最近更新 | 关注微信 | 手机版

网站首页 > 网站 > 建站经验 正文

提高WordPress网站安全性的方法,详细步骤教程分享!

新知创业网 2022-09-09 建站经验

每次推荐别人做外贸独立站的时候,我都会说独立站唯一的缺点是没有流量,完全得靠推广。但其实,独立站在安全方面对比亚马逊等大平台,也还是有所欠缺。

根据Sucuri的报告显示, WordPress是全球黑客入侵最严重的CMS平台。相信很多人在建站的时候也会有感觉,觉得独立站不安全,容易被黑。当然也会有很多人觉得我一个小小的独立站,又不是大麦,别人干嘛黑我。

怎么说呢,现在的黑客技术都基本已经全自动了,所以管你大站小站,先撸一遍再说。这个时候,提高我们网站的安全性就尤其重要。

本文将以wordpress为例,为大家详细介绍提升独立站安全性的方法。

一、基础安全配置

1.用靠谱的服务器

虽然服务器安全不代表网站就安全,但是服务器不安全,网站就一定危险!

好的服务器会通过持续监管、自动备份等手段来预防和抵御攻击。

一般一个好的服务商会有以下安全服务:

持续监管网络中的各种可疑行为;

频繁及时的查看和修补安全漏洞;

自动备份数据;

自动更新WordPress;

......

所以,在建站的时候,选择一个优秀可靠的建站服务器,是保护我们网站安全的第一步。


2.选择安全的主题和插件

我们都会为我们的独立站选一个好看的主题,然后配很多的功能插件。

这也就意味着,黑客可以利用的安全漏洞基数就变大了。

一个不好的插件,可能会造成隐私的泄露或者给黑客提供多一种的攻击路径。

所以在选择主题和插件的时候,一定要选择安全性能好的、完备的主题和插件。

尽量避免安装到重复的功能,减少插件数量。

这样在一定程度上就减少了网站的风险。

具体的操作方法可以是,在安装主题和插件之前,验证它们的真实性,并进行测试。


3.及时更新主程序和插件

其实,99%的独立站被攻击,都是因为更新不及时。

WordPress是一个开源软件,会定期维护和更新。基本上每个月都会有一次。

插件们也会经常更新。

WordPress更新对网站的安全性和稳定性至关重要。

因为无论是WordPress开发团队还是第三方插件和主题的开发者,他们都会在新版本中修复bug和安全漏洞。

所以我们需要确保WordPress本身、插件和主题是最新的。

默认情况下,WordPress会自动安装次要更新。

不过主要版本,我们需要手动启动更新。

同时,插件和主题的更新,也需要我们手动完成。


4. 独特的密码和用户权限

① 独特的密码

黑客攻击最常见的方式,是识图破解你的用户名和网站密码。

这也是为什么现在很多平台我们在设置密码的时候,都会要求我们不能只使用单一的数字或字母。

就是因为越简单的用户名和密码,被破解的可能性就越高。

在WordPress中也一样,为了避免因为账号密码过于简单而被破解,我们必须设置独特的用户名和密码。

不过由于在建站的过程中,我们需要频繁的登录后台,所以在一开始,我们可以把用户名和密码设置得相对简单一点。

然后等建完之后,再更换为难一点的独特的密码。

并且在之后的运营过程中,我们可以时不时的就更换一下密码。

增加安全性。


② 独特的用户权限

通常我们一个独立站,会有几个人来管理。

这个时候,我们就需要为每一个人开通管理账户。

这样也会增加网站的风险。

解决的办法是,为每一个人分工,开通不同权限的子账户。

并尽可能的授予他们最低的权限。

常用的管理角色有:

作者(编写、管理、发布自己的文章)

编辑(编写文章,管理和发布所有人的文章)

小管理(安装插件)

主账户(配置 WordPress 或安装插件)

注意:主管理的角色只能有一个人!


5.自动注销闲置用户

自动注销闲置用户这个行为,在银行和金融网站最常见。

因为有的用户在登录账号之后就不管了,一直挂在那里。

不会点击退出登录。

这就给了坏人可乘之机。

别人可以劫持他们的会话,更改密码或者对账户进行修改。

所以自动注销闲置用户就很有必要。

为WordPress网站添加自动注销闲置用户功能的办法很简单:

安装Inactive Logout插件。

下载地址:https://wordpress.org/plugins/inactive-logout/

安装之后,访问设置为“非活跃登出页面配置”,然后设置非活跃时间长短(比如超过1天没有操作,即视为非活跃用户)和添加注销信息即可。


二、安全插件及协议

1.WordPress备份插件

备份,是保护独立站安全的最强大后盾。

因为假如我们的网站遭受了攻击,备份文件可以使我们迅速恢复网站。

就相当于是我们的底牌了。

备份的插件有很多,这里给大家推荐两个常用的:

① BackWPup(付费)

下载量超高,在网站后台有独立的应用程序,主打快速恢复网站。

有中文版。

下载地址:https://wordpress.org/plugins/backwpup/


② UpdraftPlus(有免费版和付费版)

支持定期备份和按需备份功能。

可以进行完整备份,并将备份文件储存在云端或者可以直接下载到电脑上。

付费版还包括网站迁移、网站克隆、数据库检索、数据库替换、多站点支持以及其他功能。

下载地址:https://updraftplus.com/

需要注意的是:

我们必须定期进行全站备份;

备份文件不能和网站放在一起,要保存在其他安全的位置;

结合网站更新频率来调整备份频率。


2.WordPress安全插件

① 安全插件的作用

安全插件可以帮助我们抵御未授权的登录以及修改文件操作。

同时,安全插件还可以扫描WordPress可执行文件(如php文件),检查这些文件是否被黑客加入其它可疑代码。

当有人登录我们的网站时,安全插件还会记录下它们的登录时间以及IP地址等信息,以邮件的形式发给我们。


② 常用的安全插件

WordFence(有免费版和付费版)

WordPress使用最广泛的安全插件。

有防火墙、安全扫描、2FA、限速、登录防爆破等功能。

下载地址:https://www.wordfence.com/


Sucuri Security(部分功能收费)

提供网站活动审核、文件监控、恶意软件扫描、安全通知、Web应用程序防火墙(需付费)等功能。

下载地址:https://sucuri.net/


Login LockDown

针对后台登录保护的插件。

可以限制登录尝试次数,防止网站因为黑客多次尝试而进入网站。

下载地址:https://wordpress.org/plugins/login-lockdown/

不过有的人会觉得插件越少,网站才越安全。

认为安装安全插件也会在一定程度上增加风险。

这个就大家自己抉择吧。


3.SSL协议

SSL是一种安全套接层协议,是Web浏览器与Web服务器之间安全交换信息的协议。

它提供两个基本的安全服务:鉴别与保密。

SSL协议具有三个特性,分别是:

① 保密:在握手协议中定义了会话密钥后,所有的消息都被加密;

② 鉴别:可选的客户端认证,和强制的服务器端认证;

③ 完整性:传送的消息包括消息完整性检查(使用MAC)。

简单来说就是,SSL协议可以加密网站和用户浏览器之间的数据传输。

使想要窃取网站信息变得更困难。

这里给大家推荐一个非营利组织:Let's Encrypt

它为网站所有者提供免费的SSL证书。

获得了包括Google Chrome、Facebook、Mozilla在内的很多公司支持。

地址:https://letsencrypt.org/

点击开始之后,该网站会有一个很详细的获取免费证书的教程。

并且还有中文版。

所以大家按提示获取即可。

此外,许多服务托管公司也可以为WordPress网站提供免费的SSL证书。


三、安全代码

1.禁用文件编辑功能

WordPress自带了一个内置的代码编辑器,用来编辑我们的主题和插件文件。

如果使用不当的话,就很容易变成安全风险口。

所以这个功能我们最好还是关闭。

关闭方法:

在wp-config.php文件中任何位置添加以下代码

define( ′DISALLOW_FILE_EDIT′,true );


2. 禁用PHP文件的执行

PHP(Hypertext Preprocessor),超文本预处理器,是一种在服务器端执行的嵌入HTML文档的脚本语言。

默认情况下,WordPress中某些目录是可以写入的。

这样我们网站上的其他授权用户就可以轻松地将主题、插件、图片和视频上传到网站。

然而这个功能很可能会被他人滥用,比如黑客可以利用它上传后门访问文件或恶意软件到您的网站。

这些恶意文件通常被伪装成WordPress的核心文件。

它们大多是用PHP编写的,可以在后台运行,以盗取或者破坏我们的网站。

因此,我们需要在某些目录中禁止执行PHP文件。

禁用方法:

比如我们要禁用/wp-content/uploads/目录中的PHP文件执行。

首先需要打开记事本,然后贴入以下代码。

<Files *.php>

deny from all

</Files>

然后将这个记事本文件保存为.htaccess。

最后使用FTP将其上传到网站上的/wp-content/uploads/文件夹即可。


3.更改数据库前缀

数据库一般是黑客最喜欢侵入的区域,因为这里储存着网站的所有信息。

所以需要我们重点防护。

而一般的数据库都会有默认的前缀,让我们或者黑客一眼看就知道这个是数据文件。

所以我们就要改掉数据库的前缀,这样就增加了隐蔽性。

相当于把数据库藏起来了。

默认情况下,WordPress数据库中所有表单的前缀都是wp_ 。

修改办法:

① 打开位于WordPress根目录下的wp-config.php文件。

输入代码 “$table_prefix = 'wp_a123123_';”

把表前缀从wp_改成像这样的wp_a123123_。

② 进入网站数据库,修改数据库表名,执行如下SQL。

RENAME table `wp_commentmeta` TO `wp_a123123_commentmeta`;

RENAME table `wp_comments` TO `wp_a123123_comments`;

RENAME table `wp_links` TO `wp_a123123_links`;

RENAME table `wp_options` TO `wp_a123123_options`;

RENAME table `wp_postmeta` TO `wp_a123123_postmeta`;

RENAME table `wp_posts` TO `wp_a123123_posts`;

RENAME table `wp_terms` TO `wp_a123123_terms`;

RENAME table `wp_termmeta` TO `wp_a123123_termmeta`;

RENAME table `wp_term_relationships` TO `wp_a123123_term_relationships`;

RENAME table `wp_term_taxonomy` TO `wp_a123123_term_taxonomy`;

RENAME table `wp_usermeta` TO `wp_a123123_usermeta`;

RENAME table `wp_users` TO `wp_a123123_users`;

③ 搜索options表中任何其他使用wp_作为前缀的字段,并替换成我们的新前缀。

SELECT * FROM `wp_a123123_options` WHERE `option_name` LIKE '%wp_%';

④ 搜索usermeta表中任何其他使用wp_作为前缀的字段,并替换成我们的新前缀。

SELECT * FROM `wp_a123123_usermeta` WHERE `meta_key` LIKE '%wp_%';

注意:修改之前一定要备份!!!


4.设置密码保护

为WordPress管理和登录页面设置密码保护,可以有效阻止DDoS攻击和黑客的一些别的尝试。

如何设置密码:

① 创建一个.htpasswds文件。

把这个文件上传到/public_html/目录外。

例如 home/user/.htpasswds/public_html/wp-admin/passwd/

② 创建一个.htaccess文件。

并上传到/wp-admin/目录下。

③ 在.htaccess文件中添加以下代码。

AuthName "Admins Only"

AuthUserFile

/home/yourdirectory/.htpasswds/public_html/wp-admin/passwd

AuthGroupFile /dev/null

AuthType basic

require user putyourusernamehere

④ 更新用户名,更新AuthUserFile路径。


5.禁用目录索引和浏览

目录,是一个导览的作用。

我们可以用目录来快速的查看和浏览指定文件。

那么同样的,黑客也可以。

通过我们的目录,黑客可以查看我们的文件,复制我们的图片,还能看我们的文件有没有漏洞。

所以,我们一定要禁用目录的索引和浏览。

① 使用FTP或cPanel的文件管理器连接到网站。

② 在网站的根目录中找到.htaccess文件。

在.htaccess文件的最后添加“Options -Indexes" 代码。

③ 保存并上传.htaccess文件到网站。


6.禁用XML-RPC

XML-RPC是工作在Internet上的远程过程调用协议。

它有助于将我们的独立站与Web和移动应用程序连接起来,所以在WordPress 3.5以上版本中被默认启用。

由于其本身强大的特性,所以当受到黑客攻击时,它会将黑客的攻击力放大。

也就是说,使用XML-RPC,会给我们带来好处,但是同样也会增加风险。

所以需要大家自己抉择是否使用。

如果不使用XML-RPC的话,我们需要将它的默认启用改为禁用。

更改办法:

在网站public_html目录下的.htaccess文件添加以下代码就能禁用此功能。

# Block WordPress xmlrpc.php requests

<Files xmlrpc.php>

order deny,allow

allow from 123.123.123.123


7.限制 MySQL 连接地址

MySQL,关系型数据管理系统。

大多数受管理的Web主机默认情况下,都会确保MySQL 数据库拒绝来自外部的人员和系统连接到本地服务器。

但一些使用专用服务器的主机,就需要我们自行设置限制MySQL 连接地址。

限制方法:

将代码“bind-address = 127.0.0.1"添加到MySQL my.cnf 配置文件的 [mysqld] 部分。


8.隐藏 WordPress 版本号

这个设置是用来为我们没有及时更新而保险的。

因为有些版本的WordPress,存在已知的漏洞。

这就意味着,别人一看你用的版本,就知道该用什么方法攻击你。

所以隐藏版本号,就很有必要。

隐藏办法:

在主题的functions.php 文件中,添加代码“remove_action('wp_head', 'wp_generator');" 即可。


四、总结

其实WordPress本身安全性并不低的,大家也不用太过担心。

介绍了这么多的提高网站安全性的东西,更多的是希望大家有这个意识,提高警惕。

不过,及时更新和网站备份是一定一定要做的事!

而且,所有需要登录名和密码的地方,一定要使用不同的账号密码。

还要有意识的隔一段时间就更改一次。

毕竟选品和推广就已经是让很多跨境电商人每天头疼的事了。

领福利淘宝天猫优惠券 | 京东优惠券 | 拼多多优惠券 | 特价酒店门票 | 天猫超市优惠券 | 天猫国际优惠券 | 聚划算补贴入口



声明:本文内容由互联网用户自发贡献,该文观点仅代表原作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如有侵权违规、虚假错误信息或任何问题,请发送邮件至 812412322@qq.com 处理,一经查实,本站将立刻删除。



关于本站
新知创业网是一个专业为创业者提供学习交流的创业网站,分享各大电商平台网店运营经验知识,直播带货技巧,短视频运营,自媒体运营,小程序和网站建设技术教程,互联网与实体店创业项目等综合知识库,助力广大卖家和站长创业成功!
手机版
最新文章
热门栏目
跨境电商 直播电商 特色市场
淘宝开店 淘宝运营 淘宝经验
天猫 京东 拼多多
抖音 快手 小红书
自媒体 网站 互联网
微商微店 小程序 IT技术
公司起名 品牌起名 店铺起名
创业栏目
创业报道 创业故事 创业开店
创业经验 创业机会 创业计划
创业知识 小本创业 农村创业
大学创业 女性创业 大众创业
产品运营 销售技巧 品牌营销
商业模式 商务方案 营销策划
投资融资 股权分配 企业管理