編輯搜圖

即使初學(xué)者也可以，并且應(yīng)該采取這些步驟來(lái)保護(hù)他們的 WordPress 網(wǎng)站免受網(wǎng)絡(luò)攻擊。

WordPress 已經(jīng)驅(qū)動(dòng)了互聯(lián)網(wǎng) 30% 的網(wǎng)站，它是世界上增長(zhǎng)最快的 內(nèi)容管理系統(tǒng)content management system(CMS)，而且不難看出原因：通過(guò)大量可用的定制化代碼和插件、一流的 搜索引擎優(yōu)化Search Engine Optimization(SEO)，以及在博客界超高的美譽(yù)度，WordPress 贏得了很高的知名度。

然而，隨著知名度而來(lái)的，也帶來(lái)一些不太好的關(guān)注。WordPress 是入侵者、惡意軟件和網(wǎng)絡(luò)攻擊的常見(jiàn)目標(biāo)，事實(shí)上，在 2019 年被黑客攻擊的 CMS 中，WordPress 約占 90%。

無(wú)論你是 WordPress 新用戶或者有經(jīng)驗(yàn)的開(kāi)發(fā)者，這里有一些你可以采取的重要步驟來(lái)保護(hù)你的 WordPress 網(wǎng)站。以下 6 個(gè)關(guān)鍵技巧將幫助你起步。

1、選擇可靠的托管主機(jī)

主機(jī)是所有網(wǎng)站無(wú)形的基礎(chǔ)，沒(méi)有它，你不能在線發(fā)布你的網(wǎng)站。但是主機(jī)的作用遠(yuǎn)不止起簡(jiǎn)單的托管你的網(wǎng)站，它也要對(duì)你的網(wǎng)站速度、性能和安全負(fù)責(zé)。

第一件要做的事情就是檢查主機(jī)在它的套餐中是否包含 SSL 安全協(xié)議。

無(wú)論你是運(yùn)行一個(gè)小博客或是一個(gè)大的在線商店，SSL 協(xié)議都是所有網(wǎng)站必需的安全功能。如果你正在進(jìn)行線上交易，你還需要 高級(jí) SSL 數(shù)字證書(shū) ，但是對(duì)大多數(shù)網(wǎng)站來(lái)說(shuō)，基本免費(fèi)的 SSL 證書(shū)就很好了。

其他需要注意安全功能包括以下幾種：

• 日常的自動(dòng)離線網(wǎng)站備份

• 惡意軟件和殺毒軟件掃描和刪除

• 分布式服務(wù)攻擊Distributed denial of service(DDOS)保護(hù)

• 實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控

• 高級(jí)防火墻保護(hù)

另外除了這些數(shù)字安全功能之外，你的主機(jī)供應(yīng)商的 物理 安全措施也是值得考慮的。這些包括用安全警衛(wèi)、閉路監(jiān)控和二次驗(yàn)證或生物識(shí)別來(lái)限制對(duì)數(shù)據(jù)中心的訪問(wèn)。

2、使用安全插件

保護(hù)你的網(wǎng)站安全最有效且容易的方法之一是安裝一個(gè)安全插件，比如 Sucuri，它是一個(gè) GPLv2 許可的開(kāi)源軟件。安全插件是非常重要的，因?yàn)樗鼈兡軐踩芾碜詣?dòng)化，這意味著你能夠集中精力運(yùn)行你的網(wǎng)站，而不是花大量的時(shí)間來(lái)與在線威脅作斗爭(zhēng)。

這些插件探測(cè)、阻止惡意攻擊，并提醒你需要注意的任何問(wèn)題。簡(jiǎn)言之，它們持續(xù)在后臺(tái)運(yùn)行，保護(hù)你的網(wǎng)站，這意味著你不必保持 7 天 24 小時(shí)地保持清醒，與黑客、漏洞和其他數(shù)字垃圾斗爭(zhēng)。

一個(gè)好的安全插件會(huì)免費(fèi)提供給你所有必要的安全功能，但是一些高級(jí)功能需要付費(fèi)訂閱。舉個(gè)例子，如果你想要解鎖 Sucuri 的網(wǎng)站防火墻 ，你就需要付費(fèi)。開(kāi)啟 網(wǎng)站應(yīng)用防火墻web application firewall(WAF)阻擋常見(jiàn)的威脅，并為給你的網(wǎng)站添加一個(gè)額外的安全層，所以當(dāng)選擇安全插件的時(shí)候，尋找?guī)в羞@個(gè)功能的插件是一個(gè)好的主意。

3、選擇值得信任的插件和主題

WordPress 的快樂(lè)在于它是開(kāi)源的，所以任何人、每個(gè)人都能提供他們開(kāi)發(fā)的主題和插件。但當(dāng)選擇高質(zhì)量的主題和插件時(shí)，這也拋出一些問(wèn)題。

在挑選免費(fèi)的主題或插件時(shí)，有一些設(shè)計(jì)較差，或者更糟糕的是，可能會(huì)隱藏惡意代碼。

為了避免這種情況，始終從可靠的來(lái)源來(lái)獲取免費(fèi)主題和插件，比如 WordPress 主題庫(kù)。閱讀對(duì)它的評(píng)論，并研究查看開(kāi)發(fā)者是否構(gòu)建過(guò)其他的程序。

過(guò)時(shí)的或設(shè)計(jì)不良的主題和插件可以為攻擊者進(jìn)入你的網(wǎng)站留下“后門(mén)”或錯(cuò)誤，這就是為什么選擇時(shí)要謹(jǐn)慎。然而，你也應(yīng)該提防無(wú)效或者破解的主題。這些已經(jīng)黑客破壞了的高級(jí)主題被非法銷售。你可能會(huì)購(gòu)買一個(gè)無(wú)效的主題，它看起來(lái)沒(méi)什么問(wèn)題，但會(huì)通過(guò)隱藏的惡意代碼破壞你的網(wǎng)站。

為了避免無(wú)效主題，不要被打折的價(jià)格所吸引，始終堅(jiān)持可靠的主題商店，比如官方的 WordPress 目錄。如果你在其它地方尋找，堅(jiān)持選擇大型且值得信任的商店，比如 Themify ，這個(gè)主題和插件商店自從 2010 年就已經(jīng)在經(jīng)營(yíng)了。Themify 確保它的所有 WordPress 主題通過(guò)了 谷歌友好移動(dòng)Google Mobile-Friendly 測(cè)試，并在 GNU 通用公共許可證 下開(kāi)源。

4、運(yùn)行定期更新

這是 WordPress 的基本規(guī)則： 始終保持你的網(wǎng)站最新。然而，不是所有人都堅(jiān)持了這個(gè)規(guī)則，只有 43% 的 WordPress 網(wǎng)站 運(yùn)行的是最新版本。

問(wèn)題是，當(dāng)你的網(wǎng)站過(guò)期的時(shí)候，由于它在安全和性能修復(fù)方面落后的原因，容易受到故障、漏洞、入侵和崩潰的影響。過(guò)期的網(wǎng)站不能像更新的網(wǎng)站一樣修復(fù)漏洞，攻擊者能夠分辨出哪些網(wǎng)站是過(guò)期的。這意味著他們能夠依此來(lái)搜索最易受攻擊的網(wǎng)站并襲擊它們。

這就是為什么你始終要運(yùn)行最新的 WordPress 版本的原因。為了保持網(wǎng)站安全處于最強(qiáng)的狀態(tài)，你必須更新你的插件和主題，以及你的核心 WordPress 軟件。

如果你選擇一個(gè)受管理的 WordPress 托管套餐，你可能會(huì)發(fā)現(xiàn)你的供應(yīng)商會(huì)為你檢查并運(yùn)行更新，以了解你的主機(jī)是否提供了軟件和插件更新。如果沒(méi)有，你可以安裝一個(gè)開(kāi)源插件管理器。比如 GPLv2 許可的 Easy Updates Manager plugin 作為替代品。

5、強(qiáng)化你的登錄

除了通過(guò)仔細(xì)選擇主題和安裝安全插件來(lái)創(chuàng)建一個(gè)安全的 WordPress 網(wǎng)站外，你還需要防止未經(jīng)授權(quán)的登錄訪問(wèn)。

密碼保護(hù)

如果你在使用 容易猜到的短語(yǔ) 比如 “123456” 或 “qwerty” ，第一步要做的增強(qiáng)登錄安全最簡(jiǎn)單的方法是更改你的密碼。

嘗試使用一個(gè)長(zhǎng)的密碼而不是一個(gè)單詞，這樣它們很難被破解。最好的方式是用一系列你容易記住且不相關(guān)的單詞合并起來(lái)。

這里有一些其它的提示：

• 絕不要重復(fù)使用密碼

• 密碼不要包括像家庭成員的名字或者你喜歡的球隊(duì)等明顯的單詞

• 不要和任何人分享你的登錄信息

• 你的密碼要包括大小寫(xiě)和數(shù)字來(lái)增加復(fù)雜程度

• 不要在任何地方寫(xiě)下或者存儲(chǔ)你的登錄信息

• 使用 密碼管理器

變更你的登錄地址

將默認(rèn)登錄網(wǎng)址從標(biāo)準(zhǔn)格式 yourdomain.com/wp-admin 變更是一個(gè)好主意。這是因?yàn)楹诳鸵仓肋@個(gè)缺省登錄網(wǎng)址，所以不變更它會(huì)有被暴力破解的風(fēng)險(xiǎn)。

為避免這種情況，可以將登錄網(wǎng)址變更為不同的網(wǎng)址。使用開(kāi)源插件比如 GPLv2 許可的 WPS Hide Login 可以更加安全、快速和輕松的自定義登錄地址。

應(yīng)用雙因素認(rèn)證

為了提供更多的保護(hù)，阻止未授權(quán)的登錄和暴力破解，你應(yīng)該添加雙因素認(rèn)證。這意味著即使有人 確實(shí) 得到了你的登錄信息，但是他們還需要一個(gè)直接發(fā)送到你的手機(jī)上的驗(yàn)證碼，來(lái)獲得對(duì)你的 WordPress 網(wǎng)站管理的權(quán)限。

添加雙因素認(rèn)證是非常容易的，只需要安裝另一個(gè)插件，在 WordPress 插件目錄搜索 “two-factor authentication” ，然后選擇你要的插件。其中一個(gè)選擇是 Two Factor ，這是一個(gè)流行的 GPLv2 許可的插件，已經(jīng)有超過(guò) 10000 次安裝。

限制登錄嘗試

WordPress 可以讓你多次猜測(cè)登錄信息來(lái)幫助你登錄。然而，這對(duì)黑客嘗試獲取未授權(quán)訪問(wèn) WordPress 網(wǎng)站并發(fā)布惡意代碼也是有幫助的。

為了應(yīng)對(duì)暴力破解，安裝一個(gè)插件來(lái)限制登錄嘗試，并設(shè)置你允許猜測(cè)的次數(shù)。

6、禁用文件編輯功能

這不是一個(gè)適合初學(xué)者的步驟，除非你是個(gè)自信的程序員，不要嘗試它。并且一定要先備份你的網(wǎng)站。

那就是說(shuō)，如果你真的想保護(hù)你的 WordPress 網(wǎng)站，禁用文件編輯功能 是 一個(gè)重要的措施 。如果你不隱藏你的文件，它意味著任何人從管理后臺(tái)都可以編輯你的主題和插件代碼，如果入侵者進(jìn)入，那就危險(xiǎn)了。

為了拒絕未授權(quán)的訪問(wèn)，轉(zhuǎn)到你的 .htaccess 文件并輸入：

    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>1.2.3.4.

或者，要從你的 WordPress 管理后臺(tái)直接刪除主題和插件的編輯選項(xiàng)，可以添加編輯你的 wp-config.php 文件：

define( 'DISALLOW_FILE_EDIT', true );1.

保存并重新加載這個(gè)文件，插件和主題編輯器將會(huì)從你的 WordPress 管理后臺(tái)菜單中消失，阻止任何人編輯你的主題或者插件代碼，包括你自己。如果你需要恢復(fù)訪問(wèn)你的主題和插件代碼，只需要?jiǎng)h除你添加在 wp-config.php 文件中的代碼即可。

無(wú)論你阻止未授權(quán)的訪問(wèn)，還是完全禁用文件編輯功能，采取行動(dòng)保護(hù)你網(wǎng)站代碼是很重要的。否則，不受歡迎的訪問(wèn)者編輯你的文件并添加新代碼是很容易的。這意味著攻擊者可以使用編輯器從你的 WordPress 站點(diǎn)來(lái)獲取數(shù)據(jù)，或者甚至利用你的網(wǎng)站對(duì)其他站點(diǎn)發(fā)起攻擊。

隱藏文件更容易的方式是利用安全插件來(lái)為你服務(wù)，比如 Sucuri 。

WordPress 安全概要

WordPress 是一個(gè)優(yōu)秀的開(kāi)源平臺(tái)，初學(xué)者和開(kāi)發(fā)者都應(yīng)該享受它，而不用擔(dān)心成為攻擊的受害者。遺憾的是，這些威脅不會(huì)很快消失，所以保持網(wǎng)站的安全至關(guān)重要。

利用以上措施，你可以創(chuàng)建一個(gè)更加健壯、更安全的保護(hù)水平的 WordPress 站點(diǎn)，并給自己帶來(lái)更好的使用體驗(yàn)。

保持安全是一個(gè)持續(xù)的任務(wù)，而不是一次性的檢查清單，所以一定要定期重溫這些步驟，并在建立和使用你的CMS時(shí)保持警惕。