• 主頁
  • 文章
  • 寫博客
  • 每個網站所有者都應該知道的 6 個 WordPress 安全提示和最佳實踐

每個網站所有者都應該知道的 6 個 WordPress 安全提示和最佳實踐

已發表: 2021-05-31

WordPress 安全性是任何網站所有者最重要的主題之一。 無論您是管理一家精品電子商務商店還是 50 個客戶網站,遇到安全漏洞都可能意味著時間、金錢和信譽的損失——所有這些都是沒人願意麵對的。

雖然沒有適用於每個 WordPress 網站的“萬能”安全解決方案,但有一些最佳實踐可以產生重大影響。 在本文中,我們將首先解釋為什麼網站會被黑客入侵,分享在您的工作流程中易於實施的安全提示,並向您展示 Flywheel 如何提供幫助(除了保證您的服務器安全之外)。 這是一個快速概述。

遵循這些 WordPress 安全最佳實踐以確保您的網站安全:

  • 使您的主題、插件和 WordPress 版本保持最新
  • 應用用戶名和密碼最佳實踐
  • 限制登錄嘗試
  • 移動您的 WordPress 登錄 URL
  • 使用雙重身份驗證
  • 將驗證碼添加到您的表單

準備好提高您的 WordPress 網站安全性了嗎? 讓我們從頭開始吧!

為什麼 WordPress 網站會被黑客入侵?

在我們直接進入 WordPress 安全最佳實踐之前,首先了解為什麼網站會被黑客入侵會很有幫助。 一般來說,黑客傾向於針對網站的原因如下:

  • 通過您的網站發送垃圾郵件。
  • 竊取您的信息,例如數據、郵件列表、存儲的信用卡等。
  • 誘騙您的網站在您用戶的計算機(或您自己的計算機)上安裝惡意軟件。

雖然安全事件可能感覺像是人身攻擊,但它通常是更大計劃的一部分,例如分佈式拒絕服務攻擊。 黑客可能不會針對單個站點,而是針對您的站點正在運行的基礎架構,同時影響多個站點。 這就是為什麼了解一些基本的 WordPress 安全標準很重要的原因,即使您只是在運行個人網站。

除了上述之外,WordPress 可能是專門針對的,這僅僅是因為它的廣泛流行。 因為它現在為超過 40% 的網站提供支持,所以 WordPress 對在線攻擊者來說是一個很大的“機會領域”。

但僅此一點不應該引起恐慌。 WordPress 是一個開源 CMS,擁有高度敬業和參與的貢獻者社區,這意味著有大量的人在不斷努力提高平台的安全性。

WordPress 安全最佳實踐

事實上,任何網站都可能隨時遇到安全問題,使用 WordPress 構建的網站也是如此。 幸運的是,您可以實施幾種最佳實踐來提高 WordPress 網站的安全性,並使黑客更難搞砸。

6 WordPress 安全最佳實踐

1. 使您的主題、插件和 WordPress 版本保持最新

為您的網站提供額外安全性提升的最簡單方法之一是讓所有內容保持更新。 雖然跟上插件更新可能感覺很乏味(特別是如果您嘗試管理多個 WordPress 網站),但這些更新的發布是有原因的(這通常與安全相關)。

如果開發人員在他們的代碼中發現漏洞,他們通常會推送更新來修復它。 您的網站使用過時版本的時間越長,就越有可能成為黑客的目標。

雖然可能需要一些時間,但及時了解所有插件、主題和 WordPress 核心更新是限制安全風險的好方法。 如果您使用託管的 WordPress 主機,應自動執行 WordPress 更新,幫助您掌握最新的核心更新。

在保持插件更新方面,Smart Plugin Manager 等解決方案會在預定時間自動檢查插件是否有更新。 使用機器學習和視覺測試,Smart Plugin Manager 還可以確保您的站點在更新發生時不會中斷。

專業提示:如果您要管理多個客戶端站點的更新,您可能需要考慮將這項工作捆綁到您定期銷售的安全包中,這樣您就可以為這個簡單但乏味的任務獲得報酬!

2. 應用用戶名和密碼最佳實踐

這個安全提示沒有什麼新鮮事,但絕對值得提醒:

使用唯一的密碼。 使用強用戶名。 使用密碼管理器。

黑客不是昨天誕生的; 他們知道所有最常用的密碼,並且會使用用戶名“admin”測試每一個密碼。 所以,做一個快速的審計。

  • 你的用戶名很難猜嗎?
  • 您的密碼是唯一的嗎?
  • 您的密碼最近更新了嗎?

如果您在嘗試記住所有這些登錄憑據時感到不知所措,我強烈建議您使用密碼管理器,例如 1Password。 它不僅可以幫助您創建和存儲複雜的憑據,還可以讓登錄網站變得輕而易舉。 (特別是如果您正在與團隊合作!)

3.限制登錄嘗試

既然您的登錄憑據已得到加強,請通過限制登錄嘗試來進一步提高登錄安全性! 這是防禦試圖訪問您網站的蠻力攻擊的最佳方法之一。

要限制登錄嘗試,您可以使用限制登錄嘗試之類的插件,該插件會在出現三個錯誤後阻止任何登錄您的站點的嘗試,並將其阻止 20 分鐘。

限制登錄嘗試以確保您的網站安全

當然,如果您忘記了密碼,它可能會以您自己的方式出現,但這就是密碼管理器的用途,還記得嗎?

4.移動WordPress登錄URL

使您的 WordPress 網站更加安全的另一種方法是更改​​登錄頁面。 眾所周知,要登錄站點,只需將/wp-admin添加到 URL 的末尾。 通過更改鏈接,您可以有效地隱藏您網站的入口,使黑客更難找到。

您可以通過多種方式更改登錄 URL,但 WPS 隱藏登錄插件是一個不錯的起點! 只是不要忘記您將 URL 更改為什麼,並記得與任何其他站點協作者或客戶共享它。

5.使用雙重身份驗證

使您的憑據更安全的另一個好方法是使用雙因素身份驗證。 此安全方法充當臨時第二密碼,每 30 秒左右更新一次。 為了訪問您的網站,黑客必須在 30 秒的時間內猜出您的真實密碼和臨時安全碼,從而大大增加您阻止他們的機會!

雙重身份驗證非常棒,因為您可以將其用於與您管理的站點相關的各種登錄。 例如,Flywheel 允許您在託管帳戶上啟用雙重身份驗證,您還可以將其添加到單個 WordPress 站點。

6. 將驗證碼添加到您的表單中

正如您可能已經收集到的,鎖定您網站的登錄頁面非常重要。 然而,這不是你應該關注的唯一形式。 不要忘記您網站上的博客評論、結帳頁面或任何其他打開的表單!

這些表單中的每一個都為黑客提供了向您的站點提交信息的機會,例如評論中的惡意鏈接。 即使它不會直接影響您網站的性能,擁有可疑鏈接也會造成混亂的用戶體驗,甚至可能會損害您的業務。

為了防止此類活動,您可以安裝 WordPress 插件,例如 BestWebSoft 的 Google Captcha (reCAPTCHA)。

WordPress 安全性是每個網站所有者都需要了解的重要主題,雖然它是一個不斷發展的關注領域,但上述提示和最佳實踐應該為確保 WordPress 網站的安全和安全提供堅實的基準。