作者:Aini99
Aini99 更新时间:2020-01-20 09:47:12 浏览次数:

如果你的网站曾经遭到机器人,黑客或其他流氓分子的攻击,那么你将知道再次正确设置它可能会成为一场噩梦。随着WordPress的普及,随着收益的增加,它已越来越成为黑客的攻击目标。虽然没有万无一失的安全性,但我们可以做很多大大小小的事情来避免一些常见的WordPress安全性错误,并使僵尸程序更难以进入我们的网站并造成破坏。

在本文中,让我们检查WordPress网站上的常见安全性错误。我们还将找出可以做的事情,以最大程度地减少我们对安全威胁的脆弱性。

错误#1:不更新WordPress

WordPress有一个强大的社区,可以提醒安全问题,并且WordPress团队定期发布更新以修复安全威胁。但是我们有责任在WordPress安装上进行这些更新并修补任何安全漏洞。WordPress核心的主要更新是自动进行的,但是对于次要更新以及主题和插件的更新,你需要注意仪表板上显示的通知。

更新你的WordPress程序

错误 #2:不使用优质主题和插件

主题和插件编码不正确会对你的网站造成安全隐患。它们不仅会降低你的网站速度,而且还可能与你使用的WordPress版本或彼此不兼容。除此之外,它们还可以充当恶意软件的切入点。

使用优质的WordPress主题和插件

这里采用的明显预防措施是仅从优质来源购买主题和插件。WordPress中有许多免费的好主题和插件。如果你选择高级主题或插件,请查找Themeforest或CodeCanyon以及其他知名的主题模板。

选择评分更高且下载次数更多的那些。阅读有关主题和插件的评论,并查看其他长期,真实的用户对它们的评价。浏览变更日志以查看是否有定期更新。在购买之前,请写信给作者,以了解该主题或插件是否适合你。为了解决任何实际问题,可以在测试站点上运行它。

错误 #3:不更新主题和插件

就像WordPress一样,你的主题和插件应定期更新错误修复和安全补丁。测试这些更新,然后安装它们以确保WordPress网站安全是你的工作。

注意:人们让主题过期的最常见原因之一是自定义代码。这就是为什么使用子主题很重要的原因。如果你打算对主题文件进行任何更改,请记住使用子主题,以便将来可以安全地更新核心主题。

错误 #4:登录页面缺乏安全性

登录页面是授权用户进入网站的地方。但是,许多不需要的流氓用户也可以从登录页面巧妙地进入我们的网站,甚至可以获得管理员级别的特权。为防止这种情况,我们需要增强登录页面上的安全性。确实,做到这一点并不难,而且你可以进行许多简单的调整来立即阻止恶意入侵。

你可以从常用的“管理员”更改用户名并强制使用强密码。或者,限制登录尝试的次数–这对于阻止暴力攻击特别有效。另一种易于采用的保护方法是两因素身份验证。随着Google推动使用SSL,你可能希望保持领先地位,并尽快将其应用于你的网站。因此,你看到,登录页面是开始提高网站安全性的好地方。

错误 #5:用户角色使用不当

WordPress具有许多用户角色-管理员,编辑者,作者,贡献者和订阅者。并非所有人都需要在你的网站上拥有相同的特权。当你将用户添加到你的网站时,请注意在后端授予他们的特权。只允许他们在网站上履行其职责所必需的特权。向所有用户授予不受限制的访问权限可以使黑客更容易侵入。

当他们只需要阅读内容时,实际上就不需要授予订阅者对后端的任何访问权。编辑者级别的访问权限仅应授予受信任的用户,而管理员级别的访问权限则可以非常少地授予(如果有的话)。授予用户有限的特权并强迫他们使用强密码可以在很大程度上控制对后端的访问。

错误 #6:不删除未使用的主题和插件

随着时间的流逝,我们会在需要时不断向WordPress添加插件和主题。但是一旦我们对它们不再有任何用处,我们就忘记将其从我们的站点中删除。仅仅停用主题和插件是不够的,你必须删除不打算使用的主题和插件。这个简单的步骤可以减少你受到恶意软件的攻击。不活动的插件不会占用RAM,带宽或PHP,但会占用服务器空间。这不仅会使你的网站变慢,还可以用来在你的网站上运行恶意代码。

在将插件添加到网站之前,请检查WordPress是否可以本地处理特定功能。或者你使用的主题或主持人可能涵盖了你需要的功能。因此,如果你的网站上有用于实现这些功能的插件,则可能需要删除它们。

既然你要清理未使用的插件,则不妨全力以赴,清理媒体库,uploads文件夹和includes文件夹。这些是恶意软件的替代入口点,这些恶意软件进入你的站点只是为了稍后执行。通过精简这些文件夹,可以减少恶意软件和黑客的访问点。

错误 #7:不选择安全主机

通常,黑客并非针对你的网站,而是针对与你共享服务器空间的其他网站。你只是一个偶然的受害者。在共享主机方案中,一个受感染的网站可能会关闭服务器上的所有网站。因此,重要的是选择你的Web主机时要格外小心。正如我们在博客页面中反复提到的那样,在托管方面,你只会得到所要支付的费用。廉价的托管选项几乎总是会损害安全性,其服务器更容易受到安全攻击。不仅如此,当你的网站受到攻击时,你经常会发现支持不够令人满意。

为优质的托管服务投入大量资金确实值得投资。这将使你免去繁琐的工作负担,尤其是当你的业务与你的网站紧密链接时。

错误 #8:不检查恶意软件

恶意软件可以在你不知情的情况下进入你的网站。它可以保持隐藏状态,并在你不知情的情况下做很多事情,例如跟踪访客,访问敏感信息(如信用卡详细信息)或向其他网站添加反向链接。当你的网站中潜伏着恶意软件时,Google开始关闭搜索引擎,以防止其他网站被感染。这可能会导致你网站的访问量下降。

有许多可用的插件和服务,可以扫描你的网站上的恶意软件并删除其中的许多恶意软件。你只需要访问Sucuri SiteCheck扫描仪之类的服务网站,然后输入你网站的URL。将生成一个报告,其中显示检测到的恶意软件以及有关如何处理它的建议。否则,你可以选择添加插件并运行扫描。如果愿意,可以在使用后删除该插件,然后在再次运行扫描时重新安装它。

错误 #9:未安装安全性插件

增强网站安全性的最简单方法之一就是添加安全性插件。这些插件可以处理许多安全问题,例如强制使用强密码,设置防火墙,防止暴力攻击等。有许多免费的插件,例如iThemes Security ,以及许多高级安全插件,你最好最早安装并激活它。还有许多网站安全服务,例如Sucuri,可用来管理WordPress网站上的安全性。

错误 #10:不保留网站备份

你可能以为现在已经完成了上述所有操作,因此你的网站可以免受恶意攻击。令人失望的是,抱歉,但黑客正在改进其方法,并且不断出现新的威胁。因此,作为安全网,你可以使用插件进行备份,并定期对站点进行安全备份,并将其保存在安全的位置。

仅执行数据库备份是不够的,必须对网站进行完整备份。其中包括主题,插件,wp-content文件夹以及重要的WordPress配置文件,例如wp-config.php和.htaccess文件。使用优质的插件,如BackupBuddy 或VaultPress,并定期进行更新。此外,维护多个备份副本,你可以在不同的异地和脱机位置上使用它们。

部分文章、图片来源于网络,如果侵犯了您的权益,请联系QQ:1144560054,我们将在核实后第一时间删除侵权信息。