- 网页设计
- WordPress教程
- 免费的东西
- 插件
- 更多的
如何提高 的 的安全 a WordPress的网站
WordPress是一个很棒的平台,但就像其他内容管理系统一样, 它很容易受到黑客攻击, 特别是如果你有一个普通的免费WordPress主题. 我并不反对免费的WordPress主题. 在wordpress的官方目录中有非常好的免费主题.org. 但大多数免费主题并不完全是“免费”的。. 它们有隐藏链接和加密代码, 哪些是作者完全为了自己的利益而放进去的. 例如,链接到他们的推广资源. 但安全问题不仅存在于免费主题中,这些主题取自未经证实的来源. WordPress系统本身就是潜在安全问题的根源.
WordPress更新
当显示两位数的版本时,例如,最新的4.9、这意味着系统有了新的功能. 当出现三位数的版本时,例如最新的4.9.1、意味着系统得到了改进,并实施了额外的安全措施. 例如,在wordpress上阅读.开发者对最新版本4写了些什么.9.1. 紧接着,在第一句话中,是关于WordPress安全的词语. So, 作者发现了(自己或在别人的帮助下)系统代码中的“漏洞”. 这是非常糟糕的. 因此,定期更新系统是提高网站安全性的一种方法. 只有序列号中有三位数字的版本才会更新. 不要急于更新,直到插件更新出来. 作者应该确保他们的插件在新版本的系统中正确工作. 在升级之前,一定要做一个完整的备份,最好是通过FTP备份整个站点.
不正确的主机配置
主机提供商在保护您的站点方面起着巨大的作用, 特别是当涉及到您无法控制的组件时, 例如过时且易受攻击的PHP版本或Apache web服务器的易受攻击模块. 最常, 这种情况发生在廉价的主机提供商身上, 谁一年几分钱就“包罗万象,不受限制”. 记住,好的可靠的托管是要花钱的.
一个新的WordPress网站的最佳插件[免费电子书]
过时的插件或主题
如果在主题或插件中发现漏洞, 负责任的开发人员试图尽快修复它. 因此,继续使用旧版本的主题或插件是不安全的. 最好在新版本发布当天更新它们. 这首先适用于大型和流行的产品. 然而,更新并不总是像人们希望的那样顺利. 如果你怀疑更新, 在运行站点之前,最好先在本地计算机或测试服务器上进行测试. 如果你在更新时遇到问题,你可以通过WordPress支持联系开发者.
脆弱的插件
到目前为止,WordPress存储库中几乎有25000个不同的插件. 其中,有一些易受攻击的可以为攻击者提供对您站点的完全访问权限. 提前知道插件是否安全是不可能的. 漏洞检查可能需要几个小时到几个星期. 这里的信心在于插件开发者的信任和声誉. 一个知名开发者的流行插件出现漏洞的可能性比一个全新的插件要小得多, 可疑的人. 选择插件时, 注意下载量, 更新的频率, 支持, 以及来自同一作者的其他插件. 如果有任何疑问,最好找一个类比. 如果您在特定插件中发现漏洞, 第一件事就是通过电子邮件联系开发者, Skype, 等. 如果开发者没有回应,那么你应该通知他们 (电子邮件保护) 这样插件就会被排除在WordPress存储库之外.
脆弱的主题
不像插件,wordpress上的所有主题.Org在发布之前经过彻底的检查,因此在此网站上发现易受攻击主题的可能性非常小. 但如果你发现了一个不安全的主题,首先联系主题开发者,然后 (电子邮件保护) 将其从存储库中删除. 另外,我要提醒你WordPress主题应该只从官方资源下载. 大多数问题出现在从第三方和可疑来源下载的主题上.
强密码
如果你没有足够的时间和想法,有很多资源可以帮助你创建一个正确而强大的密码. 为什么需要强密码? 入侵网站最常见的技术是自动选择管理员的登录名和密码. 这种技术被称为蛮力. 您的带有登录名和密码的页面受到脚本攻击, 每分钟能够对登录名和密码的多种变体进行大约1000次尝试. 它与DDoS攻击非常相似,甚至更简单. 你可能会说:“我的网站? 谁需要它呢??”. 答案是除了你没有人,但是黑客还是要攻击别人. 而且,攻击你的不是人,而是机器人. 他们需要入侵任何可用的网站或电脑,以便在一个相连的系统中使用它来入侵其他系统, 更重要的资源. DDoS攻击正是这样做的. 首先,世界各地的网站和电脑遭到黑客攻击. 接下来,它们被组合成一个系统,攻击像银行这样的重要互联网资源, 政府网站, 军事部门, 等. 您的站点可能成为此类非法活动的参与者. 在最好的情况下, 您在主机上的帐户将被服务器管理员封锁,您将收到一封信,说明您的帐户因病毒传播而被封锁. 你能在网站上找到病毒吗? 在成百上千的文件夹和文件中? 识别不属于WordPress系统、插件或主题的文件? 通常情况下,病毒是嵌入在现有的文件中. 这样的脚本更难检测,因为它隐藏在系统文件中. 因此,通过安装复杂的密码开始保护您的站点.
定期清理
在过去的几年里,我一直在使用WordPress,我 改变了几个主题 并且使用了几十种不同的插件. 其中一些从一开始就为我工作,没有任何问题. 有些总是停用,而另一些则定期激活以扫描站点(安全性), 检查速度, 缓存, 等). 我早就不再使用其中的一些,并从网站文件夹中删除了它们. 我没有额外的主题,插件,不需要的脚本或任何类似的东西. 如果网站系统文件夹里有什么东西,那只是我用的. 其他的都删掉了. 我不需要不必要的文件夹和文件,它们占用空间,可能被黑客用来添加恶意代码. 我建议你也这样做.
定期备份
这是最简单的解决方案. 每月一次,通过一些FTP客户端,下载每个站点的根文件夹. 至少存储两个差异为一个月的版本. 每个月删除一个旧的,并添加一个新的. 如果你有多达10个站点,下载过程大约需要一天的时间. 个人网站的平均总权重高达10GB. 如果明天网站瘫痪或者被黑了, 删除所有内容,上传旧版本, 哪个在你的电脑上. 数据库通常不需要备份. 它不太可能被黑客攻击(尽管这种情况时有发生)。. 你可以使用WordPress插件备份站点和数据库.
备份你可以使用的插件
BackWPup
这是执行WordPress备份的最高质量的插件. 它可以创建数据库的备份副本, 文件, 和内容根据预先指定的时间表. 创建的备份可以以各种格式保存到主机上的目录中, 以及发送到指定的电子邮件或云数据存储, 比如微软Azure, RackSpaceCloud, Dropbox或亚马逊. 该插件的主要优点是高功能, 稳定性和相对简单的备份过程.
备份WordPress
这个插件提供了定期备份数据库和数据库以及WordPress文件的能力. 这个插件在WordPress控制面板的备份部分创建了它的设置页面,默认情况下已经创建了两个备份计划,并且可以添加新的备份计划. 您可以设置备份的频率, 选择要保存的内容, 服务器上将存储多少备份,是否有必要向您的电子邮件发送备份成功的通知. 付费版本允许您自动在多个云服务中保存备份.
wp时光机
这个插件不仅可以保存站点文件存档,还可以保存SQL文件与WP数据库,可以稍后通过phpMyAdmin恢复. 还导出了其他服务器配置设置. 你可以在开发者页面上查看插件所有特性的完整列表.
VaultPress
这个插件将您的网站链接到远程VaultPress服务. 值得注意的是,该服务没有免费或试用版, 所以马上准备付款吧. 付款后, 您将获得对管理面板的访问权限,在其中您可以找到根据所选VaultPress计划为您的站点创建的完整备份列表. 您需要配置服务和站点之间的FTP或SSH连接. 在您的网站的管理面板将是VaultPress管理面板的简化版本, 这样您就可以在不访问其站点的情况下使用该服务.
WordPress备份到Dropbox
Dropbox是一个非常流行的文件存储网站. 通过使用插件, 您可以管理备份的创建:设置其规律性, 包括和排除不同的目录, 等. 该插件还具有出色的保护功能, 您输入DropBox的数据不会保存在插件中,因为它使用OAuth授权系统.
WordPress EZ备份
这个插件将允许您从创建的副本中快速恢复网站 . 您可以在管理面板中安排备份,并设置备份的时间和规律性. 通过管理面板,您可以管理创建的备份. 这个插件推荐给所有对WordPress有肤浅了解的人,或者只是在寻找一个自动创建备份的工具的人. 这个插件不使用任何第三方服务来存储备份,这是它的一个小缺点.
WordPress智能备份
这个插件将允许您安排备份,并将它们存储在Amazon S3帐户或直接存储在您的主机上. 文件可以存档,为您的帐户节省空间. 可以使用管理面板删除主机上的备份. 您可以设置带有上次备份统计数据的定期邮件通知. 一般来说,它是安排定期备份的方便工具. 许可证的费用约为20美元.
安全插件
也, 我想简单介绍一下WordPress插件, 其主要任务是帮助您提高网站的安全性.
iThemes安全 (以前称为更好的WP安全性)
有了这个安全插件, 您可以更改很多设置,并启用监控几乎整个网站的安全系统:
- 暴力保护
- 小偷的密码
- 检测文件更改
- 锁定不良用户
- 数据库备份
- 检测重定向到404错误页面
- 邮件提醒
- IP禁止
The plugin is paid; a personal license costs $80; unlimited for developers is $150.
登录安全解决方案
- 跟踪IP地址、用户名和密码
- 通过邮件自动通知管理员
- 如果登录名和密码输入错误,减慢访问访问者的速度
- 有助于使密码复杂化
- 导致用户定期修改密码
- 管理员可以请求所有用户修改密码
BBQ:阻止不良查询
该插件保护网站免受未经授权或可疑和恶意的URL请求. 有一种方法可以在不使用插件的情况下做到这一点,即在系统文件中添加必要的附加函数. 然而,如果你不知道如何做到这一点,尝试使用这个插件.
Wordfence安全
一个相对年轻的插件,但在用户中很受欢迎. 目前该软件已被下载超过300万次. 它执行一个操作:将您的主题和插件与官方WordPress库中的主题和插件进行比较. 如果文件不同,就会拉响警报.
防弹安全
最复杂的安全插件之一. 它包含了许多功能,要完整地列出这些功能将是冗长而乏味的. 下载,激活,并看到自己. 我对这个插件的印象是:控制台非常超载. 对我来说,最好使用三个不同的插件,而不是这个. 但“防弹”这个名字对应的是内置功能.
All In One WP安全 & 防火墙
当你读到标题中的“all-in-one”时, 你知道这个插件和“防弹”插件是同一个系列的. 这里有一切可以保护网站免受黑客攻击和其他安全问题的侵害.
- 漏洞扫描
- 黑名单
- 防火墙
- 备份
- 防止暴力攻击
- 删除垃圾评论
杀毒
该插件扫描活动主题的文件,如果发现可疑代码,它会通过邮件或立即通过即时消息告诉管理员. 最重要的是要弄清楚它是什么样的代码,以及它是否真的是病毒. 它只扫描一个活动主题. 是好是坏? 很好,但还不足以让你安稳入睡. 一个优秀的特性是,这个插件可以很好地与其他几个安全插件一起工作.
Sucuri安全
一个优秀的插件,尤其是最新的版本. 当我第一次开始使用它时,它并不是完全完美的. 现在作者已经添加了许多有用的功能. 例如:
- 扫描系统,显示该站点在各种资源的黑名单中的存在.
- 显示站点上最脆弱的地方,并提供修复它们的机会.
- 监视大量操作列表,并通过电子邮件自动通知管理员
- There’s a free version; it has a lot of functionality. 这是有报酬的,与一个强大的资源sucuri有联系.网。.
我推荐这个插件.
如果网站被黑了怎么办
如果攻击者已经到达了您的站点,那么您的日子就不好过了. 在这种情况下,最重要的是保持冷静. 攻击者通常会留下痕迹, 通常以无关插件的形式出现, 修改过的内核代码, 等. 以下是一些消除攻击者痕迹的提示:
- 修改所有访问宿主站点的密码,包括数据库密码.
- 通过下载最新版本从头开始安装WordPress.
- 更改wp-config中的所有密钥.php.
- 导出整个数据库并彻底清理.
- 编辑所有用户的所有密码.
- 查看下载目录以获取其他文件.
- 彻底浏览WordPress存储库中的每个插件并安装最新版本.
- 仔细检查使用的主题,并安装最新版本.
这样的工具 谷歌搜索控制台 和 利用扫描仪 也会帮助你发现和修复你的网站被黑客攻击的迹象. 恢复工作能力后, 有必要弄清楚这个重罪犯是如何进入你的网站的. 在这种情况下,好的主机提供商通常会通过提供访问日志来帮助您.
其他提示和工具
这里有一些其他的技巧和工具,以提高您的网站的安全性. 它们既适合初学者,也适合更有经验的用户和程序员.
- 如果可能的话,为管理面板启用SSL或HTTPS.
- 使用安全的SFTP或SSH而不是普通的FTP处理托管文件.
- 为数据库使用不同的前缀.
- 禁止通过wp-config编辑文件.php.
- 禁用*的执行.wp-content目录下的PHP文件.
如果你还有关于WordPress安全性的问题,我很乐意为你解答. 如果你有其他安全工具的建议,也可以随意留下评论.
相关的帖子
10个免费的WordPress备份插件,最大限度地提高网站的安全性
