你是经营一个WordPress博客还是一个多站点? 它对网络欺诈的保护有多好? 虽然WordPress被认为是世界上最安全,最值得信赖的内容管理系统之一, 还有超过 每天有3万个网站被黑.
我打赌你不想成为他们中的一员. 未雨绸缪. So, 为了保证您网站上的每一个内容都受到保护,并且每次登录尝试都在控制之下, 我们决定写这篇文章,包含最终的解释, 指令, 还有一份工具清单,可以消除任何 WordPress主题 安全风险.
目录:
WordPress安全是一个持续的过程,应该由站点管理员特别小心地管理. 谈到安全, 我们建议如何很好地保护它免受任何类型的风险,一个人可以在网上面临. 你的网站在黑客攻击或垃圾邮件面前有多脆弱? 为了保证你的WordPress博客或网站是100%的安全, 您需要实现适当的安全控制,以便将受影响的风险降至最低.
WordPress安全的主要元素是什么? 我们可以强调三个核心领域——技术, 人, 并将安全解决方案的实施过程转化为一个web项目. 每一个都对你的博客的安全同样重要. 跳跃前进, 最重要的建议是,当您实现一项新技术并向新用户提供访问站点安全性的权限时,要非常小心.
在WordPress CMS的基础上建立一个博客或网站, 需要做的第一个也是最重要的决定是为你的网站选择合适的主机. 有一系列可用的选项. 托管提供商的选择也在快速增长. 有一系列的托管服务提供商专门从事 WordPress托管 具体地说. 我们回顾并比较了之前的文章.
是否选择共享, VPS, 专用或托管的web主机, 建议您深入了解它们的技术规格. 不同的主机用于不同的目的, 提供不同的存储空间, 附加服务, 安全, 定价计划.
凡事都有两面性. WordPress是受欢迎的定期系统更新, 每一个都为站点管理员提供了一堆新的很酷的功能. 通常来说, 每次连续更新提供增强的功能和错误修复的意图,以保持您的网站安全.
你需要记住的第一件也是最重要的事情是你的 WordPress的安装 下载网址: WordPress.org 只有. 这是唯一的官方资源,提供最新版本的内容管理系统和发布更新(每个更新都是由于详细检查)。.
你的WordPress网站最脆弱的部分是 扩展 你安装它来增强它的能量. 你在网站上安装的主题和插件经常被网络罪犯和黑客利用. 这种情况是,WordPress网站的工具和模板的开发人员并不是安全专家,他们可能会无意中使用易受攻击的代码编写他们的数字产品. 为了防止被黑客入侵的风险, 主题和插件开发者为他们的产品发布更新. So, 如果你注意到你要添加到你的WordPress网站的扩展不再支持或与最新的WordPress版本不兼容, 那么你最好谨慎行事,寻找一个更安全的选择.
你的 WordPress web服务器 而且上面的软件也有风险. 你需要注意的漏洞主要取决于你为你的网站选择了什么类型的WordPress web服务器. 如果你选择 成功举办, 然后,你只需要从网络主机提供商那里定期更新,并及时安装到你的主机上. 如果你使用共享的虚拟主机服务, 然后做好准备,你的网站更容易面临风险. 这种情况是,在共享的网络主机上,你与其他可能被黑客攻击的网络资源共享空间. 如果有任何共享主机空间的网站被黑了, 那么你自己网站的IP地址可能会被spa名单列入黑名单. 如果你发现你面临着任何形式的邮件投递问题, 然后最好借助黑名单查找工具(如 MxToolBox or 域运行状况检查).
您是否在同一台服务器上运行多个博客? 聪明地玩,把他们留在里面 不同的数据库,每一个都由不同的用户管理. 这最好在初始WordPress安装中实现. 否则, 如果一个骗子黑了你的博客, 这将是几乎不可能改变你的其他在线项目.
你可能会认为你的博客没有什么特别的,黑客们会更好地把时间和精力节省到网络上的其他地方. 然而,事实并非如此! 大多数网站泄露事件的发生并不是因为有人想窃取你的数据. 你的服务器对骗子来说是最有价值的. 在现代网络中,可以用作垃圾邮件中继的Web服务器并不少见. 当然,也有骗子和竞争对手想办法损害你的生意. 无论如何,你需要保护你的网站免受骗子和黑客的攻击. 下面列出的技巧将帮助您保持您的网站在安全线上.
你的网站使用 HTTPS协议? 如果您还在使用HTTP, 你面临着失去大量客户的风险, 同时还要面对更高的黑客攻击风险. 如果你照顾你的客户的在线安全,并希望确保他们与你分享的一切将是100%的自信和保护, 那么HTTPS协议就是保证他们在线隐私的可靠方法. 此外,HTTPS网站在搜索引擎中的排名更高. 这些都可以获得更多的SEO好处. 流行的网络浏览器会在不使用HTTPS协议的网站上发出警告. 你不希望这种情况发生在你的网站上吗? 切换到HTTPS并考虑以下WordPress安全技巧.
每个人都知道如何访问任何WordPress网站的传统登录页面. 为了防止暴力攻击,请考虑替换 / wp-login.php or / wp-admin 使用只有您的团队成员才知道的自定义URL.
相反,你可以使用类似的语句 / my_new_login or / my_new_registration.
另外, 安装包含登录失败锁定功能的WordPress安全插件. 本指南中列出了几个最流行和最可靠的解决方案. 作为站点管理员, 您可以指定应该锁定的失败登录尝试次数或不允许登录您的站点的登录页面的IP范围.
这是另一种很好的安全措施,它由用户需要管理的两个组件组成,以便访问站点的备份. 站点管理员可以自行决定这两个选项. 例如, 这可以是传统的登录和密码请求, 这是一个秘密的问题吗.
P.S. 在下面的列表中提供了一个免费的2因素认证WP插件.
这似乎很明显. 不过,请确保您在网站上使用的是最新版本的软件. 这涉及到你使用的WordPress版本和你额外安装的主题或扩展. WordPress经常发布bug修复和系统更新. 这样做的目的是保护您的站点免受黑客利用已经修复的漏洞. 如果您不更新您的软件, 主题, 扩展或其他, 你会自动使你的网站更容易受到攻击,并增加被黑客攻击的风险.
一个与你的用户名重复或听起来与电子邮件地址相似的弱密码会增加黑客攻击成功的风险. 为了防止这种情况, 使用更复杂的密码,包括小写字母和大写字母, 数字, 和特殊字符. 不要写得太短. 选择包含10个以上符号的密码.
安全套接字层是最行之有效的方法之一,以保护您的网站的管理面板. 多亏了SSL, 您可以对用户的web浏览器和web服务器之间的安全数据传输感到自信, 让黑客无法获取你的信息.
当您决定为您的站点获取SSL证书时,应该不会有任何困难. 通常来说, 大多数可靠的托管提供商都将其包含在网站管理员在订阅后将收到的功能列表中.
另外, 受SSL证书保护的网站在搜索引擎中的排名要高于没有SSL证书保护的网站. 谷歌优先考虑更安全的在线项目, 这样就增加了你的网站获得稳定流量的机会.
这是你网站的核心. 这是黑客渴望进入的另一个易受攻击的地方. 为了保护它不被破坏, 强烈建议使用密码保护您的wp-admin目录. 以这样的方式, 一个网站管理员将被要求提交2个密码时,他需要访问您的网站的后端. 其中之一是登录页面的密码, 而第二个是负责您的网站的管理面板.
如果你经营一个多作者的博客, 然后你需要指定什么样的内容不同的用户将能够访问和管理一旦他们进入你的网站的管理面板. 你可以使用免费的WordPress插件来实现这个目的. 下面列出了一些最有用的建议. 这将帮助您指定站点上的用户角色,并限制对易受攻击数据的访问.
作为您网站的管理员, 您需要重命名管理员用户名的方式,是不那么容易让黑客猜到,当他们试图访问您的网站的管理面板
你可以运行最安全的网站,有两步授权和大量的安全插件,用于各种目的. 然而, 你永远不知道你的网络资源明天会面临什么样的风险,或者网络主机会遇到什么样的问题. 无论发生什么,您都需要确信所有数据和站点设置都受到保护. 这就是常规站点备份发挥作用的时候. 即使你的网站崩溃或被骗子攻击, 您总是可以在备份的帮助下恢复它.
在站点上使用错误消息对可用性和用户友好性都有好处. 然而, 当您在站点上显示错误消息时, 确保您不会泄露诸如API密钥之类的秘密数据, 数据库密码之类的. 也不显示完整的异常细节吗. 对错误细节保密,只显示访问者应该知道的那些数据. 这将帮助你的WordPress更能抵抗SQL注入.
不帮助黑客攻击你吗! 如果他们知道驱动你网站的软件的确切版本, 他们将能够为您的网络项目量身定制完美的攻击. 为了防止这种情况发生, 使用我们下面介绍的免费WordPress安全插件隐藏你的WordPress版本. 万一你的网站被黑了,用Sucuri吧. 它的链接也在下面的列表中!
WordPress安全插件审查的时间到了. 有成千上万的 安全插件 在wordpress上可用.org. 我们精心挑选了15个最受欢迎的解决方案,这些解决方案受到数百万WordPress用户的信任,可以保护您在线形象的不同方面. 让我们开始吧.
喷气背包是一个全能的WordPress插件. 在它的帮助下,你可以为你的网站创建一个独特的设计,像专业人士一样推广和保护它. 所有的核心功能都包含在该软件的免费版本中. 这些是100+免费主题,懒惰加载图像,暴力攻击保护,统计 & 相关内容,自动社交媒体发布和电子邮件支持. 如果你需要更多的功能,那么你可以选择高级版.
喷气背包不仅仅是一个好的WordPress安全插件. 有许多伟大的恶意软件保护工具在其包内. 然而,它也包括免费的WordPress主题,可以定制无代码. 有一系列的在线营销工具用于后期调度.
特性:
价格:免费; 保费计划s start at $39 yearly
Wordfence是最流行的WordPress安全插件之一,拥有超过200万的活跃安装量. 这是一个开源的解决方案,包括大量的可靠功能来扫描和保护您的WordPress网站免受任何类型的恶意软件攻击. 由于WordPress防火墙和安全扫描程序,没有一个恶意IP地址不会被发现.
特性:
价格:免费; 保费计划s start at $29.每年86
MalCare是一个功能强大的安全插件. 它的免费版本提供了两个基本选项. 首先,您将获得防火墙保护. 除此之外,它有一个先进的恶意软件扫描器. 由于动态算法,很容易发现复杂的恶意软件. 整个过程在专用服务器上进行. 即使是免费版本也遵循同样的路径!
关于它的付费版本该怎么说呢? 它提供了一组广泛的安全特性. 您还将获得即时恶意软件删除功能. 用户可以通过三个步骤自由地清理自己的网站. 它减少了周转时间, 从而降低谷歌黑名单或网络主机暂停的风险.
特点:
MalCare拥有五星级的全天候客户支持. 高级版的起价为每年99美元. 他们还提供免费试用,让所有选项都可用.
顾名思义, 使用这个插件, 您可以通过正常的登录和验证cookie来限制登录站点的尝试次数. 默认设置是允许用户无限次登录网站. 这使得破解现有用户密码变得非常容易. 这个插件将使骗子更难以入侵你的网站,同时阻止错误登录尝试到你的WordPress项目的仪表板的数量.
特性:
价格:免费
在您的网站上安装这个插件, 你将获得30多种方法来保护你的WordPress网站免受任何类型的在线漏洞. 一旦安装并激活, 您将自动扫描您的站点,以查找可能的攻击和漏洞. 这让你感到安全,所有的内容是100%的保护. 该插件包括免费和专业功能. 如果您需要额外的工具,如双因素身份验证,您可以选择高级工具, 恶意软件扫描调度, 密码过期, 导入/导出设置, 等. iThemes安全支持多站点模式. 它还禁止那些试图闯入其他网站的用户. 自动报告的IP地址,未能登录到您的网站和一大堆其他安全功能集成.
特性:
价格:免费; 保费计划s start at $80 per year
使用这个插件可以为你的WordPress站点增加一些额外的安全和防火墙. 这是一个最终的工具,将使您了解和更新您的网站的当前安全级别. 它可以控制在线项目的各个方面, 从登录尝试失败到数据库问题. 无论何时出现问题,站点管理员都会收到自动通知.
特性:
价格:免费
这个插件对所有WordPress用户都是免费的,但是它包含了一些高级功能. 这是全球公认的WordPress安全插件,它提供了一组支持安全的功能,以补充现有的站点暴露.
特性:
价格:免费,具有高级功能
Worker是一个多站点解决方案,允许您从一个地方管理数十个在线项目. 该插件旨在帮助您自动化工作流程, 这样就能更专注于完成最重要的任务. 这是一个快速的, 安全免费的解决方案,让您从一个地方处理无限数量的网站.
特性:
价格:免费,具有高级功能
Manage Explainer Video from ManageWP on Vimeo.
防弹安全是一个开源软件,负责智能保护您的WordPress网站免受任何类型的漏洞. 它是免费的,但具有高级功能. 它是快速和容易安装与1单击安装向导. 使用这个插件, 您将获得安全登录监控, 先进的前端, 以及后端维护模式, UI换肤器, 等. 顺便说一下,有3种皮肤可供选择.
特性:
价格:免费,具有高级功能
这个插件的目的是保护你的WordPress网站免受暴力攻击. 它限制了登录失败的次数. 当发现可疑活动时,通过立即发送的电子邮件/移动/桌面通知来跟踪用户和入侵者的活动.
特性:
价格:免费
该插件为您提供了在您的网站上发生的所有动作的完全控制. 它支持WordPress多站点功能, 它可以让你对WordPress项目上发生的一切进行审计日志. 该工具存储有关用户访问站点时使用的ID地址的显式信息, 用户角色, 他的行为, 等. 实时用户活动监控包括揭示什么是发生在您的网站在这个特定的时刻.
特性:
价格:免费,高级计划的单站点许可证起价为89美元
备份和安全插件由博客Vault提供100%的信心,你的WordPress资源完全保护免受任何类型的在线恶意软件. 这要归功于存储在云上的定期备份, 您将能够在需要时访问所有有价值的数据. 该插件还提供WooCommerce备份, 哪一个对数据丰富的web项目特别有用.
特性:
价格免费,高级计划每年89美元起
使用插件,你可以改变你的网站上的用户角色(管理员除外). 只需单击几下即可添加新角色并自定义其功能. 如果存在未分配给任何用户的角色, 然后你可以简单地把它们去掉. 同一个用户可以同时被赋予多个角色. 还提供多站点支持.
特性:
价格:免费,高级计划每年29美元起
该插件记录IP地址和所有失败的登录尝试到您的网站的时间. 如果收费记录短时间内同一IP地址范围内发生了一定次数的登录失败, 它会自动禁用来自该范围的所有请求. IP块可以通过管理面板处理. 也可以手动释放特定的IP地址.
特性:
价格:免费
该插件旨在保护您的网站免受恶意URL请求. 该工具检查所有传入流量以对错误请求进行时钟处理, 从而保证你的WordPress网站的安全.
特性:
中包含了更多的特性 保费计划.
价格:免费 & 提供专业版
使用这个插件, 您将使用Android/iPhone/黑莓的谷歌身份验证应用程序为WordPress网站添加两步身份验证. 双因素身份验证可以在每个用户的基础上启用(对于站点管理员), 例如).
特性:
价格:免费
说了这么多,我们结束吧. WordPress的核心是相当安全的. 但是,您应该随时准备好应对站点可能面临的任何类型的安全问题. 为了在晚上睡个好觉,100%确信你的网站运行正常, 看看下面的清单. 记下它们,或者简单地把这一页收藏起来,这样就不会错过任何事情.
你同意我们在这篇文章中强调的技巧和建议吗? 你还有什么要补充的吗? 请通过评论分享你对如何避免WordPress安全风险的想法和想法.
10个有效的方法来锁定你的WordPress网站免受黑客攻击