全球约有 31.9% 的网站使用WordPress 作为其内容管理系统 (CMS),互联网上每天还有另外 50,000 个新网站也使用 WordPress。如果这还不足以让您相信 WordPress 是 CMS 市场的主导者,请再考虑一下 Internet 上排名前 10,000 的网站,其中 3,845 个由 WordPress 提供支持。显然,这一切对 WordPress 来说都是好事,但拥有这种流行度也有一个小缺点——CMS 巨头也是试图渗透网站和网络安全系统的黑客最热门的目标。
由于其在全球范围内的流行和作为内容管理系统的压倒性优势,它是一个 CMS,它经常成为犯罪分子的目标,他们试图劫持网站数据并持有它以勒索赎金或进行其他类型的安全威胁。这并不意味着 WordPress 的安全系统天生就很弱——事实上恰恰相反。但是,无论其当前的安全系统多么强大,WordPress 的早期版本在很大程度上仍然安装,而那些是最容易受到攻击的版本。如果你参考这个更新的 WordPress 统计数据,在所有被黑的 WordPress 网站中,39.3% 是最新版本之前的版本,仅仅是因为它们不包括最新的保护。
如果您有一个 WordPress 网站,您应该优化以下内容以保护它:
1. 确保您使用的是最新版本,因为该版本将包含所有最新的安全功能
2. 保持所有插件最新,因为它们也容易受到攻击,尤其是互联网上最新的网络威胁
3. 遵循下面列出的一些建议,因为这些都是经过验证的阻止网络攻击的技术。
阻止暴力攻击
虽然任何人几乎不可能猜出正确的密码和用户名以进入您的 WordPress 系统,但计算机猜出它要容易得多。对于 WordPress 网站尤其如此,因为系统将允许您继续猜测密码或用户名,即使您继续输入错误的条目也是如此。
当然,这是您可以更改的默认情况,但许多人并不知道它可以更改,并且他们保留默认行为。这使您的 WordPress 网站容易受到暴力攻击。为了防止这种情况发生,您可以使用一个简单的插件来阻止任何在输入错误次数达到指定次数后试图访问您网站的用户的 IP 地址。一旦你安装了Login Lockdown 插件,这个漏洞就会被关闭,暴力攻击将不再可能。
重命名您的 WP 登录 URL
默认情况下,WordPress 允许所有人通过导航到您网站上提供的wp-admin或wp-login.php URL 轻松登录。每个人,包括黑客, 意识到这一事实,所以任何有犯罪意图的人都会知道登录页面的确切位置,这使得它容易受到各种类型的安全威胁。
但是,如果黑客不知道您的登录页面在哪里,他们将无法对您的网站进行任何攻击。隐藏登录页面并防止网络罪犯找到它的最有效方法是简单地重命名 URL。您可以使用登录锁定(如上所述)重命名您的登录页面 URL,使其具有您选择的自定义字符串。一旦这个插件被激活,它会将所有访问 wp-admin 的尝试重定向回您的主页。
有一种粗略但有效的方法可以更改 wp-login.php 文件的名称。您所需要的只是访问您站点的文件并手动创建一个新的登录文件。以下是步骤:
创建一个新文件
1. 复制 wp-login.php 中的代码,然后将其粘贴到新文件中。
2. 用新文件名替换 wp-login.php 的每个实例。您可以使用快捷方式钥匙查找并替换以帮助您。
3. 删除旧的 wp-login.php 文件。
通过您的新 URL 登录。
为您的网站使用 SSL 协议
您应该为 WordPress 网站使用的防线之一是安装安全套接字层 (SSL) 协议,因为它可以保证两个网站之间的任何连接都是安全的。每当两个网站连接时,大量信息和其中大部分信息将被视为敏感信息。
您可以为您的 WordPress 网站获取多种类型的 SSL。AltusHost 为您提供3 种类型的 SSL 证书,您可以将它们用于您的 WordPress 网站。您可以按照以下步骤从 cPanel轻松安装 SSL 证书:
1. 登录到您的控制面板。
2. 在“安全”选项下,单击“SSL/TLS 管理器”
3. 在“安装和管理 SSL”下,选择“管理 SSL 站点”
4. 复制您的证书代码,包括 —–BEGIN CERTIFICATE—– 和 —–END CERTIFICATE—– 并将其粘贴到“Certificate: (CRT)”字段中
5. 点击“按证书自动填充”
6. 将中间证书链 (CA Bundle) 复制并粘贴到下面的框中证书权威包 (捆绑式)
7. 点击“安装证书”
如果没有安装 SSL 协议,大部分信息将以普通文本形式来回发送。这意味着如果它被黑客拦截,它很容易被盗。如果安装了 SSL 协议,则不会发生这种情况,因为它使用一种加密算法,如果没有密钥,数据将无法读取。
实施双因素身份验证
通常,您只需提供用户名和密码即可登录网站,这被称为单因素身份验证。为了增加让任何人侵入您的系统的难度,您可以通过要求用户识别的辅助方法来实现双因素身份验证。
一旦用户正确提供了用户名和密码,您就可以向他们询问他们的手机号码,这样您就可以向该手机发送一个一次性密码。然后必须在屏幕上输入密码才能获得访问权限。或者,在正确输入用户名和密码后,您可以要求用户回答他们之前已经提供答案的秘密安全问题。可以使用已有的免费插件安装双因素身份验证。
只允许通过电子邮件登录
猜测某人的用户名比猜测他们的电子邮件地址要容易得多,尤其是因为电子邮件地址往往要长得多。您可以通过强制用户使用他们的电子邮件地址而不是用户名登录来提高网站的安全性。
任何试图猜测电子邮件地址的黑客都必须知道地址的本地部分以及域名和顶级域所需的字符。这使得猜测变得更加困难,即使是在使用计算机进行暴力攻击时也是如此。为了防止用户使用他们的用户名登录并强制使用电子邮件登录,您可以安装 WP 电子邮件登录插件。
密码保护您的管理目录
您可以通过在允许任何人访问 wp-admin 目录之前要求用户名和密码来为您的系统添加额外的安全层。这将迫使任何有犯罪倾向的人猜测两组用户名和密码才能进入您的系统。如果您的系统位于 Apache Web 服务器上,那么实现这一点的最简单方法是,因为 Apache 使您可以轻松地使用密码保护系统上的任何目录。如果 Apache 服务器不支持您的系统,您仍然可以通过与操作系统交互或安装名为 AskApache Password Protect 的免费插件来手动执行此操作。
禁止文件编辑
WordPress 允许管理员编辑系统中的任何插件文件和任何主题。由于这是事实,如果您的任何管理员帐户被网络罪犯成功入侵,他/她将能够在您现有的代码中插入有害或恶意代码。比这更糟糕的是,当发生这种渗透时,它几乎是检测不到的,因此有害活动可以在后台进行,而您却根本没有意识到。
防止这种情况的唯一方法是禁止文件编辑,这可以通过简单地在 wp-config.php 文件中添加一行代码来实现。这是您应该添加的代码行:
定义('DISALLOW_FILE_EDIT',真);
一旦您插入了这行简单的代码,它将具有禁止从您的 WordPress 仪表板编辑任何类型的文件的效果,并且您将拥有一个额外的安全层。
上面的提示很简单,但对于提高 WordPress 网站的安全性很有用,尤其是当它是一个新网站时。如果您想为您的 WordPress 网站定制一个环境,建议使用 WordPress 主机托管它。您将获得 WordPress 网站的优化性能、安全性和易用性。