• 主页
  • 文章
  • 指导
  • 每个网站所有者都应该知道的 6 条 WordPress 安全提示和最佳实践

每个网站所有者都应该知道的 6 条 WordPress 安全提示和最佳实践

已发表: 2023-03-01

WordPress 安全性是任何网站所有者最重要的主题之一。 无论您是管理一家精品电子商务商店还是 50 个客户站点,遇到安全漏洞都可能意味着时间、金钱和信誉的损失——所有这些都是没有人愿意面对的。

虽然没有适用于每个 WordPress 站点的“放之四海而皆准”的安全解决方案,但有一些可以产生重大影响的最佳实践。 在本文中,我们将首先解释网站遭到黑客攻击的原因,并分享易于在您的工作流程中实施的安全提示。 这是一个快速概述。

遵循这些 WordPress 安全最佳实践来确保您的网站安全:

目录
1.为什么 WordPress 网站会被黑?
2. 6 条 WordPress 安全最佳实践
2.1. 1. 保持主题、插件和 WordPress 版本为最新
2.2. 2. 应用用户名和密码最佳实践
2.3. 3.限制登录尝试
2.4. 4. 移动 WordPress 登录 URL
2.5. 5.使用双因素身份验证
2.6. 6. 将验证码添加到您的表单中

准备好提高您的 WordPress 网站安全性了吗? 让我们从头开始吧!

两个穿蓝色衬衫的男人在白色办公空间工作

为什么 WordPress 网站会被黑?

在我们直接进入 WordPress 安全最佳实践之前,首先了解网站被黑的原因可能会有所帮助。 一般来说,黑客倾向于针对网站的原因如下:

  • 通过您的网站发送垃圾邮件。
  • 窃取您的信息,例如数据、邮件列表、存储的信用卡等。
  • 诱骗您的网站在您用户的机器(或您自己的机器)上安装恶意软件。

虽然安全事件可能感觉像是人身攻击,但它通常是更大计划的一部分,例如分布式拒绝服务攻击。 黑客可能不会针对单个站点,而是针对您的站点运行的基础设施,同时影响多个站点。 这就是了解一些基本的 WordPress 安全标准很重要的原因,即使您只是在运行个人网站。

除了上述之外,WordPress 可能会成为专门的目标,仅仅是因为它的广泛流行。 因为它现在为超过 43% 的网站提供支持,所以 WordPress 是在线攻击者的一个巨大的“机会领域”。

但仅此一点不应该引起恐慌。 WordPress 是一个开源 CMS,拥有高度敬业和参与的贡献者社区,这意味着有大量人员不断致力于提高平台的安全性。

一个男人戴眼镜,在绿色房间里工作

事实上,任何网站都可能随时遇到安全问题,使用 WordPress 构建的网站也是如此。 幸运的是,您可以实施几种最佳实践来提高 WordPress 网站的安全性,并使黑客更难搞砸事情。

6 个 WordPress 安全最佳实践

1. 保持主题、插件和 WordPress 版本为最新

为您的站点提供额外安全性提升的最简单方法之一是保持所有内容更新。 虽然跟上插件更新可能会让人觉得乏味(尤其是当您试图管理多个 WordPress 网站时),但发布这些更新是有原因的(通常与安全相关)。

如果开发人员在他们的代码中发现漏洞,他们通常会推送更新来修复它。 您的网站使用过时版本的时间越长,就越有可能成为黑客的目标。

虽然这可能需要一些时间,但与所有插件、主题和 WordPress 核心更新保持同步是限制安全风险的好方法。 如果您使用的是托管 WordPress 主机,则 WordPress 更新应该会自动执行,以帮助您掌握核心的最新更新。

在保持插件更新方面,Smart Plugin Manager 等解决方案会在预先安排的时间自动检查插件是否有更新。 使用机器学习和视觉测试,Smart Plugin Manager 还可以确保您的网站在更新时不会中断。

2. 应用用户名和密码最佳实践

这个安全提示没有什么新鲜事,但绝对值得提醒一下:

使用唯一的密码。 使用强用户名。 使用密码管理器。

黑客不是昨天出生的; 他们知道所有最常见的密码,并将使用用户名“admin”测试每一个密码。 所以,做一个快速审计。

  • 您的用户名难猜吗?
  • 您的密码是否唯一?
  • 您的密码最近更新了吗?

如果您在尝试记住所有这些登录凭据时感到不知所措,我强烈建议您使用密码管理器,例如 1Password。 它不仅可以帮助您创建和存储复杂的凭据,还可以让登录网站变得轻而易举。 (尤其是当你与团队合作时!)

3.限制登录尝试

现在您的登录凭据已经得到加强,通过限制登录尝试来进一步提高您的登录安全性! 这是抵御试图访问您网站的暴力攻击的最佳方法之一。

要限制登录尝试,您可以使用类似 Limit Login Attempts 的插件,该插件将在出现三个错误后阻止任何尝试登录您的站点,并对其进行 20 分钟的阻止。

三名男子讨论 WordPress 网站上的安全问题

当然,如果您忘记了密码,这可能会妨碍您,但这就是密码管理器的用途,还记得吗?

4. 移动 WordPress 登录 URL

使您的 WordPress 网站更加安全的另一种方法是更改​​登录页面。 众所周知,要登录站点,只需将/wp-admin添加到 URL 的末尾即可。 通过更改链接,您可以有效地隐藏您网站的入口,让黑客更难找到。

您可以通过多种方式更改登录 URL,但 WPS 隐藏登录插件是一个不错的起点! 只是不要忘记将 URL 更改为什么,并记得与任何其他站点合作者或客户共享它。

5.使用双因素身份验证

使您的凭据更安全的另一种好方法是使用双因素身份验证。 这种安全方法充当临时的第二个密码,每 30 秒左右更新一次。 要访问您的网站,黑客必须在 30 秒的时间内猜出您的真实密码和临时安全代码,从而大大增加您阻止他们的机会!

双因素身份验证非常有用,因为您可以将它用于与您管理的站点相关的各种登录。 例如,WP Engine 允许您在您的托管帐户上启用双因素身份验证,您还可以将其添加到各个 WordPress 站点。

6. 将验证码添加到您的表单中

您可能已经了解到,锁定站点的登录页面非常重要。 然而,这不是您应该关注的唯一形式。 不要忘记博客评论、结帐页面或您网站上的任何其他开放表单!

这些表单中的每一个都为黑客提供了向您的站点提交信息的机会,例如评论中的恶意链接。 即使它不会直接影响您网站的性能,拥有可疑链接也会造成令人困惑的用户体验,甚至可能损害您的业务。

为防止此类活动,您可以安装 WordPress 插件,例如 BestWebSoft 的 Google Captcha (reCAPTCHA)。

WordPress 安全性是每个网站所有者都需要了解的一个重要主题,虽然它是一个不断发展的关注领域,但上述提示和最佳实践应该为确保您的 WordPress 网站安全可靠提供坚实的基准。