当我们安装主题和插件时,都会向…
在坏人接管之前,您无法登录自己钟爱的WordPress网站之前,始终都是娱乐和游戏。所有乐趣和游戏,直到有人被黑客入侵,无法访问WordPress管理仪表板和地狱。
您的情绪受到重创。当您发现自己已退位时,它们会迅速衰减。至少可以这样说,这是令人伤心和沮丧,因为,好吧,外面有一个家伙在困扰着您的生计,干预您的业务并随地吐痰。
男孩,您会采取行动,疯狂地尝试将您的WordPress主题网站(因此是您的业务)恢复到以前的荣耀。相信我,您不想被黑客入侵,没人可以。但是仍然如此,它每天都在发生并且杂乱无章。
但是,我们始终将您的最大利益放在心上,因此,我们汇总了几种可用于增强WordPress安全性并减少托管不速之客的机会的措施。
借助这些WordPress安全最佳实践,我们希望您拥有最安全的WordPress网站。我们将尽力分解这些要点,但是如果您需要任何帮助,提出问题和/或在评论中分享您的意见,我们将竭尽所能。
顺便说一句,让我们加强您的WordPress网站。
从优质的WordPress托管开始
当然,您不能期望每月收费的Web主机具有一流的安全性。我们所有人都已经看到了这些“一分钱都拥有的”托管计划。那些阴暗的托管公司的阴暗计划向天堂承诺每月只需2到4美元。哦,他们不是很诱人吗?
它们主要是共享的托管程序包,这些程序包将拥有您的网站,也就是您的企业,与一百万个网站和另一个网站位于同一服务器上。各种网站-好与坏。与通常所说的托管WordPress托管(每月约30美元)相比,它们的安全性通常较差。
如果或/和其中一个网站遭到入侵,您也有遭受入侵的更高风险。实际上,即使您像下一个家伙一样保持警惕,您也会受到损害。减轻与Web主机相关的攻击的唯一方法是从一开始就使用可信任的主机和安全的主机计划。
考虑到只有几个因素需要考虑,为您的业务选择最佳的WordPress托管并不是一个挑战。它们包括成本,支持质量,备份和数据管理策略,服务器和服务器上软件的更新以及介于两者之间的所有其他内容。
查看上面段落中链接的文章,并热衷于基于安全性功能选择精美的WordPress主机。如果您想跳过研究而直接将WordPress博客托管在安全服务器上,我们会使用,推荐并推荐WPEngine。他们提供了一流的WordPress托管服务,其中充满了安全选项,这会让您大吃一惊。讨价还价。Media Temple 和Siteground也是其他很棒的WordPress托管选择。
Bluehost共享托管对于初学者来说也是一个不错的选择,但是,如果您需要WordPress网站的安全托管,则需要从共享托管软件包升级到其他软件包之一。
为什么主持人如此重要?我在他们的共享软件包中被黑客入侵了三次(是,三次)。好吧,这部分是我的错,因为我忽略了受害站点,这给了黑客一个他们想要的活动日。从那以后,我将这些网站撤下了,因为它们可能对该特定服务器上的其他网站构成潜在风险(请坚持一下,因为我们会提到一两件事,忽略您的网站如何导致互联网又名黑客的败类。重点;请注意,否则您将在您的网站上付款)。
返回选择高质量的WordPress托管,您如何处理呢?一个简单的电话到您选择的网络主机就足够了。您应该查看它们是否运行最新的服务器。询问其服务器版本,所述服务器的安全性以及它们在这些服务器上运行的软件。
然后执行快速的Google搜索以检查(或确认)服务器软件的发行日期。这应该为您提供一个线索,即他们是否正在运行最新的软件。它还将帮助您确定他们更新服务器的频率。如果它们长时间未更新,则您不应将其与在线业务信任。
保持警惕,询问其他相关问题,直到您对自己的钱是可以买到的最安全的网络主机感到满意,再也不要停止。
在阳光照耀下做好干草准备
蓝色备份计算机密钥,用于存档和存储
尽管这可能无法阻止坏人闯入您的WordPress博客或在线商店,但做好准备可以减轻攻击的影响。我的朋友在这里谈论数据备份;定期备份,可防止您丢失重要数据。
备份使您高枕无忧,因此晚上可以睡得更好。备份是解决问题时所需要的快速解决方案。当您的精妙食谱网站开始在所有页面上零售伟哥时,您只能依靠备份来从这种攻击中恢复。
您应该以备份整个WordPress安装为目标;核心文件,数据库以及其他所有内容。专家还建议加密备份,并将备份副本存储在只读介质上。
您可以轻松地安排每日备份,或者利用MySQL Workbench,WordPress数据库备份(WP-DB-Backup)和BackWPup等工具。您也可以了解更多信息:
- 使用BackWPup将WordPress备份到云–综合指南
- 备份数据库
- 从备份还原数据库
WordPress插件
就在前几天,WPScan的Ryan Dewhurst 在WordPress SEO中通过Yoast发现(并报告了)一个Blind SQL注入漏洞。现在,Yoast的WordPress SEO是一个受欢迎的SEO插件,活跃安装量超过一百万。这意味着,如果黑客利用此安全漏洞,他们将拥有超过一百万个WordPress网站。超过一百万个网站!
哦,不,请不要惊慌。Yoast在发现漏洞的同一天发布了一个安全修复程序。不过,只有一个问题。与WordPress不同,插件不会自动更新,这意味着如果您尚未更新到最新版本的WordPress SEO,您仍然容易受到攻击。
您可能会说您对此一无所知,但由于信息在公共领域,因此所有人都可以轻松获取,因此黑客拥有所有详细信息。你还在等什么?点击该更新按钮。也更新所有其他插件。
仍然从事此WordPress插件业务,您只应从可信任的来源购买或下载WordPress插件。为了安全起见,请从广泛的WordPress插件存储库或信誉良好的供应商(如CodeCanyon)中获取您的插件。
有些黑客会冒充合法的插件开发人员,以为您提供带有恶意代码的插件。不要为他们的便宜花招而迷,请从值得信赖的网站上获取您的插件。此外,不要让闲置的插件摆在身边–删除所有未使用的插件,因为它们是黑客最喜欢的入口点。是的,即使它们被禁用,它们也是如此。
顺便说一句,除非您使用WPEngine和Siteground之类的工具,否则不要指望Web主机在涉及插件漏洞的地方确保您的安全–承担责任并硬着头皮。
WordPress主题
如果黑客不愿意通过过时的,被入侵的或编码错误的插件强行闯入,他们将在您的主题中发现漏洞。实际上,大多数攻击都是通过主题和插件进行的,因此,在这里,您必须格外警惕。
首先,就像WordPress插件一样,您无所不能从任何地方挑选主题。您会感染病毒,恶意软件或更严重的病毒,然后在发狂时大声疾呼。
如果您的预算非常紧张或刚开始使用,可以在WordPress.org上查看我们的一些免费但经过专业编码的WordPress主题或成千上万个免费主题。目前,我使用了来自我们自己的稳定版的免费 优雅主题,这一直是一个奇迹。看到?这里没有讲道和吸收葡萄酒?
在高级主题上,一个出色的主题将使您花费60美元左右,在一些最佳主题市场上,如Elegant Themes和Themeforest。您将获得出色的产品,顶级支持和安全更新。如果您需要指出正确的方向,我将建议您推荐雅致的Total WordPress主题,它主题优美而安全。
您应始终保持主题更新,以免惹麻烦。也就是说,出于明显原因删除所有未使用的主题。
如果您有更多花钱或自己是WordPress开发人员,则可以考虑创建自己的自定义主题。这是获得安全WordPress主题的唯一必经之路,尽管价格昂贵。
当然,您(或您的开发人员)必须遵循最佳的Web编码标准,并在需要时更新主题。如果您聘请网络开发人员来构建主题,请确保其信誉良好。您还可以使用主题检查等插件检查主题是否符合最新的WordPress主题标准。继续…
更新WordPress
您应该始终在最新版本的WordPress上运行在线业务,这毫无疑问。考虑到我们都在仪表板上收到通知,您应该认为很明显每个人都会定期更新WordPress。
但是,情况并非总是如此,因为您会经常遇到在线企业家,他们没有在更新发布几周甚至几个月后才更新到最新版本。
您始终可以在WordPress.org上获得WordPress的官方和最新版本。进一步提醒您不要从任何其他网站下载或安装WordPress,因为您可能会发现某些东西。诸如后门漏洞攻击或将垃圾和其他攻击上传到您的服务器的一些JavaScript代码等真正糟糕的事情。只是不要从WordPress.org以外的任何其他网站下载WordPress。
更新WordPress安装非常简单,只需点击即可。但是,如果在此过程中发生任何中断,建议您在进行任何更新之前先备份站点。最重要的是,随着升级过程影响所有WordPress文件和文件夹,您将丢失对核心文件所做的所有更改。
自动更新功能是WordPress 3.7中引入的,旨在解决一些小的安全修复程序,并使开发人员和最终用户都可以更轻松地完成整个更新过程。现在,您只需要关心主要版本更新,是的,您的工作应该很容易。您只需要打开自动更新。
更新,更新,更新或准备后悔,后悔,后悔。
清洁电脑
大约十年前高中毕业后,我曾在一家网吧短暂工作过。当我遇到这么多人并进入数字营销世界时,这非常有趣。
但是,由于蠕虫,特洛伊木马,病毒,恶意软件等等,它并不总是很有趣。我记得有时我不得不关闭咖啡馆,只是为了格式化计算机。没关系,我已经在所有计算机上安装并运行了防病毒程序。但是我离题了。
如果某些黑客设法像木马一样在您的计算机上获取了一个密钥记录程序(这意味着该密钥记录程序被隐藏在另一个程序中,以掩盖黑客在您的PC上记录每个按键的事实),那么您将永远无法保护您的网站安全什么。
您的网站将一遍又一遍地被黑客入侵,因为您只是将登录信息提供给恶意分子。由于他们可以看到您的所有击键,因此他们将可以访问您的所有在线帐户。谈到电子邮件,Facebook,Twitter,YouTube等。
关键记录员的助手,互联网的阴暗面还有更糟的事情。例如:
实际上,野外确实有病毒会感染您的本地计算机,然后寻找打开的FTP连接,并使用该连接自动将黑客文件上传到您的Web主机。– Brad Williams,锁定WordPress
网吧计算机并不是您想要访问WordPress管理仪表盘的确切方式。也许这是不可避免的,但是请始终确保您使用的所有计算机都没有恶意软件,病毒和间谍软件。否则,您将向黑客提供您的登录信息以及更多信息。
确保计算机上的操作系统和程序是最新的。然后打开防火墙并获得最佳的防病毒程序。我厌倦了一直格式化计算机的过程,因此我继续寻找最佳的防病毒程序。我找到了。从那时起,我就爱上了Eset。
此外,请远离不受信任的站点,但是如果您必须这样做–出于好奇,请禁用浏览器中的所有脚本,例如Java,JavaScript,Flash等。或者只是不要访问那些流血的网站。
创建更强的密码
现在是故事时间。这次我喝咖啡太多了,我创建了一个WordPress网站,我“创造性地”将其命名为#YouCan’tHackThis。创意上是用引号引起来的,因为我正乘着高浪咖啡。也许我在喝咖啡前喝了一两杯。我只是不记得了。我创建许多WordPress网站只是为了娱乐。
我的用户名是……等一下……Unhackulture(我们将归咎于咖啡),我的密码是,我不记得了。但是,这是一个混乱的密码,由于这个原因,当一些粗鲁的互联网人(或其他)以“蛮力”击中登录页面时,它就从未动摇过。
长话短说,我的防线陷入了困境,#YouCan’tHack这就像耶利哥城墙一样倒下。Google向我发送了一封带有示例URL的可怕的“黑客疑似”电子邮件,在进一步调查中,我发现很多垃圾。
黑客大胆地在我心爱的#YouCan’tHackThis上发布了他们桌面的屏幕截图,好像是在嘲弄我。我告诉你他/她/她有胆量,因为在屏幕截图的上方,页面和页面的绒毛,填充物含量没有方向。
我关闭了整个网站,并加强了其他网站的安全性。我安装了iThemes Security,今天收到的都是“站点锁定通知”电子邮件。如果有人尝试使用蛮力强行进入我的任何站点,他们将被封锁一个世纪!是的,在Bin黑客中已经有100年了。哈哈,我被带走了。
密码不足会导致您被黑。同样,您非常重视的管理员用户名将使黑客更容易使用。在安装WordPress时创建个性化的用户名,并在创建密码时使用强度指示器。这就足够了,但是如果您想加倍努力,应该检出1Password和KeePass工具。
报告安全漏洞
作为WordPress用户,您有责任在发现安全漏洞后立即举报该漏洞。
首先,这是很好的业力。第二,到处都是。第三,如果该漏洞位于您使用的插件或主题中,则会获得安全更新,并非常感谢。因此,您的网站不会受到损害,您可以在使世界变得更美好的同时建立良好的代表。
WordPressers指出我们遇到的所有安全漏洞是我们的集体责任。毕竟,这是为了我们自己的利益。
加强文件/文件夹权限
我们现在正在深入探讨WordPress安全性。作为一个绝对的初学者,我讨厌您吓坏了。我会摇晃它,然后按照您喜欢的方式冷藏。开始了。
如果每个有权访问您服务器的Tom,Dick和Harry都可以编辑(也可以写)您的文件和文件夹,那么您无能为力,可以阻止随之而来的损坏。
但是,如果我们使某些文件和文件夹只能由您写入,该怎么办?好吧,黑客们不知道该怎么办。它们可能会坏掉,但是当您的文件不可编辑/可写时,它们造成的损害很小。锁定文件权限是您要实施的一项安全措施,如果您使用共享主机计划,则更应如此。
但是您如何处理该文件/文件夹权限业务?以下是可能的方案:
- 根文件夹中的所有文件只能由您自己写
- / wp-admin /-所有文件只能由您写
- / wp-includes /-所有文件只能由您写
- / wp-content / themes –您和Web服务器应可写所有文件
- / wp-content / plugins –您应该可写所有文件
如何设置文件/文件夹权限?
要满足上述方案,您需要将文件夹的权限设置为755,将文件的权限设置为644。怎么样?那是最简单的部分。您可以使用FTP客户端(例如Filezilla)或通过cPanel直接登录到文件管理器。
使用FTP
通过FTP登录到Web服务器后,找到要设置权限的目录/文件,右键单击它并选择“文件权限”。在出现的弹出屏幕中,选择您认为合适的权限。弹出窗口可能看起来像这样:
这是文件权限的完整列表,范围从000到777。
使用文件管理器
登录到您的cPanel,然后导航到“文件管理器”。加载后,选择目录或文件,然后在顶部菜单上单击“更改权限”。或者,您可以选择您的文件夹或文件,右键单击它,然后在出现的下拉菜单上选择“更改权限”。
以下是一些指导:
右键单击选项…
“更改权限”弹出窗口:
想了解更多?在此处阅读有关文件权限的更多信息。快速前进…
两步认证
保护您的在线资产的最佳方法是使恶意分子难以登录。如果您可以将它们拒之门外,那么您赢了一半。这就是两步(或两因素)身份验证的地方。
当您将强密码和两因素身份验证结合使用时,就会为您的网站添加一层保护。您可以双重提高WordPress网站的安全性。
而且由于我们拥有Google Authenticator,WordFence,Authy和Duo等插件,因此实现两步身份验证应该是您可以在此时此刻实施的最简单的WordPress安全措施。
使用SSL
SSL是Secure Sockets Layer(安全套接字层)的缩写,Secure Sockets Layer是在网站服务器和用户浏览器之间建立安全,加密链接的标准方法。
有时,黑客可能决定劫持您从浏览器发送到Web服务器的数据包,而不是试图破坏您的网站防御。当他们打开这些数据包时,他们很容易访问您的登录信息等。
该怎么办?您需要利用SSL加密来保护在您的网站和服务器之间传递的所有数据的隐私和完整性。这就是为什么您会在其域中找到所有使用HTTPS而不是HTTP的主要站点的原因。
它易于实现,并且可以节省大量时间和挫败感。只需与您的域名注册商或网络托管商联系,他们将很高兴为您安装SSL。SSL证书通常也很便宜,因此您可以节省一两个美元。
禁用未使用的用户帐户
可以将WordPress网站上的用户帐户视为公交车上的座位。如果空座位,有人会上车。如果座位被其他人占用或不存在,那么没人会坐这个特定的座位。
如果您已在WordPress网站上启用了用户注册,请每隔一段时间梳理一次用户帐户,并删除未使用的帐户和垃圾邮件发送者创建的所有帐户。如果您不做这些,您只是在要求被黑客入侵-而您将被黑客入侵。
另外,您可以通过转到设置->常规, 然后取消选择具有会员资格的任何人都可以注册 来完全禁用用户注册 。 您可以通过导航到WordPress管理员菜单上的用户->所有用户 来查看所有用户 。
同时,您可以限制新用户帐户的权限。您可以通过导航到“设置”->“常规”-“新用户默认角色”, 然后将选项设置为“订阅者”来轻松完成此操作 。其他角色包括贡献者,作者,编辑和管理员。您绝对不希望新用户具有管理员权限。最好只为用户分配完成工作所需的特权。
我可以继续前进,但是我会向您提供大量信息,这绝对不是我的意图。我们希望您有可行的提示,您可以在这一刻开始执行,但是如果我将您的注意力淹没在大量的事实和事实中,那将是一个白日梦。所以,这是我鞠躬并关闭窗帘的地方。
回到您的身边,请立即开始我们刚才提到的领域,因为等待的时间越长,对坏蛋的影响就越容易。只需从一个区域开始,然后从那里继续前进,如果您遇到困难或有疑问,请将您的疑虑带到下面的评论部分。或者,如果您有补充要诀,请告诉我们-我们将等待,这是一个严肃的承诺。最好的朋友!
微信扫描二维码联系我们!
我们在微信上24小时期待你的声音
提供外贸路由器设备产品,轻松翻墙,解答:WP主题推荐,WP网站建设,Google SEO,百度SEO,专业服务器环境搭建等!
需要提供WordPress主题/插件的汉化服务可以随时联系我们!另外成品WordPress网站以及半成品WordPress网站建设,海外Google SEO优化托管服务,百度SEO优化托管服务,Centos/Debian服务器WP专用环境搭建,WP缓存服务器搭建,我们都是你的首选,拥有多年WP开源程序服务经验,我们一直在坚持客户体验,没有最好,只有更好!