• 主页
  • 文章
  • 写博客
  • 每个网站所有者都应该知道的 6 个 WordPress 安全提示和最佳实践

每个网站所有者都应该知道的 6 个 WordPress 安全提示和最佳实践

已发表: 2021-05-31

WordPress 安全性是任何网站所有者最重要的主题之一。 无论您是管理一家精品电子商务商店还是 50 个客户网站,遇到安全漏洞都可能意味着时间、金钱和信誉的损失——所有这些都是没人愿意面对的。

虽然没有适用于每个 WordPress 网站的“万能”安全解决方案,但有一些最佳实践可以产生重大影响。 在本文中,我们将首先解释为什么网站会被黑客入侵,分享在您的工作流程中易于实施的安全提示,并向您展示 Flywheel 如何提供帮助(除了保证您的服务器安全之外)。 这是一个快速概述。

遵循这些 WordPress 安全最佳实践以确保您的网站安全:

  • 使您的主题、插件和 WordPress 版本保持最新
  • 应用用户名和密码最佳实践
  • 限制登录尝试
  • 移动您的 WordPress 登录 URL
  • 使用双重身份验证
  • 将验证码添加到您的表单

准备好提高您的 WordPress 网站安全性了吗? 让我们从头开始吧!

为什么 WordPress 网站会被黑客入侵?

在我们直接进入 WordPress 安全最佳实践之前,首先了解为什么网站会被黑客入侵会很有帮助。 一般来说,黑客倾向于针对网站的原因如下:

  • 通过您的网站发送垃圾邮件。
  • 窃取您的信息,例如数据、邮件列表、存储的信用卡等。
  • 诱骗您的网站在您用户的计算机(或您自己的计算机)上安装恶意软件。

虽然安全事件可能感觉像是人身攻击,但它通常是更大计划的一部分,例如分布式拒绝服务攻击。 黑客可能不会针对单个站点,而是针对您的站点正在运行的基础架构,同时影响多个站点。 这就是为什么了解一些基本的 WordPress 安全标准很重要的原因,即使您只是在运行个人网站。

除了上述之外,WordPress 可能是专门针对的,这仅仅是因为它的广泛流行。 因为它现在为超过 40% 的网站提供支持,所以 WordPress 对在线攻击者来说是一个很大的“机会领域”。

但仅此一点不应该引起恐慌。 WordPress 是一个开源 CMS,拥有高度敬业和参与的贡献者社区,这意味着有大量的人在不断努力提高平台的安全性。

WordPress 安全最佳实践

事实上,任何网站都可能随时遇到安全问题,使用 WordPress 构建的网站也是如此。 幸运的是,您可以实施几种最佳实践来提高 WordPress 网站的安全性,并使黑客更难搞砸。

6 WordPress 安全最佳实践

1. 使您的主题、插件和 WordPress 版本保持最新

为您的网站提供额外安全性提升的最简单方法之一是让所有内容保持更新。 虽然跟上插件更新可能感觉很乏味(特别是如果您尝试管理多个 WordPress 网站),但这些更新的发布是有原因的(这通常与安全相关)。

如果开发人员在他们的代码中发现漏洞,他们通常会推送更新来修复它。 您的网站使用过时版本的时间越长,就越有可能成为黑客的目标。

虽然可能需要一些时间,但及时了解所有插件、主题和 WordPress 核心更新是限制安全风险的好方法。 如果您使用托管的 WordPress 主机,应自动执行 WordPress 更新,帮助您掌握最新的核心更新。

在保持插件更新方面,Smart Plugin Manager 等解决方案会在预定时间自动检查插件是否有更新。 使用机器学习和视觉测试,Smart Plugin Manager 还可以确保您的站点在更新发生时不会中断。

专业提示:如果您要管理多个客户端站点的更新,您可能需要考虑将这项工作捆绑到您定期销售的安全包中,这样您就可以为这个简单但乏味的任务获得报酬!

2. 应用用户名和密码最佳实践

这个安全提示没有什么新鲜事,但绝对值得提醒:

使用唯一的密码。 使用强用户名。 使用密码管理器。

黑客不是昨天诞生的; 他们知道所有最常用的密码,并且会使用用户名“admin”测试每一个密码。 所以,做一个快速的审计。

  • 你的用户名很难猜吗?
  • 您的密码是唯一的吗?
  • 您的密码最近更新了吗?

如果您在尝试记住所有这些登录凭据时感到不知所措,我强烈建议您使用密码管理器,例如 1Password。 它不仅可以帮助您创建和存储复杂的凭据,还可以让登录网站变得轻而易举。 (特别是如果您正在与团队合作!)

3.限制登录尝试

既然您的登录凭据已得到加强,请通过限制登录尝试来进一步提高登录安全性! 这是防御试图访问您网站的蛮力攻击的最佳方法之一。

要限制登录尝试,您可以使用限制登录尝试之类的插件,该插件会在出现三个错误后阻止任何登录您的站点的尝试,并将其阻止 20 分钟。

限制登录尝试以确保您的网站安全

当然,如果您忘记了密码,它可能会以您自己的方式出现,但这就是密码管理器的用途,还记得吗?

4.移动WordPress登录URL

使您的 WordPress 网站更加安全的另一种方法是更改​​登录页面。 众所周知,要登录站点,只需将/wp-admin添加到 URL 的末尾。 通过更改链接,您可以有效地隐藏您网站的入口,使黑客更难找到。

您可以通过多种方式更改登录 URL,但 WPS 隐藏登录插件是一个不错的起点! 只是不要忘记您将 URL 更改为什么,并记得与任何其他站点协作者或客户共享它。

5.使用双重身份验证

使您的凭据更安全的另一个好方法是使用双因素身份验证。 此安全方法充当临时第二密码,每 30 秒左右更新一次。 为了访问您的网站,黑客必须在 30 秒的时间内猜出您的真实密码和临时安全码,从而大大增加您阻止他们的机会!

双重身份验证非常棒,因为您可以将其用于与您管理的站点相关的各种登录。 例如,Flywheel 允许您在托管帐户上启用双重身份验证,您还可以将其添加到单个 WordPress 站点。

6. 将验证码添加到您的表单中

正如您可能已经收集到的,锁定您网站的登录页面非常重要。 然而,这不是你应该关注的唯一形式。 不要忘记您网站上的博客评论、结帐页面或任何其他打开的表单!

这些表单中的每一个都为黑客提供了向您的站点提交信息的机会,例如评论中的恶意链接。 即使它不会直接影响您网站的性能,拥有可疑链接也会造成混乱的用户体验,甚至可能会损害您的业务。

为了防止此类活动,您可以安装 WordPress 插件,例如 BestWebSoft 的 Google Captcha (reCAPTCHA)。

WordPress 安全性是每个网站所有者都需要了解的重要主题,虽然它是一个不断发展的关注领域,但上述提示和最佳实践应该为确保 WordPress 网站的安全和安全提供坚实的基准。