网站首页 > 网站 > 建站经验 正文
每次推荐别人做外贸独立站的时候,我都会说独立站唯一的缺点是没有流量,完全得靠推广。但其实,独立站在安全方面对比亚马逊等大平台,也还是有所欠缺。
根据Sucuri的报告显示, WordPress是全球黑客入侵最严重的CMS平台。相信很多人在建站的时候也会有感觉,觉得独立站不安全,容易被黑。当然也会有很多人觉得我一个小小的独立站,又不是大麦,别人干嘛黑我。
怎么说呢,现在的黑客技术都基本已经全自动了,所以管你大站小站,先撸一遍再说。这个时候,提高我们网站的安全性就尤其重要。
本文将以wordpress为例,为大家详细介绍提升独立站安全性的方法。
一、基础安全配置
1.用靠谱的服务器
虽然服务器安全不代表网站就安全,但是服务器不安全,网站就一定危险!
好的服务器会通过持续监管、自动备份等手段来预防和抵御攻击。
一般一个好的服务商会有以下安全服务:
持续监管网络中的各种可疑行为;
频繁及时的查看和修补安全漏洞;
自动备份数据;
自动更新WordPress;
......
所以,在建站的时候,选择一个优秀可靠的建站服务器,是保护我们网站安全的第一步。
2.选择安全的主题和插件
我们都会为我们的独立站选一个好看的主题,然后配很多的功能插件。
这也就意味着,黑客可以利用的安全漏洞基数就变大了。
一个不好的插件,可能会造成隐私的泄露或者给黑客提供多一种的攻击路径。
所以在选择主题和插件的时候,一定要选择安全性能好的、完备的主题和插件。
尽量避免安装到重复的功能,减少插件数量。
这样在一定程度上就减少了网站的风险。
具体的操作方法可以是,在安装主题和插件之前,验证它们的真实性,并进行测试。
3.及时更新主程序和插件
其实,99%的独立站被攻击,都是因为更新不及时。
WordPress是一个开源软件,会定期维护和更新。基本上每个月都会有一次。
插件们也会经常更新。
WordPress更新对网站的安全性和稳定性至关重要。
因为无论是WordPress开发团队还是第三方插件和主题的开发者,他们都会在新版本中修复bug和安全漏洞。
所以我们需要确保WordPress本身、插件和主题是最新的。
默认情况下,WordPress会自动安装次要更新。
不过主要版本,我们需要手动启动更新。
同时,插件和主题的更新,也需要我们手动完成。
4. 独特的密码和用户权限
① 独特的密码
黑客攻击最常见的方式,是识图破解你的用户名和网站密码。
这也是为什么现在很多平台我们在设置密码的时候,都会要求我们不能只使用单一的数字或字母。
就是因为越简单的用户名和密码,被破解的可能性就越高。
在WordPress中也一样,为了避免因为账号密码过于简单而被破解,我们必须设置独特的用户名和密码。
不过由于在建站的过程中,我们需要频繁的登录后台,所以在一开始,我们可以把用户名和密码设置得相对简单一点。
然后等建完之后,再更换为难一点的独特的密码。
并且在之后的运营过程中,我们可以时不时的就更换一下密码。
增加安全性。
② 独特的用户权限
通常我们一个独立站,会有几个人来管理。
这个时候,我们就需要为每一个人开通管理账户。
这样也会增加网站的风险。
解决的办法是,为每一个人分工,开通不同权限的子账户。
并尽可能的授予他们最低的权限。
常用的管理角色有:
作者(编写、管理、发布自己的文章)
编辑(编写文章,管理和发布所有人的文章)
小管理(安装插件)
主账户(配置 WordPress 或安装插件)
注意:主管理的角色只能有一个人!
5.自动注销闲置用户
自动注销闲置用户这个行为,在银行和金融网站最常见。
因为有的用户在登录账号之后就不管了,一直挂在那里。
不会点击退出登录。
这就给了坏人可乘之机。
别人可以劫持他们的会话,更改密码或者对账户进行修改。
所以自动注销闲置用户就很有必要。
为WordPress网站添加自动注销闲置用户功能的办法很简单:
安装Inactive Logout插件。
下载地址:https://wordpress.org/plugins/inactive-logout/
安装之后,访问设置为“非活跃登出页面配置”,然后设置非活跃时间长短(比如超过1天没有操作,即视为非活跃用户)和添加注销信息即可。
二、安全插件及协议
1.WordPress备份插件
备份,是保护独立站安全的最强大后盾。
因为假如我们的网站遭受了攻击,备份文件可以使我们迅速恢复网站。
就相当于是我们的底牌了。
备份的插件有很多,这里给大家推荐两个常用的:
① BackWPup(付费)
下载量超高,在网站后台有独立的应用程序,主打快速恢复网站。
有中文版。
下载地址:https://wordpress.org/plugins/backwpup/
② UpdraftPlus(有免费版和付费版)
支持定期备份和按需备份功能。
可以进行完整备份,并将备份文件储存在云端或者可以直接下载到电脑上。
付费版还包括网站迁移、网站克隆、数据库检索、数据库替换、多站点支持以及其他功能。
下载地址:https://updraftplus.com/
需要注意的是:
我们必须定期进行全站备份;
备份文件不能和网站放在一起,要保存在其他安全的位置;
结合网站更新频率来调整备份频率。
2.WordPress安全插件
① 安全插件的作用
安全插件可以帮助我们抵御未授权的登录以及修改文件操作。
同时,安全插件还可以扫描WordPress可执行文件(如php文件),检查这些文件是否被黑客加入其它可疑代码。
当有人登录我们的网站时,安全插件还会记录下它们的登录时间以及IP地址等信息,以邮件的形式发给我们。
② 常用的安全插件
WordFence(有免费版和付费版)
WordPress使用最广泛的安全插件。
有防火墙、安全扫描、2FA、限速、登录防爆破等功能。
下载地址:https://www.wordfence.com/
Sucuri Security(部分功能收费)
提供网站活动审核、文件监控、恶意软件扫描、安全通知、Web应用程序防火墙(需付费)等功能。
下载地址:https://sucuri.net/
Login LockDown
针对后台登录保护的插件。
可以限制登录尝试次数,防止网站因为黑客多次尝试而进入网站。
下载地址:https://wordpress.org/plugins/login-lockdown/
不过有的人会觉得插件越少,网站才越安全。
认为安装安全插件也会在一定程度上增加风险。
这个就大家自己抉择吧。
3.SSL协议
SSL是一种安全套接层协议,是Web浏览器与Web服务器之间安全交换信息的协议。
它提供两个基本的安全服务:鉴别与保密。
SSL协议具有三个特性,分别是:
① 保密:在握手协议中定义了会话密钥后,所有的消息都被加密;
② 鉴别:可选的客户端认证,和强制的服务器端认证;
③ 完整性:传送的消息包括消息完整性检查(使用MAC)。
简单来说就是,SSL协议可以加密网站和用户浏览器之间的数据传输。
使想要窃取网站信息变得更困难。
这里给大家推荐一个非营利组织:Let's Encrypt
它为网站所有者提供免费的SSL证书。
获得了包括Google Chrome、Facebook、Mozilla在内的很多公司支持。
地址:https://letsencrypt.org/
点击开始之后,该网站会有一个很详细的获取免费证书的教程。
并且还有中文版。
所以大家按提示获取即可。
此外,许多服务托管公司也可以为WordPress网站提供免费的SSL证书。
三、安全代码
1.禁用文件编辑功能
WordPress自带了一个内置的代码编辑器,用来编辑我们的主题和插件文件。
如果使用不当的话,就很容易变成安全风险口。
所以这个功能我们最好还是关闭。
关闭方法:
在wp-config.php文件中任何位置添加以下代码
define( ′DISALLOW_FILE_EDIT′,true );
2. 禁用PHP文件的执行
PHP(Hypertext Preprocessor),超文本预处理器,是一种在服务器端执行的嵌入HTML文档的脚本语言。
默认情况下,WordPress中某些目录是可以写入的。
这样我们网站上的其他授权用户就可以轻松地将主题、插件、图片和视频上传到网站。
然而这个功能很可能会被他人滥用,比如黑客可以利用它上传后门访问文件或恶意软件到您的网站。
这些恶意文件通常被伪装成WordPress的核心文件。
它们大多是用PHP编写的,可以在后台运行,以盗取或者破坏我们的网站。
因此,我们需要在某些目录中禁止执行PHP文件。
禁用方法:
比如我们要禁用/wp-content/uploads/目录中的PHP文件执行。
首先需要打开记事本,然后贴入以下代码。
<Files *.php>
deny from all
</Files>
然后将这个记事本文件保存为.htaccess。
最后使用FTP将其上传到网站上的/wp-content/uploads/文件夹即可。
3.更改数据库前缀
数据库一般是黑客最喜欢侵入的区域,因为这里储存着网站的所有信息。
所以需要我们重点防护。
而一般的数据库都会有默认的前缀,让我们或者黑客一眼看就知道这个是数据文件。
所以我们就要改掉数据库的前缀,这样就增加了隐蔽性。
相当于把数据库藏起来了。
默认情况下,WordPress数据库中所有表单的前缀都是wp_ 。
修改办法:
① 打开位于WordPress根目录下的wp-config.php文件。
输入代码 “$table_prefix = 'wp_a123123_';”
把表前缀从wp_改成像这样的wp_a123123_。
② 进入网站数据库,修改数据库表名,执行如下SQL。
RENAME table `wp_commentmeta` TO `wp_a123123_commentmeta`;
RENAME table `wp_comments` TO `wp_a123123_comments`;
RENAME table `wp_links` TO `wp_a123123_links`;
RENAME table `wp_options` TO `wp_a123123_options`;
RENAME table `wp_postmeta` TO `wp_a123123_postmeta`;
RENAME table `wp_posts` TO `wp_a123123_posts`;
RENAME table `wp_terms` TO `wp_a123123_terms`;
RENAME table `wp_termmeta` TO `wp_a123123_termmeta`;
RENAME table `wp_term_relationships` TO `wp_a123123_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wp_a123123_term_taxonomy`;
RENAME table `wp_usermeta` TO `wp_a123123_usermeta`;
RENAME table `wp_users` TO `wp_a123123_users`;
③ 搜索options表中任何其他使用wp_作为前缀的字段,并替换成我们的新前缀。
SELECT * FROM `wp_a123123_options` WHERE `option_name` LIKE '%wp_%';
④ 搜索usermeta表中任何其他使用wp_作为前缀的字段,并替换成我们的新前缀。
SELECT * FROM `wp_a123123_usermeta` WHERE `meta_key` LIKE '%wp_%';
注意:修改之前一定要备份!!!
4.设置密码保护
为WordPress管理和登录页面设置密码保护,可以有效阻止DDoS攻击和黑客的一些别的尝试。
如何设置密码:
① 创建一个.htpasswds文件。
把这个文件上传到/public_html/目录外。
例如 home/user/.htpasswds/public_html/wp-admin/passwd/
② 创建一个.htaccess文件。
并上传到/wp-admin/目录下。
③ 在.htaccess文件中添加以下代码。
AuthName "Admins Only"
AuthUserFile
/home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
④ 更新用户名,更新AuthUserFile路径。
5.禁用目录索引和浏览
目录,是一个导览的作用。
我们可以用目录来快速的查看和浏览指定文件。
那么同样的,黑客也可以。
通过我们的目录,黑客可以查看我们的文件,复制我们的图片,还能看我们的文件有没有漏洞。
所以,我们一定要禁用目录的索引和浏览。
① 使用FTP或cPanel的文件管理器连接到网站。
② 在网站的根目录中找到.htaccess文件。
在.htaccess文件的最后添加“Options -Indexes" 代码。
③ 保存并上传.htaccess文件到网站。
6.禁用XML-RPC
XML-RPC是工作在Internet上的远程过程调用协议。
它有助于将我们的独立站与Web和移动应用程序连接起来,所以在WordPress 3.5以上版本中被默认启用。
由于其本身强大的特性,所以当受到黑客攻击时,它会将黑客的攻击力放大。
也就是说,使用XML-RPC,会给我们带来好处,但是同样也会增加风险。
所以需要大家自己抉择是否使用。
如果不使用XML-RPC的话,我们需要将它的默认启用改为禁用。
更改办法:
在网站public_html目录下的.htaccess文件添加以下代码就能禁用此功能。
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
allow from 123.123.123.123
7.限制 MySQL 连接地址
MySQL,关系型数据管理系统。
大多数受管理的Web主机默认情况下,都会确保MySQL 数据库拒绝来自外部的人员和系统连接到本地服务器。
但一些使用专用服务器的主机,就需要我们自行设置限制MySQL 连接地址。
限制方法:
将代码“bind-address = 127.0.0.1"添加到MySQL my.cnf 配置文件的 [mysqld] 部分。
8.隐藏 WordPress 版本号
这个设置是用来为我们没有及时更新而保险的。
因为有些版本的WordPress,存在已知的漏洞。
这就意味着,别人一看你用的版本,就知道该用什么方法攻击你。
所以隐藏版本号,就很有必要。
隐藏办法:
在主题的functions.php 文件中,添加代码“remove_action('wp_head', 'wp_generator');" 即可。
四、总结
其实WordPress本身安全性并不低的,大家也不用太过担心。
介绍了这么多的提高网站安全性的东西,更多的是希望大家有这个意识,提高警惕。
不过,及时更新和网站备份是一定一定要做的事!
而且,所有需要登录名和密码的地方,一定要使用不同的账号密码。
还要有意识的隔一段时间就更改一次。
毕竟选品和推广就已经是让很多跨境电商人每天头疼的事了。
相关阅读
- 09-13 Discuz论坛安装教程,教你学会搭建DZ论坛
- 09-12 教你用WordPress建站,完整详细的WordPress安装教程
- 09-11 DEDECMS安装教程,教你用织梦系统建站
- 09-10 帝国CMS安装教程,教你使用帝国cms程序建站
- 09-09 提高WordPress网站安全性的方法,详细步骤教程分享!
- 09-06 网站建设知识,这五个注意事项你一定要知道
- 08-28 网站建设完成后,后期需要维护的3个方面
- 08-25 一个人也能做独立网站,零基础做跨境电商的方法教程
- 08-22 摄影企业网站建设的要点,做好这些将获得更多的流量
- 08-20 后疫情时代,外贸企业用独立站开拓办公家具市场的策略
热门阅读
- 02-15 全球最出名的十大跨境电商平台排行榜
- 02-06 淘宝天猫活动红包优惠券领取入口
- 02-06 京东商城活动红包优惠券领取入口
- 02-06 新知创业网超级福利活动发布中心
- 02-06 飞猪旅行预订酒店买特价机票活动
- 02-06 淘宝天猫热卖品牌商品排行榜单
- 02-06 淘宝天猫优选好货爆款特卖活动
- 02-06 淘宝天猫购物红包优惠券领取入口
- 02-06 聚划算百亿补贴活动入口
- 02-06 天猫高端大牌美妆个护家清爆款抢购活动
- 关于本站
-
新知创业网是一个专业为创业者提供学习交流的创业网站,分享各大电商平台网店运营经验知识,直播带货技巧,短视频运营,自媒体运营,小程序和网站建设技术教程,互联网与实体店创业项目等综合知识库,助力广大卖家和站长创业成功!
- 手机版
- 最新文章
- 热门栏目
- 创业栏目