供給你所有必要的安全功能,但是一些高級功能需要付費訂閱。舉個例子,如果你想要解鎖 Sucuri 的網站防火牆 ,你就需要付費。開啟 網站應用防火牆 (WAF)阻擋常見的威脅,並為給你的網站添加一個額外的安全層,所以當選擇安全插件的時候,尋找帶有這個功能的插件是一個好的主意。
3、選擇值得信任的插件和主題
WordPress 的快樂在於它是開源的,所以任何人、每個人都能提供他們開發的主題和插件。但當選擇高質量的主題和插件時,這也拋出一些問題。
在挑選免費的主題或插件時,有一些設計較差,或者更糟糕的是,可能會隱藏惡意代碼。
為了避免這種情況,始終從可靠的來源來獲取免費主題和插件,比如 WordPress 主題庫。閱讀對它的評論,並研究查看開發者是否構建過其他的程序。
過時的或設計不良的主題和插件可以為攻擊者進入你的網站留下「後門」或錯誤,這就是為什麼選擇時要謹慎。然而,你也應該提防無效或者破解的主題。這些已經黑客破壞了的高級主題被非法銷售。你可能會購買一個無效的主題,它看起來沒什麼問題,但會通過隱藏的惡意代碼破壞你的網站。
為了避免無效主題,不要被打折的價格所吸引,始終堅持可靠的主題商店,比如官方的 WordPress 目錄。如果你在其它地方尋找,堅持選擇大型且值得信任的商店,比如 Themify ,這個主題和插件商店自從 2010 年就已經在經營了。Themify 確保它的所有 WordPress 主題通過了 谷歌友好移動 測試,並在 GNU 通用公共許可證 下開源。
4、運行定期更新
這是 WordPress 的基本規則: 始終保持你的網站最新。然而,不是所有人都堅持了這個規則,只有 43% 的 WordPress 網站 運行的是最新版本。
問題是,當你的網站過期的時候,由於它在安全和性能修復方面落後的原因,容易受到故障、漏洞、入侵和崩潰的影響。過期的網站不能像更新的網站一樣修復漏洞,攻擊者能夠分辨出哪些網站是過期的。這意味著他們能夠依此來搜索最易受攻擊的網站並襲擊它們。
這就是為什麼你始終要運行最新的 WordPress 版本的原因。為了保持網站安全處於最強的狀態,你必須更新你的插件和主題,以及你的核心 WordPress 軟體。
如果你選擇一個受管理的 WordPress 託管套餐,你可能會發現你的供應商會為你檢查並運行更新,以了解你的主機是否提供了軟體和插件更新。如果沒有,你可以安裝一個開源插件管理器。比如 GPLv2 許可的 Easy Updates Manager plugin 作為替代品。
5、強化你的登錄
除了通過仔細選擇主題和安裝安全插件來創建一個安全的 WordPress 網站外,你還需要防止未經授權的登錄訪問。
密碼保護
如果你在使用 容易猜到的短語 比如 「123456」 或 「qwerty」 ,第一步要做的增強登錄安全最簡單的方法是更改你的密碼。
嘗試使用一個長的密碼而不是一個單詞,這樣它們很難被破解。最好的方式是用一系列你容易記住且不相關的單詞合併起來。
這裡有一些其它的提示:
- 絕不要重複使用密碼
- 密碼不要包括像家庭成員的名字或者你喜歡的球隊等明顯的單詞
- 不要和任何人分享你的登錄信息
- 你的密碼要包括大小寫和數字來增加複雜程度
- 不要在任何地方寫下或者存儲你的登錄信息
- 使用 密碼管理器
變更你的登錄地址
將默認登錄網址從標準格式 yourdomain.com/wp-admin
變更是一個好主意。這是因為黑客也知道這個預設登錄網址,所以不變更它會有被暴力破解的風險。
為避免這種情況,可以將登錄網址變更為不同的網址。使用開源插件比如 GPLv2 許可的 WPS Hide Login 可以更加安全、快速和輕鬆的自定義登錄地址。
應用雙因素認證
為了提供更多的保護,阻止未授權的登錄和暴力破解,你應該添加雙因素認證。這意味著即使有人 確實 得到了你的登錄信息,但是他們還需要一個直接發送到你的手機上的驗證碼,來獲得對你的 WordPress 網站管理的許可權。
添加雙因素認證是非常容易的,只需要安裝另一個插件,在 WordPress 插件目錄搜索 「two-factor authentication」 ,然後選擇你要的插件。其中一個選擇是 Two Factor ,這是一個流行的 GPLv2 許可的插件,已經有超過 10000 次安裝。
限制登錄嘗試
WordPress 可以讓你多次猜測登錄信息來幫助你登錄。然而,這對黑客嘗試獲取未授權訪問 WordPress 網站並發布惡意代碼也是有幫助的。
為了應對暴力破解,安裝一個插件來限制登錄嘗試,並設置你允許猜測的次數。
6、禁用文件編輯功能
這不是一個適合初學者的步驟,除非你是個自信的程序員,不要嘗試它。並且一定要先備份你的網站。
那就是說,如果你真的想保護你的 WordPress 網站,禁用文件編輯功能 是 一個重要的措施 。如果你不隱藏你的文件,它意味著任何人從管理後台都可以編輯你的主題和插件代碼,如果入侵者進入,那就危險了。
為了拒絕未授權的訪問,轉到你的 .htaccess
文件並輸入:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
或者,要從你的 WordPress 管理後台直接刪除主題和插件的編輯選項,可以添加編輯你的 wp-config.php
文件:
define( 'DISALLOW_FILE_EDIT', true );
保存並重新載入這個文件,插件和主題編輯器將會從你的 WordPress 管理後台菜單中消失,阻止任何人編輯你的主題或者插件代碼,包括你自己。如果你需要恢復訪問你的主題和插件代碼,只需要刪除你添加在 wp-config.php
文件中的代碼即可。
無論你阻止未授權的訪問,還是完全禁用文件編輯功能,採取行動保護你網站代碼是很重要的。否則,不受歡迎的訪問者編輯你的文件並添加新代碼是很容易的。這意味著攻擊者可以使用編輯器從你的 WordPress 站點來獲取數據,或者甚至利用你的網站對其他站點發起攻擊。
隱藏文件更容易的方式是利用安全插件來為你服務,比如 Sucuri 。
WordPress 安全概要
WordPress 是一個優秀的開源平台,初學者和開發者都應該享受它,而不用擔心成為攻擊的受害者。遺憾的是,這些威脅不會很快消失,所以保持網站的安全至關重要。
利用以上措施,你可以創建一個更加健壯、更安全的保護水平的 WordPress 站點,並給自己帶來更好的使用體驗。
保持安全是一個持續的任務,而不是一次性的檢查清單,所以一定要定期重溫這些步驟,並在建立和使用你的CMS時保持警惕。
via: https://opensource.com/article/20/4/wordpress-security
作者:Lucy Carney 選題:lujun9972 譯者:hwlife 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive