- 网页设计
- WordPress教程
- 免费的东西
- 插件
- 更多的
你是经营一个WordPress博客还是一个多站点? 它对网络欺诈的保护有多好? 虽然WordPress被认为是世界上最安全,最值得信赖的内容管理系统之一, 还有超过 每天有3万个网站被黑.
我打赌你不想成为他们中的一员. 未雨绸缪. So, 为了保证您网站上的每一个内容都受到保护,并且每次登录尝试都在控制之下, 我们决定写这篇文章,包含最终的解释, 指令, 还有一份工具清单,可以消除任何 WordPress主题 安全风险.
目录:
什么是WordPress安全
WordPress安全是一个持续的过程,应该由站点管理员特别小心地管理. 谈到安全, 我们建议如何很好地保护它免受任何类型的风险,一个人可以在网上面临. 你的网站在黑客攻击或垃圾邮件面前有多脆弱? 为了保证你的WordPress博客或网站是100%的安全, 您需要实现适当的安全控制,以便将受影响的风险降至最低.
WordPress安全的主要元素是什么? 我们可以强调三个核心领域——技术, 人, 并将安全解决方案的实施过程转化为一个web项目. 每一个都对你的博客的安全同样重要. 跳跃前进, 最重要的建议是,当您实现一项新技术并向新用户提供访问站点安全性的权限时,要非常小心.
在WordPress CMS的基础上建立一个博客或网站, 需要做的第一个也是最重要的决定是为你的网站选择合适的主机. 有一系列可用的选项. 托管提供商的选择也在快速增长. 有一系列的托管服务提供商专门从事 WordPress托管 具体地说. 我们回顾并比较了之前的文章.
是否选择共享, VPS, 专用或托管的web主机, 建议您深入了解它们的技术规格. 不同的主机用于不同的目的, 提供不同的存储空间, 附加服务, 安全, 定价计划.
WordPress安全风险
凡事都有两面性. WordPress是受欢迎的定期系统更新, 每一个都为站点管理员提供了一堆新的很酷的功能. 通常来说, 每次连续更新提供增强的功能和错误修复的意图,以保持您的网站安全.
你需要记住的第一件也是最重要的事情是你的 WordPress的安装 下载网址: WordPress.org 只有. 这是唯一的官方资源,提供最新版本的内容管理系统和发布更新(每个更新都是由于详细检查)。.
你的WordPress网站最脆弱的部分是 扩展 你安装它来增强它的能量. 你在网站上安装的主题和插件经常被网络罪犯和黑客利用. 这种情况是,WordPress网站的工具和模板的开发人员并不是安全专家,他们可能会无意中使用易受攻击的代码编写他们的数字产品. 为了防止被黑客入侵的风险, 主题和插件开发者为他们的产品发布更新. So, 如果你注意到你要添加到你的WordPress网站的扩展不再支持或与最新的WordPress版本不兼容, 那么你最好谨慎行事,寻找一个更安全的选择.
你的 WordPress web服务器 而且上面的软件也有风险. 你需要注意的漏洞主要取决于你为你的网站选择了什么类型的WordPress web服务器. 如果你选择 成功举办, 然后,你只需要从网络主机提供商那里定期更新,并及时安装到你的主机上. 如果你使用共享的虚拟主机服务, 然后做好准备,你的网站更容易面临风险. 这种情况是,在共享的网络主机上,你与其他可能被黑客攻击的网络资源共享空间. 如果有任何共享主机空间的网站被黑了, 那么你自己网站的IP地址可能会被spa名单列入黑名单. 如果你发现你面临着任何形式的邮件投递问题, 然后最好借助黑名单查找工具(如 MxToolBox or 域运行状况检查).
您是否在同一台服务器上运行多个博客? 聪明地玩,把他们留在里面 不同的数据库,每一个都由不同的用户管理. 这最好在初始WordPress安装中实现. 否则, 如果一个骗子黑了你的博客, 这将是几乎不可能改变你的其他在线项目.
简单的技巧来保护你的WordPress网站
你可能会认为你的博客没有什么特别的,黑客们会更好地把时间和精力节省到网络上的其他地方. 然而,事实并非如此! 大多数网站泄露事件的发生并不是因为有人想窃取你的数据. 你的服务器对骗子来说是最有价值的. 在现代网络中,可以用作垃圾邮件中继的Web服务器并不少见. 当然,也有骗子和竞争对手想办法损害你的生意. 无论如何,你需要保护你的网站免受骗子和黑客的攻击. 下面列出的技巧将帮助您保持您的网站在安全线上.
你的网站使用 HTTPS协议? 如果您还在使用HTTP, 你面临着失去大量客户的风险, 同时还要面对更高的黑客攻击风险. 如果你照顾你的客户的在线安全,并希望确保他们与你分享的一切将是100%的自信和保护, 那么HTTPS协议就是保证他们在线隐私的可靠方法. 此外,HTTPS网站在搜索引擎中的排名更高. 这些都可以获得更多的SEO好处. 流行的网络浏览器会在不使用HTTPS协议的网站上发出警告. 你不希望这种情况发生在你的网站上吗? 切换到HTTPS并考虑以下WordPress安全技巧.
1. 保护登录页面安全
每个人都知道如何访问任何WordPress网站的传统登录页面. 为了防止暴力攻击,请考虑替换 / wp-login.php or / wp-admin 使用只有您的团队成员才知道的自定义URL.
相反,你可以使用类似的语句 / my_new_login or / my_new_registration.
另外, 安装包含登录失败锁定功能的WordPress安全插件. 本指南中列出了几个最流行和最可靠的解决方案. 作为站点管理员, 您可以指定应该锁定的失败登录尝试次数或不允许登录您的站点的登录页面的IP范围.
2. 使用双因素身份验证
这是另一种很好的安全措施,它由用户需要管理的两个组件组成,以便访问站点的备份. 站点管理员可以自行决定这两个选项. 例如, 这可以是传统的登录和密码请求, 这是一个秘密的问题吗.
P.S. 在下面的列表中提供了一个免费的2因素认证WP插件.
3. 保持软件更新
这似乎很明显. 不过,请确保您在网站上使用的是最新版本的软件. 这涉及到你使用的WordPress版本和你额外安装的主题或扩展. WordPress经常发布bug修复和系统更新. 这样做的目的是保护您的站点免受黑客利用已经修复的漏洞. 如果您不更新您的软件, 主题, 扩展或其他, 你会自动使你的网站更容易受到攻击,并增加被黑客攻击的风险.
4. 保护你的密码
一个与你的用户名重复或听起来与电子邮件地址相似的弱密码会增加黑客攻击成功的风险. 为了防止这种情况, 使用更复杂的密码,包括小写字母和大写字母, 数字, 和特殊字符. 不要写得太短. 选择包含10个以上符号的密码.
5. 使用SSL加密数据
安全套接字层是最行之有效的方法之一,以保护您的网站的管理面板. 多亏了SSL, 您可以对用户的web浏览器和web服务器之间的安全数据传输感到自信, 让黑客无法获取你的信息.
当您决定为您的站点获取SSL证书时,应该不会有任何困难. 通常来说, 大多数可靠的托管提供商都将其包含在网站管理员在订阅后将收到的功能列表中.
另外, 受SSL证书保护的网站在搜索引擎中的排名要高于没有SSL证书保护的网站. 谷歌优先考虑更安全的在线项目, 这样就增加了你的网站获得稳定流量的机会.
6. WP-admin目录保护
这是你网站的核心. 这是黑客渴望进入的另一个易受攻击的地方. 为了保护它不被破坏, 强烈建议使用密码保护您的wp-admin目录. 以这样的方式, 一个网站管理员将被要求提交2个密码时,他需要访问您的网站的后端. 其中之一是登录页面的密码, 而第二个是负责您的网站的管理面板.
7. 合理设置用户角色
如果你经营一个多作者的博客, 然后你需要指定什么样的内容不同的用户将能够访问和管理一旦他们进入你的网站的管理面板. 你可以使用免费的WordPress插件来实现这个目的. 下面列出了一些最有用的建议. 这将帮助您指定站点上的用户角色,并限制对易受攻击数据的访问.
作为您网站的管理员, 您需要重命名管理员用户名的方式,是不那么容易让黑客猜到,当他们试图访问您的网站的管理面板
8. 定期备份你的网站
你可以运行最安全的网站,有两步授权和大量的安全插件,用于各种目的. 然而, 你永远不知道你的网络资源明天会面临什么样的风险,或者网络主机会遇到什么样的问题. 无论发生什么,您都需要确信所有数据和站点设置都受到保护. 这就是常规站点备份发挥作用的时候. 即使你的网站崩溃或被骗子攻击, 您总是可以在备份的帮助下恢复它.
9. 不要在错误消息中泄露机密信息
在站点上使用错误消息对可用性和用户友好性都有好处. 然而, 当您在站点上显示错误消息时, 确保您不会泄露诸如API密钥之类的秘密数据, 数据库密码之类的. 也不显示完整的异常细节吗. 对错误细节保密,只显示访问者应该知道的那些数据. 这将帮助你的WordPress更能抵抗SQL注入.
10. 保密你当前的WordPress版本号
不帮助黑客攻击你吗! 如果他们知道驱动你网站的软件的确切版本, 他们将能够为您的网络项目量身定制完美的攻击. 为了防止这种情况发生, 使用我们下面介绍的免费WordPress安全插件隐藏你的WordPress版本. 万一你的网站被黑了,用Sucuri吧. 它的链接也在下面的列表中!
免费WordPress安全插件
WordPress安全插件审查的时间到了. 有成千上万的 安全插件 在wordpress上可用.org. 我们精心挑选了15个最受欢迎的解决方案,这些解决方案受到数百万WordPress用户的信任,可以保护您在线形象的不同方面. 让我们开始吧.
喷气背包
喷气背包是一个全能的WordPress插件. 在它的帮助下,你可以为你的网站创建一个独特的设计,像专业人士一样推广和保护它. 所有的核心功能都包含在该软件的免费版本中. 这些是100+免费主题,懒惰加载图像,暴力攻击保护,统计 & 相关内容,自动社交媒体发布和电子邮件支持. 如果你需要更多的功能,那么你可以选择高级版.
喷气背包不仅仅是一个好的WordPress安全插件. 有许多伟大的恶意软件保护工具在其包内. 然而,它也包括免费的WordPress主题,可以定制无代码. 有一系列的在线营销工具用于后期调度.
特性:
- 各种网站的数百个主题;
- 无限高速的内容分发网络;
- 延迟图像加载;
- 与所有主要的WordPress应用程序集成;
- 衡量、推广和盈利网站的工具;
- 垃圾邮件过滤;
- 实时备份;
- 恶意软件和代码扫描;
- 安全登录与20因素的身份验证,以及更多.
价格:免费; 保费计划s start at $39 yearly
Wordfence
Wordfence是最流行的WordPress安全插件之一,拥有超过200万的活跃安装量. 这是一个开源的解决方案,包括大量的可靠功能来扫描和保护您的WordPress网站免受任何类型的恶意软件攻击. 由于WordPress防火墙和安全扫描程序,没有一个恶意IP地址不会被发现.
特性:
- 实时流量监控访问和黑客企图,没有显示在其他分析平台的实时.
- 评论垃圾邮件过滤器可在免费和高级版本的插件.
- 扫描文件内容、帖子和评论,以检查网站的内容安全性.
- 检查您的网站,并提醒任何问题.
- 修复文件并用原始版本覆盖它们.
- 检查您的网站或IP地址是否已被列入任何类型的恶意活动的黑名单.
价格:免费; 保费计划s start at $29.每年86
MalCare
MalCare是一个功能强大的安全插件. 它的免费版本提供了两个基本选项. 首先,您将获得防火墙保护. 除此之外,它有一个先进的恶意软件扫描器. 由于动态算法,很容易发现复杂的恶意软件. 整个过程在专用服务器上进行. 即使是免费版本也遵循同样的路径!
关于它的付费版本该怎么说呢? 它提供了一组广泛的安全特性. 您还将获得即时恶意软件删除功能. 用户可以通过三个步骤自由地清理自己的网站. 它减少了周转时间, 从而降低谷歌黑名单或网络主机暂停的风险.
特点:
- 不影响服务器或网站性能的离线扫描过程;
- 无限制的按需扫描和清理,无需额外费用;
- 一个基于云的防火墙,保护您的网站免受暴力攻击24/7;
- 完整的管理模块,允许管理几个在线项目从一个单一的仪表板;
- 免费的乐器,包括一个内置的舞台, 网站硬化, geo-blocking, 表演。, 以及正常运行时间监控.
MalCare拥有五星级的全天候客户支持. 高级版的起价为每年99美元. 他们还提供免费试用,让所有选项都可用.
限制登录次数
顾名思义, 使用这个插件, 您可以通过正常的登录和验证cookie来限制登录站点的尝试次数. 默认设置是允许用户无限次登录网站. 这使得破解现有用户密码变得非常容易. 这个插件将使骗子更难以入侵你的网站,同时阻止错误登录尝试到你的WordPress项目的仪表板的数量.
特性:
- 限制登录时重试尝试的次数(对于每个IP);
- 以同样的方式限制使用验证cookie登录的尝试次数;
- 通知用户登录页面上的剩余重试或锁定时间;
- 可选日志记录,可选邮件通知;
- 处理反向代理后面的服务器.
价格:免费
iThemes安全
在您的网站上安装这个插件, 你将获得30多种方法来保护你的WordPress网站免受任何类型的在线漏洞. 一旦安装并激活, 您将自动扫描您的站点,以查找可能的攻击和漏洞. 这让你感到安全,所有的内容是100%的保护. 该插件包括免费和专业功能. 如果您需要额外的工具,如双因素身份验证,您可以选择高级工具, 恶意软件扫描调度, 密码过期, 导入/导出设置, 等. iThemes安全支持多站点模式. 它还禁止那些试图闯入其他网站的用户. 自动报告的IP地址,未能登录到您的网站和一大堆其他安全功能集成.
特性:
- 防止暴力攻击,禁止主机和用户有太多的无效登录尝试;
- 扫描您的网站,立即报告存在的漏洞,并在几秒钟内修复它们;
- 禁止麻烦的用户代理,机器人和其他主机;
- 加强服务器安全;
- 为可配置的最小角色的所有帐户强制使用强密码;
- 强制管理页面、页面或帖子使用SSL(在支持服务器上);
- 关闭WordPress管理区域内的文件编辑;
- 检测并阻止对文件系统和数据库的大量攻击. 等.
价格:免费; 保费计划s start at $80 per year
All in One WP Security & 防火墙
使用这个插件可以为你的WordPress站点增加一些额外的安全和防火墙. 这是一个最终的工具,将使您了解和更新您的网站的当前安全级别. 它可以控制在线项目的各个方面, 从登录尝试失败到数据库问题. 无论何时出现问题,站点管理员都会收到自动通知.
特性:
- 用户帐号安全;
- 用户登录安全;
- 用户注册安全;
- 数据库安全;
- 文件系统安全;
- HTACCESS和WP-CONFIG.PHP文件备份 & 恢复;
- 黑名单功能.
价格:免费
Sucuri扫描仪
这个插件对所有WordPress用户都是免费的,但是它包含了一些高级功能. 这是全球公认的WordPress安全插件,它提供了一组支持安全的功能,以补充现有的站点暴露.
特性:
- 安全活动审计
- 文件完整性监控
- 远程恶意软件扫描
- 黑名单监控
- 有效的安全加固
- 黑客入侵后的安全措施
- 安全的通知
- 网站防火墙(高级版)
价格:免费,具有高级功能
ManageWP工人
Worker是一个多站点解决方案,允许您从一个地方管理数十个在线项目. 该插件旨在帮助您自动化工作流程, 这样就能更专注于完成最重要的任务. 这是一个快速的, 安全免费的解决方案,让您从一个地方处理无限数量的网站.
特性:
- 批量操作;
- 工作云备份;
- 安全更新;
- 客户端支持;
- 谷歌分析集成;
- 性能和安全检查;
- 正常运行时间监控;
- 克隆和迁移等.
价格:免费,具有高级功能
Manage Explainer Video from ManageWP on Vimeo.
防弹安全
防弹安全是一个开源软件,负责智能保护您的WordPress网站免受任何类型的漏洞. 它是免费的,但具有高级功能. 它是快速和容易安装与1单击安装向导. 使用这个插件, 您将获得安全登录监控, 先进的前端, 以及后端维护模式, UI换肤器, 等. 顺便说一下,有3种皮肤可供选择.
特性:
- 安装向导自动修复;
- MScan恶意软件扫描程序;
- .htaccess网站安全保护(防火墙);
- 隐藏插件文件夹|Files Cron (HPF);
- 登录安全 & 监控;
- JTC- lite(限定版BPS Pro JTC Anti-Spam|Anti-Hacker)
- 空闲会话注销(ISL)
- 验证Cookie过期(ACE)
- 数据库备份等.
价格:免费,具有高级功能
Cerber安全 & 垃圾邮件
这个插件的目的是保护你的WordPress网站免受暴力攻击. 它限制了登录失败的次数. 当发现可疑活动时,通过立即发送的电子邮件/移动/桌面通知来跟踪用户和入侵者的活动.
特性:
- 限制通过IP地址或整个子网登录时的登录次数.
- 监视通过登录表单、XML-RPC请求或身份验证cookie进行的登录.
- 记录用户、机器人、黑客等可疑活动.
- 带有强大事件过滤器的酷通知.
- 当试图使用不存在或禁止的用户名登录时,立即阻止IP或子网.
- 限制使用匹配REGEX模式的用户名注册或登录.
- 禁用WP REST API或限制访问您自己的安全规则.
价格:免费
WP安全审计日志
该插件为您提供了在您的网站上发生的所有动作的完全控制. 它支持WordPress多站点功能, 它可以让你对WordPress项目上发生的一切进行审计日志. 该工具存储有关用户访问站点时使用的ID地址的显式信息, 用户角色, 他的行为, 等. 实时用户活动监控包括揭示什么是发生在您的网站在这个特定的时刻.
特性:
- 帖子、页面和自定义帖子类型更改;
- 标签和类别的变化;
- 小部件和菜单的变化;
- 用户配置文件更改;
- 用户活动会话;
- WordPress核心和设置的变化;
- WordPress多站点网络变更;
- 插件和主题的变化;
- WordPress数据库更改等.
价格:免费,高级计划的单站点许可证起价为89美元
WordPress备份 & 安全插件
备份和安全插件由博客Vault提供100%的信心,你的WordPress资源完全保护免受任何类型的在线恶意软件. 这要归功于存储在云上的定期备份, 您将能够在需要时访问所有有价值的数据. 该插件还提供WooCommerce备份, 哪一个对数据丰富的web项目特别有用.
特性:
- 自动每日和实时备份
- 365天的备份历史
- 备份到云 & Dropbox
- 自动每日和实时扫描
- 一键清除恶意软件
- 执行主题和插件更新
- 一键式迁移
价格免费,高级计划每年89美元起
用户角色编辑器
使用插件,你可以改变你的网站上的用户角色(管理员除外). 只需单击几下即可添加新角色并自定义其功能. 如果存在未分配给任何用户的角色, 然后你可以简单地把它们去掉. 同一个用户可以同时被赋予多个角色. 还提供多站点支持.
特性:
- 阻止角色所选的管理菜单项.
- 为未登录的访问者、登录的用户、角色隐藏选定的前端菜单项.
- 在“外观”菜单下为角色阻塞选定的小部件.
- 在前端显示所选角色的小部件.
- 为角色阻塞选定的元框(仪表板、帖子、页面、自定义帖子类型).
- “导出/导入”模块等.
价格:免费,高级计划每年29美元起
登录封锁
该插件记录IP地址和所有失败的登录尝试到您的网站的时间. 如果收费记录短时间内同一IP地址范围内发生了一定次数的登录失败, 它会自动禁用来自该范围的所有请求. IP块可以通过管理面板处理. 也可以手动释放特定的IP地址.
特性:
- 网站登录尝试跟踪;
- 登录失败记录;
- IP范围块;
- 手动释放IP地址.
价格:免费
BBQ:阻止不良查询
该插件旨在保护您的网站免受恶意URL请求. 该工具检查所有传入流量以对错误请求进行时钟处理, 从而保证你的WordPress网站的安全.
特性:
- 强大的防火墙安全性;
- 或者核心功能;
- 无需配置;
- 适用于SSL/HTTPS;
- 工作在任何wp能力的服务器;
- .htaccess不需要.
中包含了更多的特性 保费计划.
价格:免费 & 提供专业版
谷歌身份验证
使用这个插件, 您将使用Android/iPhone/黑莓的谷歌身份验证应用程序为WordPress网站添加两步身份验证. 双因素身份验证可以在每个用户的基础上启用(对于站点管理员), 例如).
特性:
- 每用户双因素身份验证;
- 安卓,iPhone和黑莓兼容.
价格:免费
WordPress安全检查表
说了这么多,我们结束吧. WordPress的核心是相当安全的. 但是,您应该随时准备好应对站点可能面临的任何类型的安全问题. 为了在晚上睡个好觉,100%确信你的网站运行正常, 看看下面的清单. 记下它们,或者简单地把这一页收藏起来,这样就不会错过任何事情.
- 限制对有价值和易受攻击的数据的访问. 限制对站点后端的管理访问, 同时也将可能进入点的数量减少到最小.
- 只安装那些你将在你的网站上真正使用的应用程序和扩展. 移除所有不必要的装置.
- 定期备份你的网站. 为了不让你错过任何事情, 使用可信的WordPress安全插件,定期备份你网站的内容. 关于这样做, 您将能够恢复所有元素, 设置, 以及你网站的内容,如果它被破坏或黑客入侵.
- 使用最新版本的WordPress并定期更新其所有元素. 随时关注WordPress社区的最新消息.
- 从可信来源下载主题和插件. 没有得到你的WordPress安装从任何地方除了WordPress.org.
- 监控你的网站和用户的行为.
- 保护登录和管理面板的网站,同时阻止任何形式的可疑活动.
- 明智地选择虚拟主机. 共享虚拟主机可能是最便宜的,但却不是最安全的解决方案.
你同意我们在这篇文章中强调的技巧和建议吗? 你还有什么要补充的吗? 请通过评论分享你对如何避免WordPress安全风险的想法和想法.
读也
10个有效的方法来锁定你的WordPress网站免受黑客攻击
在启动网站时可能会出现什么问题? (免费的电子书)
不要错过这些一直以来的最爱
- 最好的 举办 用于WordPress网站. 点击我们的链接,获得市场上最优惠的价格,82%的折扣. 如果HostPapa没有给你留下深刻的印象,看看其他 选择.
- 网站安装服务 -让您的模板启动和运行在短短6小时内没有麻烦. 没有一分钟是浪费的,工作正在进行.
- 一个会员 -下载无限数量的WordPress主题, 插件, PPT等产品在一个许可范围内. 因为越大越好.
- 现成的网站服务 最终的解决方案是否包含完整的模板安装 & 配置, 内容集成, 实现必备插件, 安全功能和扩展的页面SEO优化. 开发团队将为您完成所有工作.
- 必备的WordPress插件 -获得最重要的插件为您的网站在一个捆绑包. 所有插件将被安装、激活并检查是否正常运行.
- 最好的库存图片的网站 -创造惊人的视觉效果. 你可以访问Depositphotos.Com选择15张无限制主题和大小选择的图片.
- SSL证书创建服务 -获得网站访问者的绝对信任. Comodo证书是最可靠的http协议,确保用户数据安全,免受网络攻击.
- 网站速度优化服务 -增加您的网站的用户体验,并获得更好的谷歌PageSpeed得分.
