網站安全永遠是個熱門值得大家討論的問題,這篇文章我們將講解如何加強網站的安全性!
更改默認“管理員”用戶名
在過去,默認的wordPress/ target=_blank class=infotextkey>WordPress管理員用戶名是“admin”。由于用戶名占登錄憑據的一半,這使得黑客更容易進行暴力攻擊。
由于WordPress默認情況下不允許您更改用戶名,因此您可以使用三種方法來更改用戶名。
- 創建新的管理員用戶名并刪除舊用戶名。
- 使用用戶名更改器插件
- 從phpMyAdmin更新用戶名
我們在有關如何正確更改WordPress用戶名(逐步)的詳細指南中涵蓋了所有這三個內容。
注意:我們談論的是名為“admin”的用戶名,而不是管理員角色。
您可以通過在 wp-config.php 文件中添加以下代碼來輕松執行此操作。
您可以通過在 wp-config.php 文件中添加以下代碼來輕松執行此操作。
12// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true );
或者,您可以使用我們上面提到的免費 Sucuri 插件中的強化功能一鍵完成此操作。
在某些WordPress目錄中禁用PHP文件執行
加強WordPress安全性的另一種方法是在不需要的目錄中禁用PHP文件執行,例如/wp-content/uploads/。
您可以通過打開記事本等文本編輯器并粘貼以下代碼來執行此操作:
123<Files *.php>deny from all</Files>
接下來,您需要將此文件另存為 .htaccess,并使用 FTP 客戶端將其上傳到您網站上的 /wp-content/uploads/ 文件夾中。
限制登錄嘗試
默認情況下,WordPress允許用戶嘗試登錄任意次數。這使您的WordPress網站容易受到暴力攻擊。黑客試圖通過嘗試使用不同的組合登錄來破解密碼。
這可以通過限制用戶可以進行的失敗登錄嘗試來輕松修復。如果您使用的是前面提到的 Web 應用程序防火墻,則會自動處理此問題。
但是,如果您沒有防火墻設置,請繼續執行以下步驟。
首先,您需要安裝并激活登錄鎖定插件。
激活后,請訪問設置 » 登錄鎖定頁面以設置插件。
添加雙因素身份驗證
雙因素身份驗證技術要求用戶使用兩步身份驗證方法登錄。第一個是用戶名和密碼,第二步要求您使用單獨的設備或應用程序進行身份驗證。
大多數頂級在線網站,如谷歌,Facebook,Twitter,都允許您為您的帳戶啟用它。您還可以將相同的功能添加到WordPress網站。
首先,您需要安裝并激活雙因素身份驗證插件。
激活后,您需要單擊WordPress管理側欄中的“雙因素身份驗證”鏈接。
接下來,您需要在手機上安裝并打開身份驗證器應用程序。其中有幾個可用,如谷歌身份驗證器、Authy 和 LastPass 身份驗證器.
我們將使用LastPass身份驗證器進行教程.但是,所有身份驗證應用的說明都是相似的。打開身份驗證器應用程序,然后單擊“添加”按鈕。
系統將詢問您是要手動掃描站點還是掃描條形碼。選擇掃描條形碼選項,然后將手機的相機對準插件設置頁面上顯示的QR碼。
僅此而已,您的身份驗證應用程序現在將保存它。下次登錄網站時,輸入密碼后,系統會要求您輸入雙因素身份驗證代碼。
只需打開手機上的身份驗證器應用程序,然后輸入您在其上看到的代碼。
更改WordPress數據庫前綴
默認情況下,WordPress使用wp_作為WordPress數據庫中所有表的前綴。如果您的WordPress網站使用默認數據庫前綴,那么黑客更容易猜測您的表名是什么。這就是我們建議更改它的原因。
您可以按照我們有關如何更改WordPress數據庫前綴以提高安全性的分步教程來更改數據庫前綴。
注意:如果做得不好,這可能會破壞您的網站。只有在您對自己的編碼技能感到滿意時才繼續。
密碼保護WordPress管理員和登錄頁面
通常,黑客可以不受任何限制地請求您的wp-admin文件夾和登錄頁面。這使他們能夠嘗試黑客技巧或運行DDoS攻擊。
您可以在服務器端級別添加額外的密碼保護,這將有效地阻止這些請求。
禁用目錄索引和瀏覽
黑客可以使用目錄瀏覽來查明您是否有任何具有已知漏洞的文件,以便他們可以利用這些文件來獲取訪問權限。
其他人也可以使用目錄瀏覽來查看您的文件、復制圖像、找出您的目錄結構和其他信息。這就是為什么強烈建議您關閉目錄索引和瀏覽的原因。
您需要使用FTP或cPanel的文件管理器連接到您的網站。接下來,在網站的根目錄中找到 .htaccess 文件。
之后,您需要在 .htaccess 文件的末尾添加以下行:
Options -Indexes
不要忘記保存 .htaccess 文件并將其上傳回您的網站。
在WordPress中禁用XML-RPC
XML-RPC在WordPress 3.5中默認啟用,因為它有助于將您的WordPress網站與Web和移動應用程序連接起來。
由于其強大的性質,XML-RPC 可以顯著放大暴力攻擊。
例如,傳統上,如果黑客想在您的網站上嘗試 500 個不同的密碼,他們必須進行 500 次單獨的登錄嘗試,這些嘗試將被登錄鎖定插件捕獲和阻止。
但是使用XML-RPC,黑客可以使用system.multicall函數嘗試數千個密碼,例如20或50個請求。
這就是為什么如果您不使用 XML-RPC,那么我們建議您禁用它。
提示:.htaccess方法是最好的方法,因為它占用的資源最少。
如果您使用的是前面提到的 Web 應用程序防火墻,那么這可以由防火墻處理。
在WordPress中自動注銷空閑用戶
登錄用戶有時會離開屏幕,這會帶來安全風險。有人可以劫持其會話、更改密碼或更改其帳戶。
這就是為什么許多銀行和金融網站會自動注銷非活動用戶的原因。您也可以在WordPress網站上實現類似的功能。
您需要安裝并激活非活動注銷插件。激活后,訪問設置 » 非活動注銷頁面以配置插件設置。
只需設置持續時間并添加注銷消息即可。不要忘記單擊保存更改按鈕來存儲您的設置。
將安全問題添加到WordPress登錄屏幕
在您的WordPress登錄屏幕中添加安全問題會使某人更難獲得未經授權的訪問。
您可以通過安裝 WP 安全問題插件來添加安全問題。激活后,您需要訪問設置 » 安全問題頁面以配置插件設置。
掃描WordPress中的惡意軟件和漏洞
如果您安裝了WordPress安全插件,那么這些插件將定期檢查惡意軟件和安全漏洞的跡象。
但是,如果您發現網站流量或搜索排名突然下降,則可能需要手動運行掃描。您可以使用WordPress安全插件,也可以使用這些惡意軟件和安全掃描程序之一。
運行這些在線掃描非常簡單,您只需輸入您的網站 URL,它們的爬蟲就會通過您的網站來查找已知的惡意軟件和惡意代碼。
大多數WordPress安全掃描程序都可以掃描您的網站。他們無法刪除惡意軟件或清理被黑的WordPress網站。
修復被黑客入侵的WordPress網站
許多WordPress用戶直到他們的網站被黑客入侵才意識到備份和網站安全的重要性。
清理WordPress網站可能非常困難且耗時。我們的第一個建議是讓專業人士來照顧它。
黑客在受影響的網站上安裝后門,如果這些后門程序沒有正確修復,那么您的網站可能會再次被黑客入侵。
額外提示:身份盜竊和網絡保護
作為小企業主,保護我們的數字和財務身份至關重要,因為如果不這樣做可能會導致重大損失。黑客和犯罪分子可以使用您的身份竊取您的網站域名,入侵您的銀行帳戶,甚至犯下您可能要負責的犯罪。
