如何保護 WordPress 網站免受黑客攻擊?

已發表: 2016-04-05

每個程序員生活中的不幸現實是,對於 WordPress 網站或博客的安全威脅和黑客,沒有絕對的防禦措施。

一個聰明而果斷的黑客總能找到繞過安全預防措施的方法,並且會找到進入系統的方法,這讓程序員非常沮喪。 但程序員的職責是讓黑客非常困難。

通常,當黑客的難度非常高時,黑客會離開併入侵保護較少的網站。 為了減少黑客攻擊的威脅,網站開發人員和程序員可以採用一些簡單的保護安全措施。

保護 WordPress 免受黑客攻擊

保護 WordPress 網站免遭黑客攻擊的提示:

當谷歌搜索 WordPress 黑客預防時,會發現 500 萬條結果,因為在互聯網上的幾個網站上發現了無數關於黑客預防的意見。

但具有諷刺意味的是,即使這些網站的軟件也大多沒有更新,因為網站所有者可能會忙於其他網站或內容。

這種懶散的態度是對網站安全的巨大威脅,黑客可能會藉此機會入侵網站。

1. 從不應用默認值:

存在各種註冊和使用 WordPress 的方法。 因此,在選擇託管計劃、域名和安裝軟件後,請注意不要使用默認值。 使用默認值將使黑客更容易,因為他將獲得有關該網站的更多信息,這極大地幫助了黑客實現其目標。

切勿使用託管帳戶和網站內容管理系統的默認用戶名或密碼,一旦安裝 WordPress,密碼和用戶名就會被更改。

另外,更改信息; 提供給託管公司或在註冊期間,因為人們永遠無法確定所有人; 可以訪問託管公司服務器中的數據。

2.始終刪除未使用的插件和未使用的圖像:

很少有人認為應該始終刪除不必要的圖像,因為它們只會濫用服務器上的空間,但大多數人認為保留不需要的圖像會造成安全威脅。 儘管這種說法看起來很荒謬,但這是事實,因為黑客經常針對插件,所以未使用的插件和圖像會增加安全威脅的概念是真實的; 人們由於受歡迎而集體購買,而沒有考慮它們的用處。

許多程序員在他們的系統中存儲了許多不必要的插件,黑客通過這些插件進入並通過這個漏洞從網站收集數據。 由於插件從未使用過,而且最近的安全升級由於很少或沒有使用而未進行,因此存在很高的違規可能性。

插件 TimThumb 的實例; 它有一個錯誤或漏洞,黑客利用它來訪問許多 WordPress 網站以收集信息並干擾網站,因此建議刪除不必要的插件和圖像,以更好地保護網站免受黑客威脅,並幫助網站出現故障自由的。

3. 密碼長且複雜,定期更換:

選擇至少包含八個或更多字符的密碼,可以任意組合數字、字母和特殊字符。 建議不要使用單詞或姓名、出生日期等,因為這些都是可以猜到的。

切勿在任何電子網站上記下您的密碼,除了 WordPress 網站的加密密碼框,如果您害怕忘記密碼,請將其記在記事本中並保留。

每七十天左右定期進行一次; 更改密碼以使黑客的任務更加困難。 即使他在網站上運行了一個蠻力程序,他也必須從一開始就開始黑客攻擊,因為更改的密碼將阻止他破壞網站。

4. 關於託管公司的一些安全選項:

很多時候,託管網站的託管公司有許多保護選項,如果認為沒問題,可以使用這些選項。 如託管公司 HostGator 的實例所示; 當單擊“安全並加速您的站點”附加組件時,一些基本安全選項可用於基本保護。 但是要謹慎過分依賴這些託管公司,他們經常提供折扣代碼和優惠券,這些代碼很便宜,因此有不止一個類似的代碼,這使得它們很容易受到黑客的攻擊。

5.更喜歡使用WordPress插件:

有各種軟件為 WordPress 內容管理系統提供插件,但質量各不相同,因為有些是可信的,有些是不可用的。 所以最好只使用WordPress插件或在做適當的研究後購買其他插件,不要注意廣告。 持懷疑態度,始終尋求明智但不贊成的證詞,因為這往往是現實。

搜索有更多正面意見的插件是信譽良好的安全軟件,並且使用了六個月以上; 最低限度。 切勿在沒有適當檢查和可靠應用市場的情況下下載和安裝插件。

6.不要對獲批的自由職業者粗心:

當網站所有者與自由職業者共享原始密碼時,在大多數情況下一切都很好,直到 WordPress 網站的編輯完成工作,問題只有在自由職業者獲得報酬後才會出現。 然後網站被黑客入侵並開始出現麻煩,但如果網站所有者經過深思熟慮做出決定,所有這些都是可以避免的。

一旦工作完成,他應該取消自由職業者的使用許可,並且應該給自由職業者一些任意密碼,而不是網站所有者使用的原始密碼。

應向自由職業者提供受控使用,以便他在完成工作後無法控製網站。 盡量不要犯這些愚蠢的錯誤並損害 WordPress 網站的安全性,所有者應該始終對網站的運作擁有唯一和最高的控制權。

7. 始終使用高度安全的主機:

從最優先考慮安全性的主機購買網站。 有許多免費的主機包無法負擔有效的安全措施,但即使是昂貴的主機包有時也有很差的安全措施。

通過適當的研究和檢查,決定取決於網站所有者選擇適當和合適的託管包。

由於黑客經常通過託管站點的漏洞進入並收集有關WordPress網站的信息並為網站製造麻煩。

8. 為網站創建備份:

始終為網站進行適當的備份,因為當網站被黑客入侵時,它可能會崩潰並且所有數據都會暫時丟失。 如果有人熱衷於破解網站; 即使是不可能的事情也可以實現,因為一個 15 歲的男孩黑了 NASA,還有一個 16 歲的倫敦人 Richard Pryce 黑了美國的安全系統,從那時起,他們一直被認為是潛在的國家威脅。 因此,對於網站所有者而言,黑客的危險始終是迫在眉睫的危險,應在經過深思熟慮後選擇插件,並應始終存在備份。

即使黑客入侵了網站並刪除了所有信息,它也不會對網站造成太大影響,通過備份,您可以通過更改密碼和插件並在一天內重新上傳數據來安全地重啟網站。 只需要網站的最後兩個備份版本,備份也不會佔用服務器的大量空間。

9、定期升級軟件:

所有電子和技術事物都是如此,因此 WordPress 網站應與安全插件一起定期更新。 切勿使用舊版本的 WordPress,因為舊版本已經存在很長時間,因此容易受到黑客攻擊,因此更容易被入侵。

為了使安全性更強,從演示中刪除 WordPress 版本。 WordPress 總是在每次升級時創建更好的版本,因此更新版本的安全性更強。

始終關注 WordPress 提要以了解最新的 WordPress 版本,或者只需登錄網站管理員即可。 強烈建議 WordPress 網站所有者關注 WordPress Development 和 BlogSecurity.net,以了解最新的升級和發展。

10. 在 wp-config.php 中使用 WordPress Keys:

WordPress 密鑰是一項重要的安全措施,密鑰充當 WordPress cookie 的鹽,從而保證改進客戶端信息的加密。 使用 WordPress 密鑰生成器生成密鑰。

11.絕對安裝WP安全掃描:

WP Security Scan 插件是一個強大、簡單和計算機化的安全檢查。 該插件將檢查 WordPress 網站是否存在黑客攻擊和安全漏洞,一旦發現任何惡意代碼或程序,所有者就會被告知違規行為。

12. 嘗試更改表前綴:

默認情況下,WordPress 的表前綴是 [wp.___]; 每個人都知道這一點,因此黑客的 SQL 注入攻擊可以毫不費力地完成,因為前綴很容易假設。 因此強烈建議更改表前綴,通過手動方式或 WP Security Scan 插件方式完成。 對於新的網站開發人員來說,手動方式很難遵循,而 WP Security Scan 插件方式使更改表前綴變得更加容易。

13. 通過阻止搜索引擎指向管理部分來檢查 WordPress 違規行為:

除非被禁止,否則互聯網搜索引擎會跟踪整個網站並對每個內容進行編目。 不應將管理部分編入目錄,因為它包含所有敏感和安全信息,停止索引的最簡單過程是在根目錄中創建一個 robots.txt 文件,然後放置所需的代碼。

14.超文本訪問hacks:

超文本訪問 (.htaccess) 是目錄階段組織文件的默認名稱,允許分散管理網站內的結構。 超文本文件經常用於指示指定目錄的安全限制。 所有網站開發人員和所有者都應該知道這一點,因為通過超文本訪問可以實現很多安全性。 在修改 .htaccess 以保護博客免受黑客攻擊後,.htaccess 本身不應受到攻擊。 因此,將 .hta 應用於任何文件以防止外部訪問。

15. 目錄瀏覽不應該被允許:

允許瀏覽者有權瀏覽整個瀏覽目錄是愚蠢的。 這種目錄瀏覽為黑客提供了一個容易的機會來觀察目錄結構,從而監視安全裂縫以獲得進入。 預防措施是在 WordPress 博客的根目錄的 .htaccess 中簡單添加兩行。

16. 保護或鎖定 wp-config.php:

wp-config.php 是 WordPress 網站的重要組成部分,因為它包含網站的所有重要數據以及博客的配置。 因此,wp-config.php 的安全性是根本性的,它是通過將 .htaccess 代碼添加到根目錄中的文件來完成的。

17.超文本訪問hacks:

超文本訪問 (.htaccess) 是目錄階段組織文件的默認名稱,允許分散管理網站內的形成。 超文本文件經常用於指示指定目錄的安全限制。 所有網站開發人員和所有者都應該知道這一點,因為通過超文本訪問可以實現很多安全性。 在修改 .htaccess 以保護博客免受黑客攻擊後,.htaccess 本身不應受到攻擊。 因此,將 .hta 應用於任何文件以防止外部訪問。

18. 目錄瀏覽不應該被允許:

允許瀏覽者有權瀏覽整個瀏覽目錄是愚蠢的。 這種目錄瀏覽為黑客提供了觀察目錄結構並因此監視安全裂縫以獲得進入的容易的機會。 預防措施是在 WordPress 博客的根目錄的 .htaccess 中簡單添加兩行。

19. 保護或鎖定 wp-config.php:

wp-config.php 是 WordPress 網站的重要組成部分,因為它包含網站的所有重要數據以及博客的配置。 因此,wp-config.php 的安全性是根本性的,它是通過將 .htaccess 代碼添加到根目錄中的文件來完成的。

20. 避免和阻礙腳本注入:

這樣,可以保護 WordPress 網站免受腳本注入和 _REQUEST、GLOBALS 的冗餘更改。 這裡的根也是.htacces。

要考慮的其他提示:

  1. 由於 WP 安全掃描總是以某些方式發出警告,因此應始終注意文件權限。
  2. 如有必要,使用最好的 FTP 客戶端和 Chmod 文件查看根目錄上的某些可疑文件,如果需要,也可以安裝 WordPress Firewall 2 以保護網站免受惡意黑客的攻擊。
  3. WordPress Firewall 2 在網站被黑客攻擊時會立即警告用戶,但缺點是它甚至偶爾會阻止用戶,所以除非受到超級黑客的攻擊,否則不要安裝 WordPress Firewall 2,否則簡單的 .htaccess 就足以保持 WordPress 網站的安全。
  4. 建議採取適當的預防措施來阻止黑客進入 WordPress 網站,正如諺語所說“預防勝於治療”。

上面提到的所有方法都非常有利於防止黑客入侵,甚至可以保證在採取這些預防措施後,您的網站不會被黑客入侵。