如果您正在使用或那即将考虑使用WordPress,则应始终考虑站点的安全性。WordPress并不比其他任何平台都安全,但是用户、插件和第三方附件的数量使其成为攻击者的共同目标。不过请放心,您可以采取一些基本步骤来确保WordPress安全。
1.不要使用“ admin”作为用户名
大多数WordPress的攻击行为都是尝试通过猜测密码强行进入您的WordPress。如果他们也不必猜测您的管理员用户名,这对他们来说就容易得多!避免在用户名中使用常见字词(例如admin)会使暴力攻击的效率大大降低。
如果您正在使用已经有“ admin”用户,则可能是时候删除该帐户并添加更安全的用户名了!
2. 使用复杂的密码
拥有更复杂的密码会使猜测或暴力破解变得更加困难。使用复杂密码的一个技巧是:复杂、长、独特。建议可以设置一个长密码(20个字符或以上为佳)并包含诸如#或的不太常用的字符*。
3. 隐藏wp-config.php和.htaccess
您wp-config.php和.htaccess文件对于WordPress安全至关重要。它们通常包含您的系统凭据,并公开有关站点的结构和配置的信息。确保攻击者无法访问它们至关重要。
隐藏这些文件相对容易,但是做错了可能会使您的网站无法访问。进行备份并谨慎操作。
为了提高WordPress的安全性,您需要将其添加到.htaccess文件中以保护wp-config.php:
<Files wp-config.php> order allow,deny deny from all </Files>
这样可以防止文件被访问。类似的代码可以用于.htaccess文件本身:
<Files .htaccess> order allow,deny deny from all </Files>
4. 隐藏WordPress后台登录地址
暴力攻击通常以您的登录地址为目标。因此,更改登录地址将使攻击者更难进入。可以参考这篇文章《隐藏WordPress后台登录地址,提高网站安全性》,有详细的操作步骤。
5. 禁用文件编辑
如果黑客入侵,他们更改文件的最简单方法是转到WordPress中的“外观>编辑器”。为了提高WordPress的安全性,您可以通过该编辑器禁用对这些文件的编辑。同样,您可以wp-config.php通过添加以下代码行从文件中执行此操作:
define('DISALLOW_FILE_EDIT', true);
6. 服务器安全
即使您对网站的安全性做得很好,但是您的服务器安全却没有做任何事情,这也是非常糟糕的!
如果攻击者可以访问您的网站托管,则他们可以完全控制所有内容。因此选择正确的托管服务器非常重。便宜的托服务器通常没有很好的安全性或备份,或者可能不提供支持来帮助您清理被黑的网站。
共享主机通常特别危险,因为攻击者可能可以通过同一系统上另一个受感染的站点来访问您的站点。这就是为什么我们总是建议在服务器的选择上不要贪图便宜,选择知名的服务商非常重要。
7. 保持最新
至关重要的是,更新主题,软件,插件和其他组件是正在进行的例程的一部分。否则,您将向攻击者敞开大门。如果不定期更新,很容易受到已知漏洞的攻击。
8. 放置更多安全层
最好的安全解决方案可防止攻击者到达您网站附近的任何地方。因此,我们建议大多数网站运行某种WordPress防火墙插件。这些插件会寻找已知的攻击者和常见的攻击模式,并在它们有机会危害您的网站之前将其阻止。
9. 最好的安全性插件和主题
大多数WordPress用户倾向于将主题和插件随意应用于其网站。我们建议注意测试不同的主题或插件,尤其是在不使用测试服务器的情况下。大多数插件和许多主题都是免费的,建议选择下载量多且经常更新的插件和主题。
10. 定期备份
定期备份非常重要。您永远都不知道未来的意外什么时候会来,防患于未然,定期做好备份,以免意外发生后能快速恢复网站,避免损失。
总之,如果您不重视WordPress安全,这是一个巨大的错误!不管您花了多少时间、精力、金钱做出多么优秀的网站,不重视WordPress安全,很有可能下一秒网站就没有了!