如何保护 WordPress 网站免受黑客攻击?

已发表: 2016-04-05

每个程序员生活中的不幸现实是,对于 WordPress 网站或博客的安全威胁和黑客,没有绝对的防御措施。

一个聪明而果断的黑客总能找到绕过安全预防措施的方法,并且会找到进入系统的方法,这让程序员非常沮丧。 但程序员的职责是让黑客非常困难。

通常,当黑客的难度非常高时,黑客会离开并入侵保护较少的网站。 为了减少黑客攻击的威胁,网站开发人员和程序员可以采用一些简单的保护安全措施。

保护 WordPress 免受黑客攻击

保护 WordPress 网站免遭黑客攻击的提示:

当谷歌搜索 WordPress 黑客预防时,会发现 500 万条结果,因为在互联网上的几个网站上发现了无数关于黑客预防的意见。

但具有讽刺意味的是,即使这些网站的软件也大多没有更新,因为网站所有者可能会忙于其他网站或内容。

这种懒散的态度是对网站安全的巨大威胁,黑客可能会借此机会入侵网站。

1. 从不应用默认值:

存在各种注册和使用 WordPress 的方法。 因此,在选择托管计划、域名和安装软件后,请注意不要使用默认值。 使用默认值将使黑客更容易,因为他将获得有关该网站的更多信息,这极大地帮助了黑客实现其目标。

切勿使用托管帐户和网站内容管理系统的默认用户名或密码,一旦安装 WordPress,密码和用户名就会被更改。

另外,更改信息; 提供给托管公司或在注册期间,因为人们永远无法确定所有人; 可以访问托管公司服务器中的数据。

2.始终删除未使用的插件和未使用的图像:

很少有人认为应该始终删除不必要的图像,因为它们只会滥用服务器上的空间,但大多数人认为保留不需要的图像会造成安全威胁。 尽管这种说法看起来很荒谬,但这是事实,因为黑客经常针对插件,所以未使用的插件和图像会增加安全威胁的概念是真实的; 人们由于受欢迎而集体购买,而没有考虑它们的用处。

许多程序员在他们的系统中存储了许多不必要的插件,黑客通过这些插件进入并通过这个漏洞从网站收集数据。 由于插件从未使用过,而且最近的安全升级由于很少或没有使用而没有进行,因此存在很高的违规机会。

插件 TimThumb 的实例; 它有一个错误或漏洞,黑客利用它来访问许多 WordPress 网站以收集信息并干扰网站,因此建议删除不必要的插件和图像,以更好地保护网站免受黑客威胁,并帮助网站出现故障自由的。

3. 密码长且复杂,定期更换:

选择至少包含八个或更多字符的密码,可以任意组合数字、字母和特殊字符。 建议不要使用单词或姓名、出生日期等,因为这些都是可以猜到的。

切勿在任何电子网站上记下您的密码,除了 WordPress 网站的加密密码框,如果您害怕忘记密码,请将其记在记事本中并保留。

每七十天左右定期进行一次; 更改密码以使黑客的任务更加困难。 即使他在网站上运行了一个蛮力程序,他也必须从一开始就开始黑客攻击,因为更改的密码将阻止他破坏网站。

4. 关于托管公司的一些安全选项:

很多时候,托管网站的托管公司有许多保护选项,如果认为没问题,可以使用这些选项。 如托管公司 HostGator 的实例所示; 当单击“安全并加速您的站点”附加组件时,一些基本安全选项可用于基本保护。 但是要谨慎过分依赖这些托管公司,他们经常提供折扣代码和优惠券,这些代码很便宜,因此有不止一个类似的代码,这使得它们很容易受到黑客的攻击。

5.更喜欢使用WordPress插件:

有各种软件为 WordPress 内容管理系统提供插件,但质量各不相同,因为有些是可信的,有些是不可用的。 所以最好只使用WordPress插件或在做适当的研究后购买其他插件,不要注意广告。 持怀疑态度,始终寻求明智但不赞成的证词,因为这往往是现实。

搜索有更多正面意见的插件是信誉良好的安全软件,并且使用了六个月以上; 最低限度。 切勿在没有适当检查和可靠应用市场的情况下下载和安装插件。

6.不要对获批的自由职业者粗心:

当网站所有者与自由职业者共享原始密码时,在大多数情况下一切都很好,直到 WordPress 网站的编辑完成工作,问题只有在自由职业者获得报酬后才会出现。 然后网站被黑客入侵并开始出现麻烦,但如果网站所有者经过深思熟虑做出决定,所有这些都是可以避免的。

一旦工作完成,他应该取消自由职业者的使用许可,并且应该给自由职业者一些任意密码,而不是网站所有者使用的原始密码。

应向自由职业者提供受控使用,以便他在完成工作后无法控制网站。 尽量不要犯这些愚蠢的错误并损害 WordPress 网站的安全性,所有者应该始终对网站的运作拥有唯一和最高的控制权。

7. 始终使用高度安全的主机:

从最优先考虑安全性的主机购买网站。 有许多免费的主机包无法负担有效的安全措施,但即使是昂贵的主机包有时也有很差的安全措施。

通过适当的研究和检查,决定取决于网站所有者选择适当和合适的托管包。

由于黑客经常通过托管站点的漏洞进入并收集有关WordPress网站的信息并为网站制造麻烦。

8. 为网站创建备份:

始终为网站进行适当的备份,因为当网站被黑客入侵时,它可能会崩溃并且所有数据都会暂时丢失。 如果有人热衷于破解网站; 即使是不可能的事情也可以实现,因为一个 15 岁的男孩黑了 NASA,还有一个 16 岁的伦敦人 Richard Pryce 黑了美国的安全系统,从那时起,他们一直被认为是潜在的国家威胁。 因此,对于网站所有者而言,黑客的危险始终是迫在眉睫的危险,应在经过深思熟虑后选择插件,并应始终存在备份。

即使黑客入侵了网站并删除了所有信息,它也不会对网站造成太大影响,通过备份,您可以通过更改密码和插件并在一天内重新上传数据来安全地重启网站。 只需要网站的最后两个备份版本,备份也不会占用服务器的大量空间。

9、定期升级软件:

所有电子和技术事物都是如此,因此 WordPress 网站应与安全插件一起定期更新。 切勿使用旧版本的 WordPress,因为旧版本已经存在很长时间,因此容易受到黑客攻击,因此更容易被入侵。

为了使安全性更强,从演示中删除 WordPress 版本。 WordPress 总是在每次升级时创建更好的版本,因此更新版本的安全性更强。

始终关注 WordPress 提要以了解最新的 WordPress 版本,或者只需登录网站管理员即可。 强烈建议 WordPress 网站所有者关注 WordPress Development 和 BlogSecurity.net,以了解最新的升级和发展。

10. 在 wp-config.php 中使用 WordPress Keys:

WordPress 密钥是一项重要的安全措施,密钥充当 WordPress cookie 的盐,从而保证改进客户端信息的加密。 使用 WordPress 密钥生成器生成密钥。

11.绝对安装WP安全扫描:

WP Security Scan 插件是一个强大、简单和计算机化的安全检查。 该插件将检查 WordPress 网站是否存在黑客攻击和安全漏洞,一旦发现任何恶意代码或程序,所有者就会被告知违规行为。

12. 尝试更改表前缀:

默认情况下,WordPress 的表前缀是 [wp.___]; 每个人都知道这一点,因此黑客的 SQL 注入攻击可以毫不费力地完成,因为前缀很容易假设。 因此强烈建议更改表前缀,通过手动方式或 WP Security Scan 插件方式完成。 对于新的网站开发人员来说,手动方式很难遵循,而 WP Security Scan 插件方式使更改表前缀变得更加容易。

13. 通过阻止搜索引擎指向管理部分来检查 WordPress 违规行为:

除非被禁止,否则互联网搜索引擎会跟踪整个网站并对每个内容进行编目。 不应将管理部分编入目录,因为它包含所有敏感和安全信息,停止索引的最简单过程是在根目录中创建一个 robots.txt 文件,然后放置所需的代码。

14.超文本访问hacks:

超文本访问 (.htaccess) 是目录阶段组织文件的默认名称,允许分散管理网站内的结构。 超文本文件经常用于指示指定目录的安全限制。 所有网站开发人员和所有者都应该知道这一点,因为通过超文本访问可以实现很多安全性。 在修改 .htaccess 以保护博客免受黑客攻击后,.htaccess 本身不应受到攻击。 因此,将 .hta 应用于任何文件以防止外部访问。

15. 目录浏览不应该被允许:

允许浏览者有权浏览整个浏览目录是愚蠢的。 这种目录浏览为黑客提供了一个容易的机会来观察目录结构,从而监视安全裂缝以获得进入。 预防措施是在 WordPress 博客的根目录的 .htaccess 中简单添加两行。

16. 保护或锁定 wp-config.php:

wp-config.php 是 WordPress 网站的重要组成部分,因为它包含网站的所有重要数据以及博客的配置。 因此,wp-config.php 的安全性是根本性的,它是通过将 .htaccess 代码添加到根目录中的文件来完成的。

17.超文本访问hacks:

超文本访问 (.htaccess) 是目录阶段组织文件的默认名称,允许分散管理网站内的形成。 超文本文件经常用于指示指定目录的安全限制。 所有网站开发人员和所有者都应该知道这一点,因为通过超文本访问可以实现很多安全性。 在修改 .htaccess 以保护博客免受黑客攻击后,.htaccess 本身不应受到攻击。 因此,将 .hta 应用于任何文件以防止外部访问。

18. 目录浏览不应该被允许:

允许浏览者有权浏览整个浏览目录是愚蠢的。 这种目录浏览为黑客提供了观察目录结构并因此监视安全裂缝以获得进入的容易的机会。 预防措施是在 WordPress 博客的根目录的 .htaccess 中简单添加两行。

19. 保护或锁定 wp-config.php:

wp-config.php 是 WordPress 网站的重要组成部分,因为它包含网站的所有重要数据以及博客的配置。 因此,wp-config.php 的安全性是根本性的,它是通过将 .htaccess 代码添加到根目录中的文件来完成的。

20. 避免和阻碍脚本注入:

这样,可以保护 WordPress 网站免受脚本注入和 _REQUEST、GLOBALS 的冗余更改。 这里的根也是.htacces。

要考虑的其他提示:

  1. 由于 WP 安全扫描总是以某些方式发出警告,因此应始终注意文件权限。
  2. 如有必要,使用最好的 FTP 客户端和 Chmod 文件查看根目录上的某些可疑文件,如果需要,也可以安装 WordPress Firewall 2 以保护网站免受恶意黑客的攻击。
  3. WordPress Firewall 2 在网站被黑客攻击时会立即警告用户,但缺点是它甚至偶尔会阻止用户,所以除非受到超级黑客的攻击,否则不要安装 WordPress Firewall 2,否则简单的 .htaccess 就足以保持 WordPress 网站的安全。
  4. 建议采取适当的预防措施来阻止黑客进入 WordPress 网站,正如谚语所说“预防胜于治疗”。

上面提到的所有方法都非常有利于防止黑客入侵,甚至可以保证在采取这些预防措施后,您的网站不会被黑客入侵。