• 主页
  • 文章
  • 指导
  • 2021 年 12 条 WordPress 安全提示 – 阻止黑客入侵您的网站

2021 年 12 条 WordPress 安全提示 – 阻止黑客入侵您的网站

已发表: 2022-08-27

今天,互联网上 40% 的网站都使用 WordPress。 如果我没记错的话,你也是其中之一!

WordPress 在过去几年中获得了很大的普及。 然而,大受欢迎也邀请了熟练的黑客!

每天,超过 10,000 个网站因包含恶意软件代码而被 Google 列入黑名单。 这使得网站安全成为最重要的问题。

在今天的文章中,我将讨论12 种有效的 WordPress 安全措施和安全提示,它们将帮助您保护您的网站免受在线漏洞和黑客攻击!

所以,事不宜迟,让我们开始吧!

你的网站被黑了
目录
[隐藏]
  • WordPress 安全提示和使用 WordPress 安全插件
    • 1)使用良好的托管服务
    • 2) 使用良好的安全插件
    • 3) 设置不同的登录页面
    • 4) 使用强用户名和密码
    • 5) 设置登录尝试次数限制
    • 6) 实施两因素身份验证
    • 6) 使用 Cloudflare 防御 DDoS 攻击
    • 7) 避免使用空插件和主题
    • 8) 定期更新 WordPress、插件和主题
    • 9) 删除不活跃的插件和主题
    • 10) 关闭用户注册
    • 11) 定期备份
    • 12) 更改 WordPress 表前缀以避免 SQL 注入
  • 如何使用 WordPress 安全插件
  • 结论

WordPress 安全提示和使用 WordPress 安全插件

1)使用良好的托管服务

良好的托管服务是建立成功网站的关键因素。 您知道在托管服务器上进行的最大黑客攻击次数吗?

糟糕的托管 - 网络犯罪

安全服务差的托管公司已成为网络犯罪的温床。

Bluehost 因安全漏洞而臭名昭著! 由于代码中存在明显的错误和漏洞,他们的服务器已多次被黑客入侵。

您的网站是否托管在 Bluehost 上? 您是否遇到过极慢的页面加载速度或频繁的网站故障? 然后是时候切换到其他主机了。

糟糕的托管可能会损害您的所有网站数据。 为了自救,您在选择托管服务时必须始终密切关注。

2)使用良好的安全插件

插件可以对您网站的安全性和性能产生重大影响。 但是,如果您的托管不令人满意,您的网站总是有被黑客入侵的风险。 所以,一个好的主机是必须的。

我会为 WordPress 推荐两个高效的安全插件:

  1. Wordfence 安全
  2. iThemes 安全
iThemes 安装 ss

这两个插件都很强大,但是 Wordfence Security 在某些网站上的加载速度很慢,所以我更喜欢 iThemes Security 为我的网站。

3) 设置不同的登录页面

您一定注意到了,您可以通过 URL:yourwebsite.com/wp-admin 访问 WordPress 网站的登录页面 但是有一个问题!

如果您从黑客的角度来看,这些信息就是大奖。 我可以通过在 URL 末尾添加wp-admin来访问任何 WordPress 站点的登录页面!

登录页面上总是进行最大的黑客攻击尝试。

我们必须避免任何被黑客入侵的机会。 使用 iThemes Security,您可以将登录页面从 wp-admin 更改为其他内容,例如yourwebsite.com/this_is_my_site 或从字面上看任何不常见的东西。

但也要将其安全地保存在 3-4 个不同的位置。 如果您丢失了此 URL,则没有其他方法可以进入您的网站。

以下是使用 iThemes Security 更改登录页面的方法:

wordpress 登录页面 url 更改

4)使用强用户名和密码

WordPress 为其网站提供默认用户名'admin' 。 而且大多数用户从不费心去改变它,因为它很容易记住。

但是像“admin”这样的通用用户名让黑客很容易找到你的密码,因为他们已经有了你的用户名。

他们可以使用蛮力攻击等技术来猜测您的密码,然后窃取您的宝贵数据。 (想知道什么是蛮力攻击?继续阅读以找出答案。)

因此,作为 WordPress 用户,比黑客领先一步,开始在您的网站上实施强密码。

使用 iThemes Security 插件,您可以立即配置这些设置。

wordpress 强制执行强密码

5)设置登录尝试次数限制

所以,我们谈论的是蛮力攻击。 这是一种网络攻击,黑客不断尝试不同的密码组合来登录您的帐户,直到找到正确的密码/目标密码。

弱密码只需几秒钟即可破解。 强者可能需要很长时间。 由于密码猜测过程占用了相当多的时间,这种攻击也被称为穷举搜索。

这是破解某人密码的一种非常可靠的方法,因为最终,在尝试了所有组合之后,他们一定会找到目标密码,无论它有多强!

据统计,在 2017 年,大约 5% 的安全漏洞是因为暴力攻击而发生的! 所以你可以想象执行这个攻击是多么的简单!

但是,您可以通过设置登录尝试次数限制来控制这些活动。

例如,如果用户尝试登录您的帐户超过 3 次,他/她将被锁定 24 小时。 这将确保更好的安全性。 iThemes Security 为您提供出色的登录尝试自定义设置。

wordpress 安全限制登录尝试

6)实施两因素身份验证

正如我们已经看到的,黑客最终可以使用暴力攻击找到每个密码组合。 这意味着无论您的密码有多强,您的帐户仍然永远不会安全!

这就是 2FA 标志着其存在的地方。 2FA (双因素身份验证)是在使用密码保护您的帐户之后的额外安全层。

它通过结合两个因素来提供第二种验证用户身份的方法——您知道什么(例如您的密码)和您拥有什么(例如您的指纹或其他识别特征)。

WordPress 2fa

每当有人尝试登录您的帐户时,两因素身份验证都会通过 SMS 向您的设备发送一个唯一的 OTP(一次性密码)。 输入该代码后,您就可以访问该帐户。

这种方法是迄今为止最安全有效的方法,每个人都应该在自己的帐户上使用它以确保最大的安全性。

6)使用 Cloudflare 防御 DDoS 攻击

DDoS (分布式拒绝服务)是一种网络攻击,黑客使用称为“僵尸网络”的僵尸计算机网络来破坏正常流量并破坏您的网站。

DDoS 攻击的主要目的是使您的网站对真正的用户不可用,方法是向网站发出比您的 Web 服务器可以处理的更多的请求。

简而言之,这就像一场不受欢迎的交通拥堵,不允许真正的人通过。

那么,如何防止这种交通拥堵呢? 在这种情况下, Cloudflare是您的救星! 它可以保护您的网站免受所有恶意在线活动的影响,例如 DDoS 攻击、病毒、机器人程序和其他侵入性元素。

它还可以提高您的页面加载速度,有助于搜索引擎排名,并提供免费的 SSL 证书,以帮助确保您的第三方在线通信更加安全。

您可以通过这些简单的步骤获得免费的 SSL 证书并防御 DDoS 攻击:

wordpress 使用 cloudflare 保护
  1. 在 Cloudflare.com 上创建一个帐户
  2. 添加您的网站
  3. 根据您的选择选择免费/付费计划
  4. 在您的 DNS 记录中添加 Cloudflare 的名称服务器。

这会将您的网站链接到 Cloudflare,您可以享受其出色的安全功能。

7)避免使用空插件和主题

大多数 WordPress 用户甚至不知道他们正在使用 Nulled 主题/插件。

Nulled 主题和插件是免费分发的高级功能。 分销商可能会在其源代码中添加他自己的恶意代码并窃取您的数据。

Nulled 主题/插件的另一个缺点是缺乏更新。 开发人员经常发布更新以修复软件中的安全问题。

但是对于 Nulled 主题,发行商不是合法的开发商。 因此,没有可用的更新。 因此,它们极易受到第三方黑客的攻击。

最后,Nulled 主题没有支持或自定义选项。 您无法更改页面上的字体、字体颜色、小部件的位置或其他元素。

所以,永远不要使用 Nulled 主题。 您必须始终使用 GPL(GNU 通用公共许可证)主题。 GPL 许可证是一种免费且经过标识的许可证,它赋予其用户使用和更改其软件代码的自由。

因此,在购买或安装之前,请确保您的主题属于 GPL 许可证。

8)定期更新 WordPress、插件和主题

主题和插件开发人员不断地修复缺陷并升级他们的主题/插件。 因此,请务必每 15 天更新一次,否则您可能会面临被黑客入侵的风险。

此外,千万不要错过将您的 WordPress 网站更新到最新版本,以享受流畅的体验。

wordpress 更新插件

例如,如果有人找到了一种通过利用主题/插件的代码来破解人们数据的方法。 你也在使用这个主题/插件。

现在,如果您忘记更新,您将很容易受到这种恶意黑客攻击!

9)删除不活跃的插件和主题

假设您想在帖子中显示图片库。 你为它安装了一个插件,工作完成后,它就在你的插件文件夹中,多年未使用! 这不是发生在我们每个人身上吗?

wordpress 非活动插件

这种做法可能会使您的宝贵数据面临风险,因为黑客也试图通过不活跃的主题和插件来篡改您的数据。 因此,如果不再使用它们,请始终确保删除它们。

您的网站上现在有多少非活动插件? 在评论区告诉我!

10)关闭用户注册

你有什么样的网站? 它是否要求用户在您的网站上创建他们的帐户? 如果没有,那么最好禁用“用户注册”。

如果您将 WordPress 网站用于基本博客目的,请关闭此功能,因为黑客尝试也可能通过用户注册页面发生。

11)定期备份

这是不言而喻的——定期进行网站备份。 但要记住的重要一点是,它应该是异地备份。

wordpress 异地备份

异地备份在与主服务器不同的服务器上加密、压缩和保护我们的数据。 这有很多好处,例如:

  • 它节省了存储空间
  • 我们有数据备份以防整个系统崩溃
  • 防止网站停机
  • 保护我们的数据免受在线攻击

但是必须知道如何创建备份,以及如何恢复它。

最多人可以进行备份,但恢复它们是问题所在。 为确保您的网站安全,这些基本技能马上学会!

12)更改 WordPress 表前缀以避免 SQL 注入

WordPress 表格包含有关您网站的所有信息,包括您的登录信息。 因此,它是黑客最喜欢的目标。

如果您已经注意到,WordPress 数据库表的前缀默认为wp_ 。 因为像你我这样的普通用户不需要更改它,攻击者更容易针对这个默认前缀并在我们的网站上执行 SQL 注入。

wordpress 避免 sql 注入

SQL 注入是一种黑客技术,黑客利用主题/插件中的一些漏洞来获取用户的数据库表,从而获得与所有者(即您)相同级别的数据库权限。

听起来不可怕吗? iThemes Security 插件为我们提供了简单的选项来编辑表前缀并零努力地防止 SQL 注入!

wordpress 更改数据库表前缀

如何使用 WordPress 安全插件

要了解如何使用 WordPress 安全插件,您可以观看此视频。 我使用免费版本的 iThemes Security Pro 来设置所有 WordPress 安全措施。

结论

所以,这就是今天的全部内容。 我希望这篇文章将帮助您遵循这些提示并使用安全插件来保护您的 WordPress 网站的安全。

你们在网站上实施了哪些其他安全措施? 在下面的评论部分分享它们。

此外,如果您喜欢此内容,请务必订阅此博客。 这是克里佩什签字! 下一篇见。 伙计们,保重并继续学习!