如何用6个简单的步骤保护WordPress网站

Wordpress大师

如何用6个简单的步骤保护WordPress网站     Rebecca Ohanes 2020年5月6日WordPress 18 MIN READ     

如何保护你的WordPress网站是一个重要的问题，特别是在GDPR的时代。每个网站所有者都有责任保证他或她的网站访问者有一个安全的浏览体验，而不必担心他们的个人信息的保护。在网络技术时代，黑客攻击随着数字市场的发展而发展和成熟，这意味着你将以不同的形式遇到它们。这就是为什么每个网站所有者都必须做好准备，以有效和预防性的方式解决安全问题。记住，网络安全攻击不仅会威胁到你网站的访问者，还会威胁到你网站的功能和完整性，默认情况下你的收入。好消息是，如果您遵循本文关于如何保护您的WordPress站点的说明，您将发现保护您的站点免受不必要的和未经授权的攻击并不像看起来那么复杂。我们在这里向您展示如何通过一些简单的操作来保护您的网站。WordPress网站真的安全吗? WordPress是目前最流行的内容管理系统（CMS）， 35.2%的网站所有者使用，其中CMS市场份额不低于62%。虽然这种市场领先地位是CMS提供商的主要优势，但同时它也是一把双刃剑。从一个不同的角度来看他们的成功会发现WordPress经常与缺乏安全性联系在一起。这不仅仅是一种道听途说的知识，而是在统计数据中也反映出来的事实。2019年，94%的安全漏洞都与WordPress有关。

来源:Sucuri

当然，这并不令人惊讶。当绝大多数的网站所有者依赖于WordPress CMS时，那么根据纯粹的概率定律，黑客攻击的网站很有可能是WordPress网站。但是，作为一个WordPress网站的所有者，你能做些什么来为这些不幸的事件做好准备呢?我们10Web建议的第一件事是知道你要面对的是什么。Francis Bacon爵士有句名言:“Scientia potestas est”。知识就是力量。如果您不知道网络安全攻击会以何种形式发生，您将永远无法正确地保护自己免受网络安全攻击。这就是为什么在回答如何保护WordPress网站的问题之前，让我们先关注一下现有的安全漏洞。    来源:Sucuri



对于那些不太熟悉IT世界的黑客亚文化的人来说，这里为你粗略概述了黑客喜欢用来进行攻击的现有渠道。我们的榜单是基于Sucuri 2019年年度报告中提供的统计数据，该报告展示了该年最常遇到的安全威胁。让我们从一个相当普遍，但仍然经常出现的术语开始。恶意软件在2019年最常见的网络安全威胁中排名第三。在本文中，我们已经多次使用恶意软件这个术语，但它到底代表什么?例如，这个词本身就是恶意软件的缩写。顾名思义，它指的是任何一种允许未经授权访问的恶意和破坏性软件。间谍软件，网络钓鱼，病毒和木马都是恶意软件的类型，举几个例子。虽然说得很明显，但你可以通过互联网或电子邮件感染恶意软件。被黑客攻击的网站、免费试用或任何形式的下载都是恶意软件的潜在来源。但是你怎么知道你的系统中是否有恶意软件呢？ 那么，问问你自己:你的计算机运行很慢吗?你会收到很多弹出窗口或垃圾邮件吗?你经常撞车吗?如果答案是肯定的，那么我们建议您运行恶意软件扫描来检查您的计算机是否被感染，因为上面提到的所有症状都是计算机被感染的迹象。根据Sucuri的说法，SEO垃圾邮件是CMS感染的最大来源。这类黑客活动的问题是，你的网站会在你没有意识到的情况下被感染很长一段时间。垃圾邮件是专门为不被感染者发现而设计的。与此同时，您的网站和每个访问它的用户将任由攻击者摆布。



但是如何被SEO垃圾邮件感染?对于初学者来说，这是一个众所周知的事实，当你依赖一个弱密码或使用一个有安全漏洞的旧插件时，你会变得很容易受到攻击。这允许黑客用恶意代码感染您的站点，然后在PHP函数的帮助下狡猾地将您的代码更改为原始形式，这样您就不会注意到对脚本所做的更改。一旦您的网站被感染，攻击者将使用您的SEO页面有较高的SERP排名重定向您自己的网站的访问者到自己的网站，插入他们自己的关键字，添加新的页面到您的网站，发送垃圾邮件，以及添加他们自己的广告或行动呼吁（cta）。为什么黑客会对这种行为感兴趣呢?作为一个从事数字营销工作的人，必须确保每一篇发布的文章都在多个层面上得到优化——无论是页面速度、图片还是关键词——让我告诉你，这是一个极其繁琐和复杂的过程。为了节省所有花费在通过搜索引擎获得曝光度上的时间和精力，黑客决定使用一个捷径来代替偷窃你的SEO成果。这就是为什么搜索引擎优化垃圾邮件也被称为spamdexing或搜索引擎中毒（SEP）。SEO垃圾信息的受害者可以是各种规模的网站。在这方面一个常见的误解是黑客主要针对大网站。这只是一个错误的假设，因为黑客更容易在较小的网站上取得成功。这是因为小型网站往往没有SSL证书，默认情况下没有必要的保护措施来抵御此类攻击。第二大最常见的恶意软件来源是后门攻击。为了澄清，在IT界，“后门”一词指的是一种可替代的访问软件或硬件系统的途径，可以绕过常规的安全措施，换句话说就是访问保护。“后门”可以在你不知情的情况下被程序员内置或被恶意软件安装。通常使用木马程序来安装秘密访问的可能性。应该提到的是，术语后门和木马通常在同一上下文中使用;然而，它们是两个不同的东西。木马是一种伪装成有用程序的软件，目的是潜入你的计算机并安装后门。基本上，这只是达到目的的手段。这个场景的最终目的是获得未经授权访问的能力，也称为后门。但是这些访问选项最初是如何存在的呢?从一开始就不要他们不是更容易吗?技术上来说,是的。然而，IT系统制造商在预期客户需要修理服务的情况下，有意地建立这些系统。这样，制造商就可以在客户需要时毫不费力地介入并协助客户。在讨论了这三种最普遍的网络安全威胁之后，让我们来看看其他分布较少的恶意软件家族。



在Sucuri的列表中排名第四的是黑客工具，这是一种恶意软件，用于自动创建病毒、木马以及拒绝服务（DoS）攻击。黑客工具的目的是试图使网站的目标用户无法访问。

Mailers，我相信你已经知道了。这个世界上可能没有一个人没有收到垃圾邮件的不快。另一方面，Defacement，正如这个词已经表明的那样，意味着一旦你的网站被成功渗透，黑客就会对其进行Defacement，并与他们交换你的网站内容。至于网络钓鱼，这个术语指的是黑客试图通过伪造的电子邮件来获取人们的个人信息，比如密码，他们把自己伪装成你的银行或网上商店。获取用户支付信息的另一种方法是略读。它指的是电子商务网站的支付页面通过恶意软件暴露给黑客，被用来窃取用户信息的事件。现在你已经熟悉了一些网络术语，知道了什么样的潜在网络安全威胁正在逼近，让我们来看看如何保护WordPress网站。马里兰大学的一项研究表明，“黑客平均每39秒进行一次攻击”。以下步骤将帮助您建立一个抗这些攻击的网站:高质量主机更新密码安全您的管理域安全插件备份

选择正确的托管提供商

<img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/2032365132647312046.png“>当人们忘记更新他们的WordPress到最新版本时，一个非常常见的漏洞来源就出现了。情况是这样的:每当WordPress引入一个新版本时，默认情况下它就会显示以前版本的漏洞。这使得每一个忽视更新他们的WordPress核心的人都成为一个明显和容易的目标。另一个问题是，虽然有些人确实想到了更新他们的WordPress核心，但他们有时忘记了为他们的插件和主题做同样的事情。然而，为了避免每次更新主题时网站内容被覆盖，请确保在子主题而不是父主题中进行更改。我们10Web通过提供自动更新来帮助您克服这个问题。这可以在10Web仪表板上进行管理，那里有插件选项。你可以按月、周或日安排更新。通过选择“执行阶段更新”选项，您还可以确保您的网站在任何预定的更新之前自动备份。在这一点上，我们想要强调的是，虽然自动更新是必不可少的，但如果没有持续的警惕，它们只是战斗的一半。考虑到这一点，我们的安全服务将允许您无限制地扫描您的WordPress核心、插件和主题。除此之外，您还可以扫描文件更改，并将其与原始表单进行比较。如果您检测到任何错误、故障或任何可疑活动，您总是有可能恢复原始文件。我们，10Websters，强烈建议您充分利用这些服务。</p>3。密码<img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/3339863795081252202.png“><img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/3339863795081252202.png“>盗取密码是另一种非常普遍的入侵网站的方式。不幸的是，作为WordPress主机提供商，我们对用户选择密码的决定几乎没有影响力。这就是为什么在面对如何保护WordPress网站的问题时，我们再怎么强调警惕的重要性也不为过。</p><p>通过确保没有人可以访问您的密码，并通过选择一个很难解密的密码，您已经完成了确保您的密码不会被泄露的一半任务。尽管在某些情况下，例如网络钓鱼或嗅探攻击，强密码并不能防止黑客窃取你的密码，但它仍然是一种非常有效的保护自己免受所谓的蛮力攻击的方法。</p><p>指的是黑客试图反复猜测你的用户名和密码，直到找到正确的组合。到目前为止，这是最流行的攻击WordPress网站的方式。你不知道如何创建安全的密码?根据经验，强密码包括数字、特殊字符、小写字母和大写字母，长度至少为7个字符。你还不确定你是否能胜任这个任务?然后，您可能想了解一些密码生成器工具（如Strong password generator）所提供的服务。他们会给你一个好的密码建议，但他们不会保存。另外，你可以决定你的密码的安全级别。一般来说，当涉及到保存密码时，我们建议避免在浏览器中这样做。这将增加被攻击的可能性。您应该只将您的密码保存在您确定它们以加密形式存储您的密码并使用主密码进行保护的程序或应用程序上。不用说，你不应该把密码写在纸张或保存在word或excel文档中。出于同样的原因，我们强烈建议您不要通过电子邮件或WhatsApp等任何其他沟通渠道发送您的密码。相反，我们建议你将所有的密码安全地存储在安全的地方，如LastPass或KeePass密码保险箱。</p>4。<img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/4522005157044300484.png“><img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/4522005157044300484.png“>当处理如何保护WordPress网站的问题时，你不会碰到你的WordPress管理页面的问题。保护登录详细信息的第一条规则是使用唯一的用户名。避免将其简单地指定为administrator或admin。有些人喜欢使用他们的网站域名或他们自己的名字作为管理员用户名。我们强烈建议您不要这样做，因为只要稍加研究，黑客就能在网上找到这些信息。另一件需要考虑的事情是，你的WordPress管理员登录URL通常称为/wp-admin，当然，这是黑客首先要找的东西。为了让他们更难找到你，你可以使用像Velvet Blues Update URLs这样的插件来改变你的URL。此外，我们鼓励您在登录页面上使用双因素身份验证。这将通过添加其他身份验证方法来提高您的安全级别，例如移动生成的代码或物理令牌。虽然WordPress没有这个内置的安全方法，但是你仍然可以把它作为一个插件来安装。对于那些不熟悉这些插件的人，这里有一些选项:谷歌Authenticator和Rublon双因素身份验证。</p><p>这将帮助您避免成为蛮力攻击的目标。</p>5。一个重要的解决方案，如何保护WordPress网站的难题是使用安全插件。10Web提供了50多个插件，其中一些专门用于确保网站的安全性。你们中的许多人可能会质疑安全插件的必要性，并且不确定它们所提供的优势。那么，让我们来看看安全插件有哪些附加价值，以及你是否应该使用它们来保护你的网站。首先，你可以使用一个插件来限制登录尝试，我们作为你的主机提供商总是预先安装了这个插件。因此，如果一个黑客试图渗透你的网站，猜错你的密码三次，他的IP地址将自动屏蔽。将此与强密码相结合，你的网站将几乎无法被黑客攻破。安全插件iThemes也在强烈推荐的插件列表中。这是因为它能够阻止未经授权的代码迁移、SQL注入、后端攻击、PHP函数以及404攻击。另一个有用的插件是Wordfence。它将保护你免受恶意软件和黑客攻击。除此之外，它还允许你检测已经进入你系统的恶意软件。它通过扫描您的整个系统来寻找此类攻击。它还可以告诉您做了哪些更改，以及是否存在潜在的恶意代码。最后，Wordfence会给你发送一个提醒，以防你忘记安装更新。当然，这个列表还没有结束，还有许多其他插件具有各种各样的功能，其中大多数都以易于理解的方式介绍给客户。所以如果你是新手，没有必要惊慌，你的WordPress安全插件会给你所需的指导。</p>6。备份<p><img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/2726438698011524253.png“><img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/2726438698011524253.png“>每个人都熟悉这样一句话:您应该始终有一个备份计划，对吗?如果你问我们，这只是常识。这就是我们为客户提供自动备份服务的原因。因为正如约翰·艾伦·保罗所说:“不确定性是唯一的确定性”。因此，尽管我们试图为您提供最有效的工具来保护您的系统免受网络攻击，但我们永远无法100%保证。通常，人们想当然地认为只有在有新的系统更新时才偶尔实现备份就足够了。但我们不敢苟同。例如，让我们假设您所做的最后一次更新是在一年前。从逻辑上讲，这意味着上一次备份也是在一年前完成的。当然，在这一年的时间里，你会对你的网站内容做出改变。</p><p>现在让我们进一步假设您的网站由于黑客攻击而意外地受到损害。这将需要一个快速但同时全面的恢复您的网站。在这种情况下，你只能恢复一年前的网站版本。这意味着在此之后所做的所有更改都将丢失。不用说，要想重新找回你失去的东西，你将花费大量的时间和资源。我们的目标是让你免去这些麻烦。这就是为什么我们10Web鼓励我们的客户安排自动备份，以保持更新数据的高度一致性。这个难题的另一个非常重要的部分（许多人忽略了）是不只是依赖差异备份，即只备份最新的更改。为了确保网站的完整和快速恢复，你必须做一个完整的备份，这意味着你不仅要保护数据文件，也要保护你的数据库。我们的最后一个建议是在多个设备上存档您的数据。我们知道这是一个非常繁琐的过程，但一旦你发现自己成为了安全漏洞的目标，毫无疑问，你会非常高兴和感激，因为你付出了额外的努力，覆盖了所有的角度。现在我们已经与您分享了如何保护您的WordPress站点的建议，我们非常有兴趣听听您使用WordPress的经验。你觉得用WordPress管理你的网站安全吗?你采取了什么措施来提高网站的弹性?对于那些没有足够的知识并且渴望了解更多的人，可以看看我们的文章:防止最常见的WordPress安全问题:第1和第2部分。你喜欢这篇文章吗?传播这个词!</p>留言取消回复<p>您的电子邮件地址将不会被公布。必填字段标记为*</p> <p>您的电子邮件地址将永远不会被发布或共享。必填字段标记为*</p> <p>COMMENT*</p> <p>NAME *</p> <p>EMAIL ADDRESS *</p> <p>WEBSITE</p> <p>在此浏览器中保存我的姓名、电子邮件和网站，以便下次评论时使用。</p> </p> <p></p> </p> </p> 2条评论最近的回复<img src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/8373552025467374786“ class=“aligncenter“> <img src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/8373552025467374786“ class=“aligncenter“> Shane McEvoy 2021年7月8日<p>优秀的帖子Rebecca，我相信很多网站所有者会发现它相当令人大开眼界，因为我不认为人们意识到网络威胁问题有多严重。</p><img src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/6680107596995929632.gif“ class=“aligncenter“><img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/6680107596995929632.gif“>Rebecca，这篇文章写得很好，我相信很多网站所有者会觉得这篇文章让人大开眼界，因为我认为人们没有意识到网络威胁问题有多严重。保存取消删除查看所有1条回复回复<img src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/8408383221746214447“ class=“aligncenter“><img src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/8408383221746214447“ class=“aligncenter“>Anna Alaverdian 2021年7月20日<p>非常感谢您的反馈!</p><img src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/6680107596995929632.gif“ class=“aligncenter“><img class=“aligncenter“ src=“https://www.gv123.net/blog/wp-content/uploads/2022/10/6680107596995929632.gif“>非常感谢您的反馈!保存、取消、删除、回复相关帖子如何确保远程员工的网络安全如何通过10Web启用和使用安全服务防范最常见的WordPress安全问题:第2部分防范最常见的WordPress安全问题:第1部分# 10Web #backup # Security # WordPress