一个严肃的WordPress安全指南:做重要的事情
本文摘要:每周我都会接到用户有关他的网站被攻击的音讯。这是个不争的事实,安全牵涉到每一个网站用户,关于WordPress用户来说,似乎更容易遭到攻击一般。这主要是基于WordPress的庞大的用户原因。假如你能遵守一些安全方面的指南,可能事情其实不会那么糟糕。
自己搭建一个网站要多少钱

每周我都会接到用户有关他的网站被攻击的音讯。这是个不争的事实,安全牵涉到每一个网站用户,关于WordPress用户来说,似乎更容易遭到攻击一般。这主要是基于WordPress的庞大的用户原因。假如你能遵守一些安全方面的指南,可能事情其实不会那么糟糕。

自己搭建一个网站要多少钱

WordPress安全性也不只仅是一些开发人员的事情。虽然处理灵敏数据的使命要害型WordPress网站肯定变得杂乱,但关于大大都出版物而言, WordPress安全性更多的是重视一系列最佳实践,而不是像电视节目中的反黑客那样打字。

自己搭建一个网站要多少钱

在这篇文章中,我们将通过WordPress安全方案揭开这个话题的奥秘面纱,这将使所有类型的WordPress网站获益,从大型出版物一直到独立博客。

自己搭建一个网站要多少钱

WordPress安全吗?

自己搭建一个网站要多少钱

在我们通知您怎么保护您的WordPress网站之前,我们需要花一点时间通知您WordPress网站怎么在第一时间被黑客入侵,以便您知道自己面对的是什么。

自己搭建一个网站要多少钱

虽然很可贵出切当的数字,但可以肯定的是,每一年至少稀有十万个WordPress网站被黑客入侵。

自己搭建一个网站要多少钱

这个数字肯定听起来很可怕...... 直到你记得用WordPress建站超过整个互联网的31%。

自己搭建一个网站要多少钱

因为它们的受欢迎程度,每一年被黑客入侵的WordPress网站的原始数量总是很高,不幸的是,WordPress是黑客的一个多汁方针。

自己搭建一个网站要多少钱

WordPress安全吗?假如它是安全的(实践上是安全的),不计其数的WordPress网站怎么仍然被黑客入侵?

自己搭建一个网站要多少钱

答案需要一些纤细不同......

自己搭建一个网站要多少钱

看,核心WordPress软件人们怎么在现实日子中使用WordPress有所不同。

自己搭建一个网站要多少钱

假如您使用核心WordPress软件,将其置于安全主机上并坚持更新,我们简直可以保证它永远不会遇到任何问题。

自己搭建一个网站要多少钱

可是大大都网站都没有在那个田园诗般的场景中运转,并且在这里引入了安全缝隙:

自己搭建一个网站要多少钱

假如您没有更新所有内容,特别是在安全补丁方面当您使用可能不如核心WordPress软件安全的主题和插件时当您使用弱密码并且不保护您的登录区域时。

自己搭建一个网站要多少钱

这是关于WordPress网站怎么被黑客进犯的数据

自己搭建一个网站要多少钱

为了支撑上面的列表,这里是关于WordPress网站怎么被黑客入侵的实践数据。

自己搭建一个网站要多少钱

首要,Sucuri发布守时黑客网站陈述,证明过期的WordPress软件和被黑网站之间存在显着的相关性:

自己搭建一个网站要多少钱

Sucuri 2017年陈述中被盗黑的WordPress网站中有39.3%现已过期。Sucuri 2016年第二季度陈述中被黑客入侵的WordPress网站中有55%现已过期Sucuri 2016年第三季度陈述中被黑客入侵的WordPress网站中有61%已过期。

自己搭建一个网站要多少钱

更重要的是,Sucuri在2016年第三季度看到的被盗黑的WordPress网站中有18%因为过期版本的3个盛行插件而遭到入侵:

自己搭建一个网站要多少钱

马上,您应该留意到未更新的WordPress软件和被黑网站之间存在十分强的相关性。

自己搭建一个网站要多少钱

这是有道理的 - 假如你前往WPVulnDB,一个已知WordPress缝隙的目录,你会发现绝大大都缝隙运用以前版本的WordPress:

自己搭建一个网站要多少钱

然而,不只是过期的软件导致了黑客进犯。

自己搭建一个网站要多少钱

2016年,Wordfence调查了 1,032名被黑客进犯的WordPress网站,了解他们的网站是怎么被黑客进犯的。

自己搭建一个网站要多少钱

知道他们的网站被黑客入侵的人(只有约31.5%的受访者),黑客怎么进入:

自己搭建一个网站要多少钱

插件和主题缝隙占攻击的约60%不强的登录凭据占攻击的约20%

自己搭建一个网站要多少钱

上图是导致安全问题的列表。

自己搭建一个网站要多少钱

因为以下原因,大大都WordPress网站遭到黑客进犯:

自己搭建一个网站要多少钱

过期的软件第三方扩展中的缝隙账户安全性差。

自己搭建一个网站要多少钱

因此,假如您想坚持WordPress网站的安全,那么您最重视的重点应该是防止这三个问题。

自己搭建一个网站要多少钱

你可以做五件最重要的事情来保护你的WordPress网站

自己搭建一个网站要多少钱

在日子的大部分时间里,帕累托原则是大大都人挨近WordPress安全性的好方法。也称为80/20规则,根本思维是80%的成果来自20%的努力。

自己搭建一个网站要多少钱

关于WordPress安全性而言,这意味着您可以施行一些根本原则来解决您网站上的大大都安全问题。

自己搭建一个网站要多少钱

假如你从这篇文章中没有其他,你应该肯定完成这些技巧。

自己搭建一个网站要多少钱

稍后,我们将共享一些额定的小安全提示,可以解决WordPress网站被黑客入侵的一些稀有方式。这些提示仍然有利,但它们的影响其实不大。

自己搭建一个网站要多少钱

留意 - 为了完成这些技巧,我们将依据需要提供独立的插件处理计划。可是Wordfence插件也能够为您完成许多这些技巧。

自己搭建一个网站要多少钱

1.坚持WordPress更新(一直)

自己搭建一个网站要多少钱

假如您期望它坚持安全,您需要更新WordPress网站(记住备份数据!)。这包括核心软件,以及您的主题和插件。

自己搭建一个网站要多少钱

举例说明为什么提示WordPress更新很重要

自己搭建一个网站要多少钱

2017年2月,因为WordPress核心中的REST API缝隙,数十万个WordPress网站遭到破坏。

自己搭建一个网站要多少钱

可是在缝隙被使用前一周,WordPress核心团队发布了WordPress 4.7.2来解决这个问题。所有即时更新到WordPress 4.7.2的网站都是100%安全的。

自己搭建一个网站要多少钱

这里有一些重要的事情要知道:

自己搭建一个网站要多少钱

类似的问题将继续发生,因为WordPress安全团队有一个职责发表政策。根本上,这意味着核心团队在修补后公开发布已知缝隙。

自己搭建一个网站要多少钱

因此,使用上面的REST API缝隙示例,它是这样的:

自己搭建一个网站要多少钱

WordPress安全团队认识到了这个缝隙。虽然缝隙仍然是私密的,但安全团队悄然修补了它,并在WordPress 4.7.2中发布了修复程序通过一个星期的延迟,以给人们一次更新,安全团队公开发表的缝隙依据其负职责的发表政策。一旦知道,歹意攻击者开始使用该缝隙,这会影响还没有更新的WordPress站点。

自己搭建一个网站要多少钱

根本上 - 这个东西不只仅是理论。每次发现新缝隙时,您都会看到相同的场景自行播放。假如您想确保您的网站不会成为受害者,您需要做的就是更新它。

自己搭建一个网站要多少钱

确保安全版本启用主动更新

自己搭建一个网站要多少钱

默许状况下,所有WordPress站点都会为非必须安全版本启用主动更新。

自己搭建一个网站要多少钱

只需您或您的主机没有关闭此功用,您的WordPress核心应一直是安全的。

自己搭建一个网站要多少钱

假如您不确定是否启用了主动安全更新,则能够使用免费的Easy Updates Manager插件来查看:

自己搭建一个网站要多少钱

或者,假如您更喜欢手动履行操作,可以将以下行添加到wp-config.php

自己搭建一个网站要多少钱

define( 'WP_AUTO_UPDATE_CORE', minor );

自己搭建一个网站要多少钱

这将确保您的站点主动运用安全更新。但它不会主动应用非安全主要更新(例如WordPress 5.0)。也就是说版本可以主动更新,大版本不会。

自己搭建一个网站要多少钱

设置插件/主题更新的电子邮件告诉

自己搭建一个网站要多少钱

上面的Easy Updates Manager插件还允许您为主题和插件启用主动更新。

自己搭建一个网站要多少钱

虽然这是确保您一直运转最新版本的一种方法,但关于大大都网站而言,这其实不是一个好选择,因为新插件或主题更新总是会导致您网站上呈现兼容性问题。并且通过主动更新,您可能无法解决问题。

自己搭建一个网站要多少钱

话虽如此,您仍然期望确保您可以及时更新所有扩展,因此有一个杰出的中心态度:

自己搭建一个网站要多少钱

假如您无法守时登录WordPress外表板,请使用免费的WP更新告诉程序插件,以便在新的插件或主题更新可用时接收电子邮件告诉:

自己搭建一个网站要多少钱

这样,您就会知道需要手动跳转到您的网站并监督更新。

自己搭建一个网站要多少钱

2.选择安全的WordPress主机

自己搭建一个网站要多少钱

因为您的主机是您网站的基础,所以它在保证您的WordPress网站安全方面发挥着重要作用。

自己搭建一个网站要多少钱

有一些东西可以判断是否是一个安全的主机。

自己搭建一个网站要多少钱

首要,它应该让您拜访最新的安全技能来拜访和支撑您的网站,包括:

自己搭建一个网站要多少钱

SFTP - 与常规FTP不同,它会加密您的FTP登录凭据以确保其安全。PHP 7.X - 旧版本的PHP 5.x已达到使用寿命,不再接收安全更新。您的主机有必要提供最新版本。SSL证书 - 抱负状况下,来自Let's Encrypt(或其他免费提供商)的免费SSL / TLS证书。

自己搭建一个网站要多少钱

除此之外,安全主机将采纳积极措施,在安全问题发生之前将其停止。这些保护措施应包括Web运用程序防火墙以及WordPress特定的效劳器装备以提高安全性。

自己搭建一个网站要多少钱

例如,有的主机提供以下的安全装备:

自己搭建一个网站要多少钱

阻止任意PHP履行使用HTTPS和Perfect Forward Secrecy的wp-admin安全性您的公共站点和wp-admin区域之间的别离适当的文件权限受限制的数据库拜访。

自己搭建一个网站要多少钱

3.遵循插件和主题的最佳实践

自己搭建一个网站要多少钱

除了更新主题和插件外,您还需要确保遵循其他扩展的杰出做法

自己搭建一个网站要多少钱

请记住,在Wordfence调查中,约有60%的人因为主题或插件而被黑客进犯,因此这是一个主要的攻击前语。

自己搭建一个网站要多少钱

除了更新所有内容外,还有以下一些其他最佳做法:

自己搭建一个网站要多少钱

请留意您使用的扩展程序

自己搭建一个网站要多少钱

虽然好的扩展可能会发生欠好的事情,但您可以通过首要装置高质量的插件和主题来为您的网站提供最佳时机。

自己搭建一个网站要多少钱

以下是一些要遵循的好规则:

自己搭建一个网站要多少钱

使用诺言杰出的开发商/商场 - 坚持使用 WordPress.org或Envato等商场,或者信赖第三方开发者网站。查看谈论 - 不要只看星级评分 - 尽量阅读谈论。它能够让您很好地了解扩展的维护状况。查找前次更新日期 - 虽然多年未更新的插件本身其实不坏,但您通常只想使用仍然接收守时更新的插件。不要使用破解插件 - 无效的插件通常充满了歹意软件和后门程序。不要冒险 - 假如预算紧张,只需找一个免费的代替品。

自己搭建一个网站要多少钱

删除未使用的主题和插件

自己搭建一个网站要多少钱

即便您停用主题或插件,其文件仍然位于您的效劳器上,这意味着歹意攻击者仍然可以使用它们拜访您的网站。

自己搭建一个网站要多少钱

假如您不再使用插件或主题,并且不计划在不久的将来从头激活它,请将其删除。

自己搭建一个网站要多少钱

遵循这些原则,您可以最大限度地减少因插件或主题而导致任何缝隙的可能性。

自己搭建一个网站要多少钱

4.使用强密码和技能锁定登录

自己搭建一个网站要多少钱

假如歹意行为者可以拜访您的用户名和密码,那么WordPress网站的其他部分的安全性其实不重要,因为他们现已具有了您的前门密钥。

自己搭建一个网站要多少钱

这不只仅是您的WordPress管理员帐户可能也容易遭到攻击 - 它也是您的保管账户和FTP帐户。

自己搭建一个网站要多少钱

以下是您怎么确保所有凭据安全,以便黑客无法直接进入。

自己搭建一个网站要多少钱

使用强密码(并让其别人使用它们)

自己搭建一个网站要多少钱

虽然最近发生了所有高度公开的安全缝隙,但两个最多见的密码仍然是:

自己搭建一个网站要多少钱

123456Password

自己搭建一个网站要多少钱

不要让它成为您的管理员帐户。

自己搭建一个网站要多少钱

为了协助您选择一个强密码,WordPress将主动为您生成一个安全密码:

自己搭建一个网站要多少钱

自己搭建一个网站要多少钱

然后,您可以将该暗码安全地存储在LastPass或KeePass等效劳中。

自己搭建一个网站要多少钱

此外,虽然WordPress 默许状况下不再创建“管理员”用户名,但您仍应防止选择“admin”或“administrator”作为用户名。

自己搭建一个网站要多少钱

除了您自己的帐户,假如您允许在您的网站上注册,您也期望确保其别人也具有安全密码。

自己搭建一个网站要多少钱

要强制解决问题,您能够使用免费的Force Strong Passwords插件(Wordfence安全插件也包括此功用)。

自己搭建一个网站要多少钱

限制登录尝试

自己搭建一个网站要多少钱

假如您使用强密码,则或人猜想您的密码将十分困难。可是,仍然可以想象有人继续猜想和猜想......猜想直到他们做对了。这被称为蛮力攻击。

自己搭建一个网站要多少钱

为了完全消除或人暴力破解密码的可能性,您可以限制一个人可以进行的登录尝试次数(您通常会在银行和其他安全网站上看到这种方法)。

自己搭建一个网站要多少钱

要进行此设置,您能够使用免费的Limit Login Attempts Reloaded插件(Wordfence插件还包括此功用):

自己搭建一个网站要多少钱

自己搭建一个网站要多少钱

使用HTTPS进行安全登录

自己搭建一个网站要多少钱

假如您在WordPress网站上使用HTTP,假如您从公共Internet网络登录(例如在咖啡馆或机场的WordPress网站上工作),歹意攻击者可以嗅出您的密码。

自己搭建一个网站要多少钱

为了防止这种状况,通常只创建一个更安全的网站,您应该装置SSL证书并使用HTTPS。这可确保默许状况下您的所有站点数据都已加密。

自己搭建一个网站要多少钱

大大都优质主机现在都提供免费的SSL证书,所以这不该该花费你一分钱。

自己搭建一个网站要多少钱

考虑双因素身份验证

自己搭建一个网站要多少钱

假如您现已完成了其他提示,则不需要这个提示,但假如您确实期望将登录设置为锁定,则可以添加双因素身份验证。

自己搭建一个网站要多少钱

使用双因素身份验证,用户需要输入密码以及一次性密码(通常通过文本或智能手机运用程序发送)。

自己搭建一个网站要多少钱

根本上,除非歹意攻击者可以拜访您的密码和智能手机,不然他们将无法进入。

自己搭建一个网站要多少钱

向WordPress添加双因素身份验证的两个不错的选择是Duo或Google身份验证器(Wordfence也有此功用)。

自己搭建一个网站要多少钱

隐藏您的登录页面

自己搭建一个网站要多少钱

假如您施行了上述提示,则黑客不太可能未经授权拜访您的网站。也就是说,出于安全原因,您无需专门隐藏登录页面。

自己搭建一个网站要多少钱

可是即便它没有为了安全性而移动针头,它仍然可以减少你的wp-login.php的很多机器人流量,因此仅仅因为这个原因它仍然值得做。

自己搭建一个网站要多少钱

隐藏登录页面的最简略方法是通过免费的WPS Hide Login插件(或Wordfence):

自己搭建一个网站要多少钱

自己搭建一个网站要多少钱

5.一直坚持最近的备份

自己搭建一个网站要多少钱

好的,守时备份您的网站其实不能直接保护它。但这确实意味着无论发生什么事情,假如有任何事情可以通过您的防御,您将一直具有一个洁净的网站版本来康复。

自己搭建一个网站要多少钱

UpdraftPlus是一个很好的免费插件,你可以设置为在设定的时间表上运转主动备份。

自己搭建一个网站要多少钱

五个其他较小的WordPress安全提示

自己搭建一个网站要多少钱

仅施行上述提示应该可以确保您的网站安全。但假如你想像诺克斯堡一样安全,下面五个提示可以进一步加强你的安全性。

自己搭建一个网站要多少钱

假如您使用安全的WordPress主机,您的主机可能现已具有许多这些装备。相同,像Wordfence这样的安全插件也能够为您处理其间的许多内容。

自己搭建一个网站要多少钱

假如没有,您需要通过SFTP修改站点的文件。通常,您可以通过修改站点的.htaccess和wp-config.php文件来完成大部分调整。

自己搭建一个网站要多少钱

6.不要通过WordPress外表板允许文件修改

自己搭建一个网站要多少钱

默许状况下,WordPress允许管理员直接从WordPress外表板修改主题和插件文件。这意味着假如有人确实把握了管理员帐户(现在应该十分困难!),他们将可以轻松地履行自己的代码,而无需任何直接的效劳器拜访。

自己搭建一个网站要多少钱

要阻止此类文件修改,您可以将以下代码段添加到站点的wp-config.php文件中:

自己搭建一个网站要多少钱

define('DISALLOW_FILE_EDIT', true);

自己搭建一个网站要多少钱

7.遵循最小权限原则限制用户拜访

自己搭建一个网站要多少钱

最小权限原则是一种常见的安全协议,根本上说:只为用户提供履行使命所需的最低功率。

自己搭建一个网站要多少钱

在WordPress上,这意味着了解用户人物,并且只为您站点上的其他用户提供实行职责所需的最低用户人物:

自己搭建一个网站要多少钱

自己搭建一个网站要多少钱

除非您100%信赖用户,不然不该向其他任何人颁发管理员用户人物。假如你允许第三方作者,你应该给他们修改或作者人物,详细取决于他们需要多少能量。

自己搭建一个网站要多少钱

要了解每一个默许用户人物可以拜访的内容,请参阅WordPress Codex中的“功用与人物”表。

自己搭建一个网站要多少钱

8.阻止文件履行在wp-content / uploads文件夹中

自己搭建一个网站要多少钱

黑客的常见策略是将PHP文件上传到您的wp-content / uploads文件夹,然后履行它们以拜访您的站点。

自己搭建一个网站要多少钱

要阻止这种状况发生,您可以将以下代码段添加到uploads文件夹中的.htaccess文件中:

自己搭建一个网站要多少钱

自己搭建一个网站要多少钱

deny from all

自己搭建一个网站要多少钱

自己搭建一个网站要多少钱

9.限制对wp-config.php的拜访

自己搭建一个网站要多少钱

有人说你应该把你的wp-config.php文件移到另外一个目录。两边都有争论这是否真的能提高安全性。

自己搭建一个网站要多少钱

可是,依据WordPress Codex,限制拜访wp-config.php的最佳方法是将以下代码段添加到.htaccess文件中:

自己搭建一个网站要多少钱

自己搭建一个网站要多少钱

order allow,denydeny from all

自己搭建一个网站要多少钱

自己搭建一个网站要多少钱

10.确保您使用正确的文件权限

自己搭建一个网站要多少钱

你应该阅读WordPress的抱负文件权限,并确保你遵循它们。

自己搭建一个网站要多少钱

作为一般规则:

自己搭建一个网站要多少钱

大大都文件应该是644或640,wp-config.php除外,它应该是440或400。目录应为755或750(从不777)。

自己搭建一个网站要多少钱

以上10大提示应该可以保证您的WordPress网站安全性十分高。假如还有什么好的建议,请你在谈论中补充。