WordPress权力35%这使得WordPress网站成为黑客的目标。如果你和大多数WordPress网站的所有者一样,你可能会问同样的问题:我的WordPress网站安全吗?如何保护我的WordPress网站?
虽然你不能保证网站的安全性,但你可以采取几个步骤来提高和最大化你的WordPress安全性。继续阅读,学习如何使你的WordPress网站安全!如果您在网站安全方面需要专业帮助,请联系WebFX。
与我们的网站维护服务,我们可以24/7更新和维护您的网站安全。在线联系我们或致电888-601-5359要学习更多的知识。
1.将你的WordPress站点从HTTP转移到HTTPS
对于用户以及搜索引擎和网络浏览器来说,HTTP网站看起来是—也是—未加密的.你想确保你的网站为用户、搜索引擎和web浏览器提供服务,从HTTP迁移到HTTPS。这个过程包括获得一个SSL(安全套接字层)证书,可以是免费的,也可以是收费的每年最高1500美元.
您的托管公司可能会免费为您提供SSL证书。无论哪种方式,当您获得SSL证书时,您都需要与托管公司进行聊天。您的托管公司将需要添加您的SSL证书以关联到您的域名。
完成此步骤后,您可以使用以下选项之一来保护您的WordPress网站:
- 使用一个插件:一个WordPress插件很简单的SSL使激活您的SSL证书,以及将您的网站更新为HTTPS,快速和简单。
只需下载插件并按照说明操作即可。
- 使用开发人员:手动将WordPress站点从HTTP迁移到HTTPS需要开发人员的帮助。你的开发人员需要更新你的网站地址和WordPress地址(通过常规设置菜单)和设置重定向.
如果你没有任何网页开发的背景,使用插件来保护你的WordPress网站。尝试自己添加SSL证书可能会导致重复内容,这可能会损害你的网站在谷歌的搜索结果中的可见性。
重复内容的发生是因为搜索引擎看到你网站的两个版本——HTTP和HTTPS版本。重定向将所有HTTP页面发送到它们的HTTPS版本。创建重定向可以防止重复的内容,还可以将用户发送到一个安全的页面。
像Really Simple SSL这样的插件会为你处理这个过程,让你的网站对所有人都是安全的。
2.自定义登录页面URL
你知道每个WordPress站点都有相同的登录URL吗?默认的登录URL是wp-login.php或wp-admin,比如www.example.com/wp-login.php或www.example.com/wp-admin。这个功能(您可以更改)为黑客提供了一个侵入您网站的方便起点。
这就是为什么您应该自定义登录页面的URL。通过更改登录页面的URL,你可以使你的网站更安全,也更容易被黑客破解。一个开发人员或者一个插件重命名wp-login.php或iThemes安全可以为您更改默认的登录URL。
无论使用哪种方法,您都需要创建一个唯一的URL来登录到您的WordPress站点。例如,您可以选择“site-access”作为新的登录URL或“lets-login”。
3.更新“admin”用户名
当创建一个WordPress网站时,许多用户选择默认的“admin”作为他们的帐户用户名。当涉及到WordPress安全时,这个决定是一个重要的问题,因为它为黑客访问你的帐户提供了另一条信息,比如你的登录URL。在这种太常见的情况下,黑客知道您的登录URL和登录用户名-他们只需要您的密码。
如果你的用户名是“admin”,你可以通过以下几种方式修改:
- 使用一个插件:这样的插件用户名改变使更新您的用户名的速度。安装它,然后转到“用户”菜单,选择“用户名更改”。然后,您可以选择具有admin帐户的用户并更新其帐户用户名。
- 创建一个新用户:公司还可以在WordPress中创建一个新用户,以占用管理员角色。创建新用户并设置其权限后,可以删除用户名为“admin”的旧用户。
- 修改phpMyAdmin:通过cPanel,一个网络主机控制面板,你可以改变帐户用户名。
此修复涉及开发人员登录到您的cPanel,选择用户表,并调整用户登录值。
在大多数情况下,你的公司想要使用插件或创建一个新用户来保护你的网站。
4.安装WordPress更新
WordPress定期发布更新,包括新功能、补丁和安全补丁,以保护你的网站。如果你的网站由WordPress.com托管,WordPress将为你应用最新的更新。自我托管(通过WordPress.org)的公司将需要手动更新。
用最新的版本更新你的WordPress网站将有助于保持你的网站安全。你可以通过注册电子邮件通知.此外,你可以访问WordPress.org网站阅读并下载最新的补丁。
你的WordPress仪表盘也会提醒你更新。虽然您可以自己处理WordPress补丁,但让开发人员来做是很有帮助的。大多数WordPress网站都有插件,这在更新到最新版本的WordPress时可能会导致问题。
例如,一个过时的插件会破坏网站的功能,打开漏洞,甚至使你的网站无法访问。开发人员可以帮助您避免这些麻烦。除了更新你的WordPress网站,你还应该更新你的插件来修补任何漏洞。
按照以下步骤找到你的插件的最新版本:
- 登录你的WordPress帐户
- 从左边栏点击“Plugins”
- 选择“Update Available”筛选器
然后可以查看可用的更新。在升级你的插件之前,检查任何报告的bug。新发布的版本经常会出现插件开发者需要修补的问题。
在更新发布后等待一两个星期可以帮助您避免这些错误,同时也可以保证您的站点的安全。
5.隐藏你的WordPress版本号
“任何人都可以通过查看你网站的源代码来查看你的WordPress版本号。”
你的WordPress版本号对黑客来说是另一个有用的信息。当黑客知道你的网站使用的是哪个版本的WordPress时,他们就可以根据这个版本定制攻击。任何人都可以通过查看你网站的源代码来查看你的WordPress版本号。
根据版本的不同,它们甚至可以利用特定的漏洞。例如,如果你运行的是旧版本的WordPress,黑客可能会瞄准新版本修复的漏洞。方法来隐藏站点的版本号WordPress安全插件,就像Sucuri安全或iThemes安全.
您也可以手动解决这个问题,让开发人员修改您的functions.php文件,以阻止您的WordPress版本号出现在RSS提要等地方。
6.使用密码生成器创建密码
你也可以使用密码生成器来提高WordPress的安全性。容易记住的密码,比如你的狗的名字或孩子的生日,通常都很弱,很容易被黑客破解。如果你想最大化你的WordPress的安全性,那么你需要采用一个密码生成器。
密码生成器,比如LastPass,帮助您创建原始的、难以破解的密码。它还为您省去了满足密码要求的麻烦,比如大写字母、数字或符号。你可以告诉LastPass包括(或排除)任何这些功能。
继续更新所有的用户密码,特别是在没有使用密码生成器的情况下创建的密码。如果你担心忘记密码,你可以使用LastPass(免费)来安全地存储你的登录信息。
7.使用密码锁定您的wp-admin目录
“wp-admin目录包含你的WordPress网站上所有管理功能的文件。”
密码保护你的wp-admin目录是一种有效的方法来保护你的WordPress网站。当您对WordPress -admin目录进行密码保护时,会让用户输入两个密码:一个用于登录WordPress仪表板,另一个用于访问WordPress管理区域。黑客可以进入你的wp-admin目录,对你的网站做任何他们想做的改变。
这是因为wp-admin目录包含了WordPress站点上管理功能的所有文件。如果您决定保护您的wp-admin目录,您将需要与您的开发人员合作。您的开发人员将必须登录到您的cPanel和更新目录功能保护.
如果您不熟悉或不习惯使用cPanel,请不要尝试修改您的wp-admin目录。对wp-admin目录的不正确更改可能导致站点崩溃、设置丢失等。
8.使用双因素身份验证(2FA)
双因素身份验证(2FA)正在成为流行的WordPress安全解决方案。使用2FA,用户必须输入或提供两条信息才能登录到WordPress站点。例如,他们可能会提供用户名和密码,然后回答一个安全问题,或批准他们在另一个设备(如智能手机)上登录。
要求两种形式的身份验证对于WordPress的安全性非常有效。即使黑客获得了团队成员的用户名和密码,2FA也会阻止他们登录您的网站,因为黑客无法提供第二种形式的身份验证,比如通过团队成员的智能手机回答安全问题。然而,如果没有2FA,黑客可以在瞬间登录到你的网站。
如果想尝试双因素身份验证,可以使用谷歌身份验证插件.
9.引导空闲用户以保证WordPress站点的安全
离开电脑或笔记本电脑时登录WordPress帐户会很快导致安全问题。例如,如果你正在旅行,而你的笔记本电脑无人看管(或忘了它),别人可以很容易地访问和更改你的WordPress网站。这就是为什么要引导空闲用户。
例如,可能在15或30分钟不活动后,您注销用户。无论你设置了什么持续时间,你都可以使用这个功能来提高你的WordPress安全性并保护你的网站。插件等不活跃的注销可以帮助您设置和使用此安全措施。
10.更改您的wp-表前缀以防止SQL攻击
与登录页面url一样,WordPress使用默认的数据库前缀:wp—默认的数据库前缀会导致问题,因为它使您的站点容易受到SQL(结构化查询语言)注入攻击。黑客知道每个网站(除非更改)都会使用这个数据库前缀。这就是为什么你想改变你的。
可供选择的例子包括:
- ourwp -
- sitewp -
- originalwp -
更新你的数据库前缀将需要一个插件,比如iThemes安全,或者开发人员。
11.移动wp-config.php文件
你的wp-config.php文件提供了一种使你的WordPress站点安全的快速方法。php文件包含重要的WordPress安装信息。当涉及到你网站的根目录(或/)时,它是最关键的文件,所以你要保护它不受黑客攻击,特别是在安全漏洞的情况下。
保护你的wp-config.php是一个快速的解决方案——移动它。将您的wp-config.php文件移到根目录的更高级别,这将使您的wp-config.php文件几乎不可能被黑客访问。重新定位文件需要开发人员的帮助。
虽然WordPress可以很容易地访问你的wp-config.php文件,但黑客不会。
12.投资防范DDoS攻击
分布式拒绝服务(DDoS)攻击发生在任何人身上。虽然你经常听说DDoS攻击发生,并导致大品牌网站瘫痪,如塔吉特或索尼,但它们也发生在小型企业。例如,一群黑客可以对WordPress发起一系列攻击。
这就是为什么DDoS保护是值得考虑的。选择DDoS保护提供商包括Sucuri而且Cloudflare.这些公司将帮助你发现和阻止DDoS攻击,这将防止你的网站离线。
如果你决定投资DDoS防护,你将不得不为服务付费。
13.定期备份你的WordPress网站
“我的WordPress网站安全吗?””是“从不”。虽然你可以采取积极的措施来保护你的网站,但你永远不会达到100%的WordPress安全。黑客将继续发现漏洞,并开发破坏网站安全的方法。这就是为什么网站备份是必须的。
WordPress网站的备份为您提供了网站的最新安全版本。在出现安全漏洞的情况下,您可以使用该备份来恢复站点。你将拥有最新版本的网站,并跳过重做所有过去工作的过程。
这是压力下的一个小胜利。你可以用插件或手动备份你的WordPress站点。插件,如VaultPress,让您可以在例行的基础上自动备份您的网站。
例如,你可以让一个插件每月、每天或每周备份你的站点。在大多数情况下,这些插件需要付费计划。
你的WordPress网站脆弱吗?WebFX可以帮助!
对于任何网站所有者来说,网站安全都是一个关键问题。
如果你经营一家企业,为用户提供一个安全的网站是至关重要的。即使你不接受和处理在线支付,你也需要一个安全的,seo友好的WordPress站点让用户在浏览你的网站时感到舒适提高你在搜索结果中的排名在谷歌。WebFX可以帮助你的WordPress网站安全。
与我们的网页设计而且网站维护服务,以及我们的内部开发团队,我们提供的服务和技术,以最大限度地提高您的WordPress安全。了解为什么超过90%的客户坚持与我们合作在线联系我们或者打电话给我们888-601-5359!