即便初学者也能够,而且应该采纳那些步调来庇护他们的 wordpress 网站免受收集攻击。
WordPress 已经驱动了互联网 30% 的网站,它是世界上增长最快的 内容办理系统content management system(CMS),并且不难看出原因:通过大量可用的定造化代码和插件、一流的 搜刮引擎优化Search Engine Optimization(SEO),以及在博客界超高的佳誉度,WordPress 博得了很高的出名度。
然而,跟着出名度而来的,也带来一些不太好的存眷。WordPress 是入侵者、歹意软件和收集攻击的常见目的,事实上,在 2019 年被黑客攻击的 CMS 中,WordPress 约占 90%。
无论你是 WordPress 新用户或者有经历的开发者,那里有一些你能够采纳的重要步调来庇护你的 WordPress 网站。以下 6 个关键技巧将帮忙你起步。
1、选择可靠的托管主机主机是所有网站无形的根底,没有它,你不克不及在线发布你的网站。但是主机的感化远不行起简单的托管你的网站,它也要对你的网站速度、性能和平安负责。
第一件要做的工作就是查抄主机在它的套餐中能否包罗 SSL 平安协议。
无论你是运行一个小博客或是一个大的在线商铺,SSL 协议都是所有网站必须的平安功用。若是你正在停止线上交易,你还需要 高级 SSL 数字证书,但是对大大都网站来说,根本免费的 SSL 证书就很好了。
其他需要留意平安功用包罗以下几种:
日常的主动离线网站备份歹意软件和杀毒软件扫描和删除散布式办事攻击Distributed denial of service(DDOS)庇护实时收集监控高级防火墙庇护别的除了那些数字平安功用之外,你的主机供给商的物理平安办法也是值得考虑的。那些包罗用平安保镳、闭路监控和二次验证或生物识别来限造对数据中心的拜候。
2、利用平安插件庇护你的网站平安最有效且容易的办法之一是安拆一个平安插件,好比 Sucuri,它是一个 GPLv2 答应的开源软件。平安插件长短常重要的,因为它们能将平安办理主动化,那意味着你可以集中精神运行你的网站,而不是花大量的时间来与在线威胁做斗争。
那些插件探测、阻遏歹意攻击,并提醒你需要留意的任何问题。简言之,它们持续在后台运行,庇护你的网站,那意味着你没必要连结 7 天 24 小时地连结清醒,与黑客、破绽和其他数字垃圾斗争。
一个好的平安插件会免费供给给你所有需要的平安功用,但是一些高级功用需要付费订阅。举个例子,若是你想要解锁 Sucuri 的网站防火墙,你就需要付费。开启 网站应用防火墙web application firewall(WAF)阻挠常见的威胁,并为给你的网站添加一个额外的平安层,所以被选择平安插件的时候,寻找带有那个功用的插件是一个好的主意。
3、选择值得信赖的插件和主题WordPress 的快乐在于它是开源的,所以任何人、每小我都能供给他们开发的主题和插件。但被选择高量量的主题和插件时,那也抛出一些问题。
在挑选免费的主题或插件时,有一些设想较差,或者更蹩脚的是,可能会隐藏歹意代码。
为了制止那种情况,始末从可靠的来源来获取免费主题和插件,好比 WordPress 主题库。阅读对它的评论,并研究查看开发者能否构建过其他的法式。
过时的或设想不良的主题和插件能够为攻击者进入你的网站留下后门或错误,那就是为什么选择时要隆重。然而,你也应该提防无效或者破解的主题。那些已经黑客毁坏了的高级主题被不法销售。你可能会购置一个无效的主题,它看起来没什么问题,但会通过隐藏的歹意代码毁坏你的网站。
为了制止无效主题,不要被打折的价格所吸引,始末对峙可靠的主题商铺,好比官方的 WordPress 目次。若是你在其它处所寻找,对峙选择大型且值得信赖的商铺,好比Themify,那个主题和插件商铺自从 2010 年就已经在运营了。Themify 确保它的所有 WordPress 主题通过了谷歌友好挪动Google Mobile-Friendly 测试,并在GNU 通用公共答应证下开源。
4、运行按期更新那是 WordPress 的根本规则: 始末连结你的网站最新。然而,不是所有人都对峙了那个规则,只要 43% 的 WordPress 网站运行的是最新版本。
问题是,当你的网站过时的时候,因为它在平安和性能修复方面落后的原因,容易遭到毛病、破绽、入侵和瓦解的影响。过时的网站不克不及像更新的网站一样修复破绽,攻击者可以分辩出哪些网站是过时的。那意味着他们可以依此来搜刮最易受攻击的网站并袭击它们。
那就是为什么你始末要运行最新的 WordPress 版本的原因。为了连结网站平安处于最强的形态,你必需更新你的插件和主题,以及你的核心 WordPress 软件。
若是你选择一个受办理的 WordPress 托管套餐,你可能会发现你的供给商会为你查抄并运行更新,以领会你的主机能否供给了软件和插件更新。若是没有,你能够安拆一个开源插件办理器。好比 GPLv2 答应的 Easy Updates Manager plugin做为替代品。
5、强化你的登录除了通过认真选择主题和安拆平安插件来创建一个平安的 WordPress 网站外,你还需要避免未经受权的登录拜候。
密码庇护若是你在利用 容易猜到的短语好比 123456 或 qwerty ,第一步要做的加强登录平安最简单的办法是更改你的密码。
测验考试利用一个长的密码而不是一个单词,如许它们很难被破解。更好的体例是用一系列你容易记住且不相关的单词合并起来。
那里有一些其它的提醒:
绝不要反复利用密码密码不要包罗像家庭成员的名字或者你喜好的球队等明显的单词不要和任何人分享你的登录信息你的密码要包罗大小写和数字来增加复杂水平不要在任何处所写下或者存储你的登录信息利用 密码办理器变动你的登录地址将默认登录网址从尺度格局yourdomain.com/wp-admin变动是一个好主意。那是因为黑客也晓得那个缺省登录网址,所以稳定更它会有被暴力破解的风险。
为制止那种情况,能够将登录网址变动为差别的网址。利用开源插件好比 GPLv2 答应的 WPS Hide Login能够愈加平安、快速和轻松的自定义登录地址。
应用双因素认证为了供给更多的庇护,阻遏未受权的登录和暴力破解,你应该添加双因素认证。那意味着即便有人确实得到了你的登录信息,但是他们还需要一个间接发送到你的手机上的验证码,来获得对你的 WordPress 网站办理的权限。
添加双因素认证长短常容易的,只需要安拆另一个插件,在 WordPress 插件目次搜刮 two-factor authentication ,然后选择你要的插件。此中一个选择是 Two Factor,那是一个流行的 GPLv2 答应的插件,已经有超越 10000 次安拆。
限造登录测验考试WordPress 能够让你屡次推测登录信息来帮忙你登录。然而,那对黑客测验考试获取未受权拜候 WordPress 网站并发布歹意代码也是有帮忙的。
为了应对暴力破解,安拆一个插件来限造登录测验考试,并设置你允许推测的次数。
6、禁用文件编纂功用那不是一个合适初学者的步调,除非你是个自信的法式员,不要测验考试它。而且必然要先备份你的网站。
那就是说,若是你实的想庇护你的 WordPress 网站,禁用文件编纂功用是一个重要的办法 。若是你不隐藏你的文件,它意味着任何人从办理后台都能够编纂你的主题和插件代码,若是入侵者进入,那就危险了。
为了回绝未受权的拜候,转到你的.htaccess文件并输入:
或者,要从你的 WordPress 办理后台间接删除主题和插件的编纂选项,能够添加编纂你的wp-config.php文件:
define(DISALLOW_FILE_EDIT,true);保留并从头加载那个文件,插件和主题编纂器将会从你的 WordPress 办理后台菜单中消逝,阻遏任何人编纂你的主题或者插件代码,包罗你本身。若是你需要恢复拜候你的主题和插件代码,只需要删除你添加在wp-config.php文件中的代码即可。
无论你阻遏未受权的拜候,仍是完全禁用文件编纂功用,采纳动作庇护你网站代码是很重要的。不然,不受欢送的拜候者编纂你的文件并添加新代码是很容易的。那意味着攻击者能够利用编纂器从你的 WordPress 站点来获取数据,或者以至操纵你的网站对其他站点倡议攻击。
隐藏文件更容易的体例是操纵平安插件来为你办事,好比 Sucuri 。
WordPress 平安概要WordPress 是一个优良的开源平台,初学者和开发者都应该享受它,而不消担忧成为攻击的受害者。遗憾的是,那些威胁不会很快消逝,所以连结网站的平安至关重要。
操纵以上办法,你能够创建一个愈加强健、更平安的庇护程度的 WordPress 站点,并给本身带来更好的利用体验。
连结平安是一个持续的使命,而不是一次性的查抄清单,所以必然要按期重温那些步调,并在成立和利用你的CMS时连结警觉。
via: https://opensource.com/article/20/4/wordpress-security
做者:Lucy Carney选题:lujun9972译者:hwlife校对:wxy
本文由 LCTT原创编译,Linux中国荣誉推出
评论列表