如何保护您的 WordPress 网站
确保您的网站安全是每个网站所有者都担心的事情。并且有充分的理由:如果您的网站被黑客入侵或出现故障,您可能会失去业务。
WordPress 曾经以不安全着称。但这些天,它不再是真的。一些世界上最大的品牌,包括主要的新闻公司和政府部门,在他们的网站上使用 WordPress。如果它不安全,他们就不会使用它。
但 WordPress 是开源软件,这意味着任何人都可以访问代码。这意味着黑客可以尝试识别漏洞并加以利用。幸运的是,WordPress 社区在此之上,并且会定期发布安全更新以修复任何漏洞。因此,只要您的网站是最新的,您就不必担心。
在这篇文章中,我将向您展示一些使您的网站更安全的方法。我将包括最佳安全实践,并向您展示如何使您的网站不易受到黑客攻击。
让我们从一些最佳实践开始。
WordPress 安全最佳实践
在开始安装安全插件或修改wp-config.php文件以提高站点安全性之前,您可以遵循一些简单的最佳实践来增强 WordPress 站点的安全性。
这些是:
- 使用强密码
- 使您的网站保持最新状态
- 只从信誉良好的来源购买插件和主题
- 使用安全托管
- 禁用主题编辑器
- 定期备份
- 使用 SFTP 将文件上传到您的站点
- 将 SSL 添加到您的站点
- 安装安全插件
- 使用安全服务
让我们来看看这些是什么意思。
1. 使用强密码
使用强密码是抵御黑客的最简单也是最有效的防线之一。您应该始终使用包含字母、数字和特殊字符组合的密码,并确保您网站上的其他用户也这样做。
您可以在我的密码有多安全?网站以了解自动化系统破解您的密码需要多长时间。我为我的网站使用的密码需要 160 亿年才能破解,所以我认为没有人猜到它的可能性很大。
您还可以使用Force Strong Passwords等插件强制您站点的其他用户使用强密码。或者,如果您安装了 Jetpack,则可以使用该插件强制使用强密码。
2. 使您的网站保持最新
保持站点安全的另一种简单但非常有效的方法是确保它是最新的。
一些 WordPress 更新是为了引入新功能。其他人是为了修复错误。但是其中很多都会添加安全补丁,您希望确保您的站点具有这些补丁。
确保在仪表板告诉您时更新您的站点,并记录日志以定期检查它。这适用于主题和密码以及 WordPress 本身。
或者,您可以安装一个插件来为您管理和自动更新。在轻松的进行更新管理器插件可以让你选择哪一种主题和插件,以保持更新,将为您运行和运行更新定期检查。
如果您进行自动更新,请确保定期备份您的站点,以防更新导致问题。
3. 只从信誉良好的来源购买插件和主题
当您选择主题和插件时,重要的是只安装您确信没有错误或恶意代码的主题和插件。
对于免费插件,最好只安装您在主题和插件目录(通过 WordPress 管理员访问)中找到的插件和主题。这些主题经过质量检查,因此您可以确信它们的编码良好且不含任何恶意内容。
4. 使用安全托管
在选择您的托管服务提供商时,请花时间寻找信誉良好的提供商,他们将提供安全性和正常运行时间的保证。像SiteGround这样的专用 WordPress 托管服务提供商将能够帮助您解决您可能遇到的任何安全问题,并将采取措施确保其服务器的安全。
您选择的托管计划也会对安全性产生影响。最便宜的托管计划很便宜,因为它们在服务器上有数百或数千个客户端和网站。使用该服务器的人越多,引入安全问题的机会就越多。
因此,在您选择那家超便宜的托管服务提供商之前,请先问问自己,从长远来看,它是否会花费更多。
5. 禁用主题编辑器
主题编辑器或可视化编辑器是 WordPress 管理员中的一个屏幕,可用于编辑主题中的代码。
它可能看起来是一种非常方便的调整代码的方法,但它有一些严重的风险。使用主题编辑器编辑代码时,不会备份旧版本。如果您做了一些破坏您的网站或引入漏洞的事情,您将无法回滚您的更改,
如果你想在你的主题中编辑代码(或者创建一个子主题来修改你的主题,这是更好的),那么你应该使用代码编辑器和 SFTP。
您可以通过在wp-config.php文件中添加两行代码来禁用主题编辑器:
define( 'DISALLOW_FILE_EDIT', true );
define( ‘DISALLOW_FILE_MODS’, true );这样,您和您网站的其他用户就不会被诱惑使用它进行快速调整,这可能会给您带来大问题。
注意:如果您有信心做这种事情,请仅修改您的wp-config.php文件。
6. 定期备份
定期备份您的网站是一种很好的做法。这样,如果您的网站被黑客入侵或更新后中断,您就有了可以恢复的最新版本。
安装备份插件并将其设置为至少在更新站点时自动备份站点。因此,如果您每天都在添加到您的网站,请每天对其进行备份。这样,如果您确实必须恢复最近的备份,您就不会丢失太多内容。
自动更新也是如此:如果您的更新插件每天都在运行更新,您也应该每天备份您的网站。
7. 使用 SFTP 将文件上传到您的站点
如果您正在编辑文件并将其上传到您的 WordPress 站点(例如主题和插件文件),那么以最安全的方式执行此操作非常重要。
使用SFTP而不是 FTP 意味着文件将在您上传之前被加密。因此,当您将它们传输到您的站点或将它们下载到您的计算机时,没有人可以访问它们。
如果您在公共网络(例如咖啡店 Wi-Fi)上进行此类工作,这一点尤其重要。理想情况下,您应该避免使用公共 Wi-Fi 来管理您的 WordPress 网站中的文件,但实际上我们都有过急需上传文件的时候,并且迫不及待地想回到更安全连接。
一个好的托管服务提供商会提供 SFTP 作为他们服务的一部分——让他们告诉您如何访问它并设置密钥以在将文件传输到您的站点时使用。
8. 将 SSL 添加到您的站点
添加SSL到你的WordPress网站表示,该https://开头的域名的开头将被替换为https://开头。
使用 Let’s Encrypt 将 SSL 添加到您的站点是免费的,并且会给您带来两个好处:
- 它将提高您的搜索引擎排名。Google 更加重视使用 SSL 确保安全的网站。因此,将其添加到您的网站是有意义的。
- 这将使您的网站更加安全。添加 SSL 意味着在您的服务器和用户浏览器之间发送的数据是加密的。这对于要求用户输入个人数据(甚至是电子邮件地址)的任何网站都至关重要。而对于电子商务来说,这一点更为重要。事实上,如果您在没有 SSL 的网站上安装 WooCommerce,该插件会反复警告您该网站没有应有的安全。
您可以通过托管服务提供商的仪表板或使用插件安装带有 Let’s Encrypt 的免费 SSL 证书。请参阅我们的SSL 指南以了解如何操作。
9. 安装安全插件
如果您想对站点的安全性进行最终控制并监控它是否存在任何问题,那么安装安全插件是个好主意。
安全插件将监控您的站点是否存在停机或安全漏洞,并在出现任何问题时向您发送电子邮件。它们还可以让您配置安全设置以加强您的站点并使黑客更难进入。
插件目录提供了一系列免费的安全插件,但如果您想要额外的保护,安装高级插件可能是一项不错的投资。通过这种方式,您可以访问高级功能,例如增强的防火墙保护、IP 和国家/地区阻止,并帮助您的网站在遭到黑客入侵时重新上线。
您可以在我的基本 WordPress 插件免费课程的一课中了解有关安全插件的更多信息: 为什么需要 WordPress 安全插件和一些选项。
10. 使用安全服务
您还可以注册像 Sucuri 这样的安全服务,该服务将监控您的站点并在它被黑客入侵或出现故障时帮助您修复它。这似乎很昂贵——但如果您的网站遭到破坏,您将节省的时间和您可能失去的潜在业务将使您值得花时间。
Cloudflare 是另一项最初旨在帮助提高网站性能的服务,但它还有一项安全服务,可以监控您的网站,帮助您确保其安全,并在网站遭到黑客入侵时为您修复。如果您还想利用 Cloudflare 的内容交付网络,这将是一个不错的选择,这将有助于您的网站运行得更快。
概括
确保您的 WordPress 网站安全是网站管理的重要组成部分。如果您的网站在更新后遭到黑客入侵或中断,您可能需要花费数小时甚至数天的时间来修复它。如果您必须花钱请人为您修理,那可能会很昂贵。
如果您遵循上述提示,您将能够保护您的网站免受大多数安全风险的影响,并且您的网站运行平稳且没有被黑客入侵,因此您可以高枕无忧。您决定走多远以及您可以在安全上花费多少取决于您的站点和预算,但您当然应该使用安全密码并保持站点更新最低限度。
常见问题FAQ
- 程序仅供学习研究,请勿用于非法用途,不得违反国家法律,否则后果自负,一切法律责任与本站无关。
- 请仔细阅读以上条款再购买,拍下即代表同意条款并遵守约定,谢谢大家支持理解!
