標籤:

2019 WordPress安全防護終極指南

04-16

WordPress安全性問題對於每個網站主來說都是非常重要的一個話題。Google每周都會將20000多個惡意軟體網站和50000多個釣魚網站加入黑名單。如果你真的關心網站的安全性,那你需要花一些精力去真正去實踐WordPress安全防護的措施。在本指南中,我們將分享所有最有效的WordPress安全防護措施,以幫助你保護網站免受黑客和惡意軟體的侵害。

雖然WordPress軟體核心的部分是非常安全可靠的,而且還有上百名開發者定期審核,但是仍然可以從許多方面來加強你的網站安全性。

我們認為安全不僅僅是指消除危險,也是指減少危險。作為一個網站主,你可以做很多事情來提高你的網站安全性(即使你不懂技術)。

我們有許多可操作的步驟,您可以採取這些步驟來提高WordPress的安全性。為方便起見,我們創建了一個目錄,以幫助您輕鬆瀏覽我們的終極WordPress安全指南。

目錄

WordPress安全基礎知識

  • 為什麼WordPress的安全性這麼重要?
  • 讓WordPress保持最新版
  • 複雜密碼和用戶許可權
  • 網路主機的角色

提高WordPress安全性的簡單方式 (無需代碼)

  • 安裝WordPress備份方案
  • 最好的WordPress安全插件
  • 啟用網路應用防火牆 (WAF)

DIY用戶的WordPress安全性

  • 修改默認的用戶名「admin」
  • 禁用文件編輯
  • 禁用PHP文件執行
  • 限制登錄嘗試
  • 修改WordPress數據表前綴
  • 用密碼保護WordPress管理員和登錄頁面
  • 禁用目錄索引和瀏覽
  • 禁用WordPress的XML-RPC
  • 自動註銷空閑用戶
  • 為WordPress登錄添加安全問題
  • 修復被黑的WordPress網站

準備好了嗎?我們開始吧!

為什麼WordPress的安全性這麼重要?

被黑客入侵的WordPress網站可能會嚴重損害您的業務收入和聲譽。 黑客可以竊取用戶信息,密碼,安裝惡意軟體,甚至可以向用戶分發惡意軟體。最糟糕的是,你可能會為了重新獲得網站的許可權而不得不向黑客支付贖金。

在2016年3月,Google曾發布報告稱,大約有5千萬網站用戶在訪問可能包含惡意軟體或者會竊取信息的網站時收到過警告。此外,谷歌每周都會將大約20,000個惡意軟體網站和大約50,000個網路釣魚網站列入黑名單。

如果你的網站是企業網站,那你更需要對網站的安全性額外關注。

與企業所有者保護其實體店鋪的責任類似,作為在線企業所有者,你有責任保護你的企業網站。

讓WordPress保持最新版

WordPress是一款開源的軟體,也是會定期維護和升級。默認情況下,WordPress會自動安裝一些小的更新。對於大版本更新,你需要手動啟動更新。

WordPress還有成千上萬的插件和主題可以安裝,這些插件和主題是由第三方開發者維護的,也是會定期進行更新。

這些WordPress更新對你網站的安全性和穩定性起到關鍵的作用。你需要確保WordPress核心文件,插件和主題都升級到了最新版。

複雜密碼和用戶許可權

最常見的黑客攻擊是使用被盜的密碼,你可以通過專門為網站創建一個複雜的密碼來提高這種攻擊的難度。不僅你的WordPress管理員後台密碼要提高強度,同時還有FTP賬戶、資料庫、WordPress主機賬戶以及你的郵箱密碼。

小白不喜歡使用複雜密碼最主要的原因是因為它們太難記了,為了解決這個問題,我們推薦你使用密碼管理器。

另一個降低風險的方法是不要將你的管理員賬戶交給其他人使用,除非這非常有必要。如果你的團隊人數較多或者有很多兼職作者,在你添加新用戶和作者前,請確保你已經了解了WordPress中用戶角色和許可權相關的內容。

網路主機的角色

你的網路主機服務商在網站安全性方面扮演著非常重要的角色。一個合格的共享主機提供商,例如BlueHost或者Siteground會採取一定的措施來保護他們的伺服器免受一般的威脅。

但是,在共享主機上,你與許多其他客戶共享伺服器資源。 這可能會導致跨站點污染,黑客可以利用鄰近站點攻擊你的網站。

使用WordPress託管服務可為你的網站提供更安全的平台。 WordPress託管公司會提供自動備份,自動WordPress更新和更高級的安全配置來保護你的網站。

我們推薦使用WPEngine作為首選WordPress託管商,他們也是業內最受歡迎的產品之一。

提高WordPress安全性的簡單方式 (無需代碼)

我們知道提升WordPress安全性對於小白來說無疑是一個大難題,尤其是你還不懂技術的情況下。不過不用擔心,不懂技術的人不止你一個。

我們將為你展示如何僅用滑鼠點幾下就可以提升網站的安全性(無需代碼)。只要你會使用滑鼠,你就可以做到!

安裝WordPress備份方案

備份是你面對WordPress攻擊時的第一道屏障。記住,沒有什麼是100%安全的,如果連政府的網站都能被攻破,又何況是你的呢?

備份可以讓你在遇到突然狀況時快速回復你的網站,WordPress有許多免費和付費的備份插件。在備份時,你需要知道的最重要的事情是你必須定期將全站備份保存到一個遠程位置(而不是你網站所在的主機)。

我們推薦將備份內容保存在像Amazon,Dropbox這樣的雲盤中,或者像Stash的私有雲。

基於你網站的更新頻率,理想的備份頻率是每天備份或者實時備份。

幸好,備份這個枯燥的工作可以使用VaultPress或者BackupBuddy這樣的插件自動完成。他們都非常可靠,最重要的是使用簡單(不需要代碼)。

最好的WordPress安全插件

備份之後,我們需要做的下一件事是建立一個審計和監控系統,跟蹤網站上發生的一切。這包括文件完整性監控,登錄嘗試失敗,惡意軟體掃描等。

值得慶幸的是,這可以通過最好的免費WordPress安全插件Sucuri Scanner來完成。你需要安裝並啟用Sucuri Security插件,安裝的具體步驟,請參考如何安裝WordPress插件。

啟用後,從管理員後台進入Sucuri的菜單。

首先,你需要去生成一個免費的API key。有了API key後就可以啟用審核日誌記錄,完整性檢查,電子郵件警報和其他重要功能。

下一步,點擊Sucuri菜單的Settings,點擊「Hardening」標籤,然後挨個點擊「Apply Hardening」按鈕。

這些選項可以鎖定黑客在攻擊中經常使用的關鍵區域。 唯一需要付費的是Web應用防火牆,我們將在下一步中解釋,因此暫時跳過它。

對於那些想要在不使用插件的情況下執行這些操作或者其他操作(例如「修改資料庫前綴」或「修改管理員用戶名」)的人,我們也在後面介紹了相關的操作方式。

設置完Hardening部分後,大部分默認設置就都不需要修改了。我們唯一推薦的是對Email Alerts(郵件警告)進行自定義。

默認的報警設置可能會讓你的收件箱接收很多無用的郵件,我們建議設置成只接收重要操作的郵件,例如插件更改,新用戶註冊等。你可以在Sucuri設置中的Alerts選項卡里進行設置。

這個WordPress安全插件非常強大,你可以瀏覽所有選項卡和設置來了解它的全部功能,例如惡意軟體掃描,審核日誌,失敗登錄嘗試跟蹤等。

啟用網路應用防火牆 (WAF)

保護網站並對WordPress安全性充滿信心的最簡單方法是使用網路應用防火牆(WAF)。 防火牆可以在所有惡意流量到達你的網站之前進行阻止。

Sucuri是我們在WordPress上推薦的最好的網路應用防火牆。

Sucuri防火牆最好的地方是它還自帶惡意軟體清理和黑名單軟體刪除的功能。基本上只要在軟體的監控下你的網站被入侵了,他們保證可以將你的網站修復(無論你有多少頁面)。

這是個非常強有力的保障,因為修復被入侵的網站非常貴,安全專家每小時的收費通常在250美金,而你只需要每年花199美金就可以或得完整的Sucuri安全軟體包。

Sucuri當然不是唯一的防火牆提供商,另一款比較流行的競品是CloudFlare.

DIY用戶的WordPress安全性

如果上面提到的操作你都做了,那麼你的網站應該很安全了。但是,你仍然可以從很多方面來加強網站的安全性。其中一些步驟可能需要編碼知識。

修改默認的用戶名「admin」

在以前的老版本中,WordPress管理員的默認用戶名是「admin」。因為知道了用戶名的話,那就相當於知道了1/2的登錄憑據,這也使得黑客進行暴力攻擊變的更加容易。

值得慶幸的是,在近幾年的WordPress版本安裝時,WordPress會要求你自己設置一個自定義的用戶名。

然而,一些WordPress一鍵安裝包任然將默認的管理員用戶名設置為「admin」。如果你注意到了這種情況,可能你該考慮換一家主機服務商了。

由於WordPress默認是不允許你修改用戶名的,所以這裡我們給出三種讓你可以修改用戶名的方法。

  1. 創建一個新管理員用戶名,然後把之前的那個刪除。
  2. 使用Username Changer插件。
  3. 從phpMyAdmin修改用戶名。

我們有個詳細的教程教你如何修改WordPress管理員用戶名。

注意:我們在討論的是叫「admin」的用戶名,不是管理員角色。

禁用文件編輯

WordPress自帶一個代碼編輯器,你可以很方便的在管理員後台界面就可以對主題或者插件的文件進行編輯。但是如果使用不當的話,這個功能也是存在安全風險的,所以我們建議關閉該功能。

你可以在wp-config.php文件中添加如下代碼來關閉此功能。

// Disallow file edit

define(DISALLOW_FILE_EDIT, true );

或者,你也可以在上面提到的免費Sucuri插件中,點擊Hardening功能中的相關條目來一鍵關閉。

對特定的WordPress目錄禁用PHP文件執行

另一個可以加強WordPress安全性的方法是對那些不必要的目錄(例如:/wp-content/uploads/)禁用PHP文件執行。

打開文本編輯器,將下面的代碼拷貝進去:

<Files *.php>

deny from all

</Files>

然後,將文件保存並命名為 .htaccess ,使用FTP客戶端將文件上傳至 /wp-content/uploads/。

當然,你也可以在上面提到的免費Sucuri插件中,點擊Hardening功能中的相關條目來一鍵關閉。

更詳細的說明,請查看如何對特定的WordPress目錄禁用PHP文件執行。

限制登錄嘗試

WordPress默認是允許用戶無限制的不斷嘗試登錄,但是這讓你的網站面臨被暴力破解的風險。黑客會試圖通過不同的組合來破解密碼並登錄你的網站。

這個問題可以通過限制用戶登錄失敗的次數來修復。如果你正在使用上面提到的網路應用防火牆,那麼它已經自動開啟了該功能。

如果你沒有設置防火牆的話,按照下面的步驟也是可以的。

首先,安裝並啟用Login LockDown插件。插件安裝的具體步驟請參考如何安裝WordPress插件。

啟用後,前往 「設置」 – 「Login LockDown」去進行插件的設置。

詳細的操作步驟,請查看如何以及為什麼你應該限制WordPress登錄嘗試。

修改WordPress數據表前綴

默認情況下, WordPress資料庫中的數據表都是使用 wp_ 作為前綴的。如果你的資料庫使用默認的前綴,那麼黑客就很容易猜到你的數據表名,所以我們推薦修改前綴。

你可以按照這篇《如何修改WordPress資料庫前綴來提升安全性》的文章進行修改。

注意:如果處理不好的話,你的網站會整個都掛掉。除非你對自己編程技術有信息,否則不要修改。

用密碼保護WordPress管理員和登錄頁面

正常情況下,黑客可以不受限制的請求你的 wp-admin文件夾和登錄頁面,這也給了黑客機會去嘗試他們的各種黑客技巧已經運行DDoS攻擊。

你可以在伺服器端添加額外的密碼保護,這可以高效的拒絕這類的請求。

可以按照這篇教程來學習如何使用密碼來保護WordPress管理員(wp-admin)目錄。

禁用目錄索引和瀏覽

黑客可以使用目錄瀏覽來查看是否有任何已知漏洞的文件,這樣他們可以利用這些文件來獲取訪問許可權。

目錄瀏覽還可以被其他人用來查看你的文件,複製圖片,查看你的目錄結構以及其他信息。所以我們高度推薦你關閉目錄索引和瀏覽。

使用FTP或者cPanel的文件管理器連接到你的網站,然後找到網站根目錄下的.htaccess文件。如果你看不到該文件,可以了解一下為什麼你無法看到WordPress中的.htaccess文件。

然後,將下面的代碼添加到 .htaccess文件中。

Options -Indexes

最後別忘了將文件保存並上傳到原來位置。關於這個話題更詳細的內容,請閱讀如何在WordPress中禁用目錄瀏覽。

禁用WordPress的XML-RPC

從WordPress 3.5開始,XML-RPC是默認啟用的,因為它可以幫你將WordPress網站連接到網路應用或者手機應用。

然而由於其強大的特性,XML-RPC會明顯的提升暴力攻擊的成功率。

舉個例子,以前如果一個黑客想嘗試500種不同的密碼登錄你的網站,那他們需要進行500次的登錄嘗試,但這回被Login LockDown插件察覺並進行阻攔。

但是使用XML-RPC,黑客可以使用 system.multicall 函數在20或50個請求中就進行上千次的密碼嘗試。

所以如果你用不到XML-RPC的話,我們建議你禁用它。

有三種可以禁用XML-RPC的辦法,我們已經在《如何禁用WordPress的XML-RPC》中都提到了。

提示:.htaccess是最好的方法,因為它使用最少的資源。

如果你正在使用前面提到的網路應用防火牆,那麼防火牆就可以處理這個問題。

自動註銷空閑用戶

已登錄的用戶有時候需要離開電腦前一會,這暴露出一個安全隱患。有人會黑進他們的session,修改密碼,或者修改他們的賬戶。

所以這也是為什麼許多銀行和財務類網站會自動註銷不活動的用戶。你也可以在WordPress網站上實現類似的功能。

你需要安裝並啟用Idle User Logout插件。啟用後,前往「設置」 – 「Idle User Logout」頁面對插件進行設置。

只需要設置一下時間並取消選擇「Disable in WP Admin」選項(為了更安全)就可以了。最後別忘了點擊「保存更改」。

更詳細的教程,參見WordPress中如何自動註銷不活動的用戶。

為WordPress登錄添加安全問題

向WordPress登錄頁面添加安全問題,可以使一些人更難以獲得未經授權的訪問。

你可以通過安裝 WP Security Questions 插件來添加安全問題。啟用插件後,前往「WP Security Questions」 – 「Plugin Settings」頁面對插件進行設置。

更多詳細的教程,請查看如何給WordPress登錄頁添加安全問題。

修復被黑的WordPress網站

許多WordPress用戶在他們的網站被黑之前都沒有意識到備份和網站安全性的重要。

清理一個網站是非常有難度的並且也會耗費大量的時間。我們首選的建議是讓網路安全專家來處理。

黑客會在被感染的網站上植入後門,如果這些後門沒有被完全修復,那麼你的網站很有可能會被再次黑掉。

請專業的安全公司,例如Sucuri,來修復你的網站可以確保網站在以後的使用中是安全的,同時也會對未來的攻擊進行防禦。

對於DIY用戶,我們推薦這篇如何修復被黑的WordPress網站。

以上就是這篇指南全部的內容了,希望這篇文章可以讓你了解到關於WordPress安全性方面的內容,同時也能為自己的網站找到最佳的安全插件。


推薦閱讀:

TAG:WordPress |