• 主頁
  • 文章
  • 指導
  • 2021 年 12 條 WordPress 安全提示 – 阻止黑客入侵您的網站

2021 年 12 條 WordPress 安全提示 – 阻止黑客入侵您的網站

已發表: 2022-08-27

今天,互聯網上 40% 的網站都使用 WordPress。 如果我沒記錯的話,你也是其中之一!

WordPress 在過去幾年中獲得了很大的普及。 然而,大受歡迎也邀請了熟練的黑客!

每天,超過 10,000 個網站因包含惡意軟件​​代碼而被 Google 列入黑名單。 這使得網站安全成為最重要的問題。

在今天的文章中,我將討論12 種有效的 WordPress 安全措施和安全提示,它們將幫助您保護您的網站免受在線漏洞和黑客攻擊!

所以,事不宜遲,讓我們開始吧!

你的網站被黑了
目錄
[隱藏]
  • WordPress 安全提示和使用 WordPress 安全插件
    • 1)使用良好的託管服務
    • 2) 使用良好的安全插件
    • 3) 設置不同的登錄頁面
    • 4) 使用強用戶名和密碼
    • 5) 設置登錄嘗試次數限制
    • 6) 實施兩因素身份驗證
    • 6) 使用 Cloudflare 防禦 DDoS 攻擊
    • 7) 避免使用空插件和主題
    • 8) 定期更新 WordPress、插件和主題
    • 9) 刪除不活躍的插件和主題
    • 10) 關閉用戶註冊
    • 11) 定期備份
    • 12) 更改 WordPress 表前綴以避免 SQL 注入
  • 如何使用 WordPress 安全插件
  • 結論

WordPress 安全提示和使用 WordPress 安全插件

1)使用良好的託管服務

良好的託管服務是建立成功網站的關鍵因素。 您知道在託管服務器上進行的最大黑客攻擊次數嗎?

糟糕的託管 - 網絡犯罪

安全服務差的託管公司已成為網絡犯罪的溫床。

Bluehost 因安全漏洞而臭名昭著! 由於代碼中存在明顯的錯誤和漏洞,他們的服務器已多次被黑客入侵。

您的網站是否託管在 Bluehost 上? 您是否遇到過極慢的頁面加載速度或頻繁的網站故障? 然後是時候切換到其他主機了。

糟糕的託管可能會損害您的所有網站數據。 為了自救,您在選擇託管服務時必須始終密切關注。

2)使用良好的安全插件

插件可以對您網站的安全性和性能產生重大影響。 但是,如果您的託管不令人滿意,您的網站總是有被黑客入侵的風險。 所以,一個好的主機是必須的。

我會為 WordPress 推薦兩個高效的安全插件:

  1. Wordfence 安全
  2. iThemes 安全
iThemes 安裝 ss

這兩個插件都很強大,但是 Wordfence Security 在某些網站上的加載速度很慢,所以我更喜歡 iThemes Security 為我的網站。

3) 設置不同的登錄頁面

您一定注意到了,您可以通過 URL:yourwebsite.com/wp-admin 訪問 WordPress 網站的登錄頁面 但是有一個問題!

如果您從黑客的角度來看,這些信息就是大獎。 我可以通過在 URL 末尾添加wp-admin來訪問任何 WordPress 站點的登錄頁面!

登錄頁面上總是進行最大的黑客攻擊嘗試。

我們必須避免任何被黑客入侵的機會。 使用 iThemes Security,您可以將登錄頁面從 wp-admin 更改為其他內容,例如yourwebsite.com/this_is_my_site 或從字面上看任何不常見的東西。

但也要將其安全地保存在 3-4 個不同的位置。 如果您丟失了此 URL,則沒有其他方法可以進入您的網站。

以下是使用 iThemes Security 更改登錄頁面的方法:

wordpress 登錄頁面 url 更改

4)使用強用戶名和密碼

WordPress 為其網站提供默認用戶名'admin' 。 而且大多數用戶從不費心去改變它,因為它很容易記住。

但是像“admin”這樣的通用用戶名讓黑客很容易找到你的密碼,因為他們已經有了你的用戶名。

他們可以使用蠻力攻擊等技術來猜測您的密碼,然後竊取您的寶貴數據。 (想知道什麼是蠻力攻擊?繼續閱讀以找出答案。)

因此,作為 WordPress 用戶,比黑客領先一步,開始在您的網站上實施強密碼。

使用 iThemes Security 插件,您可以立即配置這些設置。

wordpress 強制執行強密碼

5)設置登錄嘗試次數限制

所以,我們談論的是蠻力攻擊。 這是一種網絡攻擊,黑客不斷嘗試不同的密碼組合來登錄您的帳戶,直到找到正確的密碼/目標密碼。

弱密碼只需幾秒鐘即可破解。 強者可能需要很長時間。 由於密碼猜測過程佔用了相當多的時間,這種攻擊也被稱為窮舉搜索。

這是破解某人密碼的一種非常可靠的方法,因為最終,在嘗試了所有組合之後,他們一定會找到目標密碼,無論它有多強!

據統計,在 2017 年,大約 5% 的安全漏洞是因為暴力攻擊而發生的! 所以你可以想像執行這個攻擊是多麼的簡單!

但是,您可以通過設置登錄嘗試次數限制來控制這些活動。

例如,如果用戶嘗試登錄您的帳戶超過 3 次,他/她將被鎖定 24 小時。 這將確保更好的安全性。 iThemes Security 為您提供出色的登錄嘗試自定義設置。

wordpress 安全限制登錄嘗試

6)實施兩因素身份驗證

正如我們已經看到的,黑客最終可以使用暴力攻擊找到每個密碼組合。 這意味著無論您的密碼有多強,您的帳戶仍然永遠不會安全!

這就是 2FA 標誌著其存在的地方。 2FA (雙因素身份驗證)是在使用密碼保護您的帳戶之後的額外安全層。

它通過結合兩個因素來提供第二種驗證用戶身份的方法——您知道什麼(例如您的密碼)和您擁有什麼(例如您的指紋或其他識別特徵)。

WordPress 2fa

每當有人嘗試登錄您的帳戶時,兩因素身份驗證都會通過 SMS 向您的設備發送一個​​唯一的 OTP(一次性密碼)。 輸入該代碼後,您就可以訪問該帳戶。

這種方法是迄今為止最安全有效的方法,每個人都應該在自己的帳戶上使用它以確保最大的安全性。

6)使用 Cloudflare 防禦 DDoS 攻擊

DDoS (分佈式拒絕服務)是一種網絡攻擊,黑客使用稱為“殭屍網絡”的殭屍計算機網絡來破壞正常流量並破壞您的網站。

DDoS 攻擊的主要目的是使您的網站對真正的用戶不可用,方法是向網站發出比您的 Web 服務器可以處理的更多的請求。

簡而言之,這就像一場不受歡迎的交通擁堵,不允許真正的人通過。

那麼,如何防止這種交通擁堵呢? 在這種情況下, Cloudflare是您的救星! 它可以保護您的網站免受所有惡意在線活動的影響,例如 DDoS 攻擊、病毒、機器人程序和其他侵入性元素。

它還可以提高您的頁面加載速度,有助於搜索引擎排名,並提供免費的 SSL 證書,以幫助確保您的第三方在線通信更加安全。

您可以通過這些簡單的步驟獲得免費的 SSL 證書並防禦 DDoS 攻擊:

wordpress 使用 cloudflare 保護
  1. 在 Cloudflare.com 上創建一個帳戶
  2. 添加您的網站
  3. 根據您的選擇選擇免費/付費計劃
  4. 在您的 DNS 記錄中添加 Cloudflare 的名稱服務器。

這會將您的網站鏈接到 Cloudflare,您可以享受其出色的安全功能。

7)避免使用空插件和主題

大多數 WordPress 用戶甚至不知道他們正在使用 Nulled 主題/插件。

Nulled 主題和插件是免費分發的高級功能。 分銷商可能會在其源代碼中添加他自己的惡意代碼並竊取您的數據。

Nulled 主題/插件的另一個缺點是缺乏更新。 開發人員經常發布更新以修復軟件中的安全問題。

但是對於 Nulled 主題,發行商不是合法的開發商。 因此,沒有可用的更新。 因此,它們極易受到第三方黑客的攻擊。

最後,Nulled 主題沒有支持或自定義選項。 您無法更改頁面上的字體、字體顏色、小部件的位置或其他元素。

所以,永遠不要使用 Nulled 主題。 您必須始終使用 GPL(GNU 通用公共許可證)主題。 GPL 許可證是一種免費且經過標識的許可證,它賦予其用戶使用和更改其軟件代碼的自由。

因此,在購買或安裝之前,請確保您的主題屬於 GPL 許可證。

8)定期更新 WordPress、插件和主題

主題和插件開發人員不斷地修復缺陷併升級他們的主題/插件。 因此,請務必每 15 天更新一次,否則您可能會面臨被黑客入侵的風險。

此外,千萬不要錯過將您的 WordPress 網站更新到最新版本,以享受流暢的體驗。

wordpress 更新插件

例如,如果有人找到了一種通過利用主題/插件的代碼來破解人們數據的方法。 你也在使用這個主題/插件。

現在,如果您忘記更新,您將很容易受到這種惡意黑客攻擊!

9)刪除不活躍的插件和主題

假設您想在帖子中顯示圖片庫。 你為它安裝了一個插件,工作完成後,它就在你的插件文件夾中,多年未使用! 這不是發生在我們每個人身上嗎?

wordpress 非活動插件

這種做法可能會使您的寶貴數據面臨風險,因為黑客也試圖通過不活躍的主題和插件來篡改您的數據。 因此,如果不再使用它們,請始終確保刪除它們。

您的網站上現在有多少非活動插件? 在評論區告訴我!

10)關閉用戶註冊

你有什麼樣的網站? 它是否要求用戶在您的網站上創建他們的帳戶? 如果沒有,那麼最好禁用“用戶註冊”。

如果您將 WordPress 網站用於基本博客目的,請關閉此功能,因為黑客嘗試也可能通過用戶註冊頁面發生。

11)定期備份

這是不言而喻的——定期進行網站備份。 但要記住的重要一點是,它應該是異地備份。

wordpress 異地備份

異地備份在與主服務器不同的服務器上加密、壓縮和保護我們的數據。 這有很多好處,例如:

  • 它節省了存儲空間
  • 我們有數據備份以防整個系統崩潰
  • 防止網站停機
  • 保護我們的數據免受在線攻擊

但是必須知道如何創建備份,以及如何恢復它。

最多人可以進行備份,但恢復它們是問題所在。 為確保您的網站安全,這些基本技能馬上學會!

12)更改 WordPress 表前綴以避免 SQL 注入

WordPress 表格包含有關您網站的所有信息,包括您的登錄信息。 因此,它是黑客最喜歡的目標。

如果您已經註意到,WordPress 數據庫表的前綴默認為wp_ 。 因為像你我這樣的普通用戶不需要更改它,攻擊者更容易針對這個默認前綴並在我們的網站上執行 SQL 注入。

wordpress 避免 sql 注入

SQL 注入是一種黑客技術,黑客利用主題/插件中的一些漏洞來獲取用戶的數據庫表,從而獲得與所有者(即您)相同級別的數據庫權限。

聽起來不可怕嗎? iThemes Security 插件為我們提供了簡單的選項來編輯表前綴並零努力地防止 SQL 注入!

wordpress 更改數據庫表前綴

如何使用 WordPress 安全插件

要了解如何使用 WordPress 安全插件,您可以觀看此視頻。 我使用免費版本的 iThemes Security Pro 來設置所有 WordPress 安全措施。

結論

所以,這就是今天的全部內容。 我希望這篇文章將幫助您遵循這些提示並使用安全插件來保護您的 WordPress 網站的安全。

你們在網站上實施了哪些其他安全措施? 在下面的評論部分分享它們。

此外,如果您喜歡此內容,請務必訂閱此博客。 這是克里佩什簽字! 下一篇見。 伙計們,保重並繼續學習!