现在流行的WordPress内容管理系统应用非常广泛。在这篇文章中,我们想给你一些关于保护WordPress安装的技巧。
由于wordpress的高度分布,不幸的是它也是黑客的热门目标,不幸的是也有对WordPress安装的自动攻击,检查它们是否包含已知的安全漏洞。
因此,始终保持WordPress的更新是非常重要的。因此,对于专业用途来说,聘请代理公司来保持WordPress的更新也是很有用的,并且选择一个同样使用防火墙的虚拟主机,以尽可能地保护系统免受已知的攻击。
我们已经列出了如何保护您的WordPress安装的最重要的几点。
[领带_清单类型="核对清单"]- 让WordPress始终保持更新
WordPress不仅是一个博客的软件,还可以配备所谓的插件,扩展各种功能。很多用户为个人网站使用了特殊的插件和设计(主题)。攻击的主要问题是装置的更新不足。
小贴士:安装WordPress要选择一个有管理界面的虚拟主机,这样可以帮助你更新WordPress和插件。我们的建议是使用 Plesk 作为管理软件。
激活WordPress的自动更新。
软件就会一直保持更新。这也是很多普利辛的可能。
建议定期登录wordpress的管理界面,检查软件的当前状态。WordPress直接显示是否有更新。
更有问题的是主题,即现成的设计,通常包含付费的插件。这些主题通常不会自动安装,但必须手动更新。要做到这一点,你必须从制造商下载当前版本的主题,并将其复制到主题目录。更新后,通常只需要在主题管理中进行一些设置。
[领带_清单类型="核对清单"]- 使用加密的连接。
WordPress的登录数据是非常令人垂涎的,很容易在不安全的网络上被窥探出来,例如当你在餐厅或酒店的开放wifi上登录时。
因此,您应该始终使用证书来制作主页。最好选择能为你设置证书的虚拟主机。每年只需花费几欧元就可以为您的设备提供专业的保护。
请始终确保您通过https://,以及安全的电子邮件检索和必要时安全的FTP登录来加密访问您的WordPress安装。一旦您使用了未加密的连接,我们建议您立即更改所有密码。
[领带_清单类型="核对清单"]- 保存wp-login.php文件。
也可以重命名wp-admin目录,但这可能会导致WordPress功能的问题。防止大多数密码被简单猜测的蛮力攻击的简单方法是在.htaccess文件中加入一个代码。这可以和密码保护很好地结合起来。
[领带_清单类型="核对清单"]- 用密码保护你的管理目录。
此外,你应该用密码保护这个目录。您的供应商提供了为某些目录设置目录保护的可能性。用一个复杂的用户名和密码来保护你的管理目录,这个用户名和密码至少要有12个字符长,并且包含特殊字符。千万不要选择只有8个字符长的密码。这些现在一般认为是不安全的,通常可以很快被破解,因为它们已经根据加密类型预先计算好了。
密码保护后,打开.htaccess文件,在上面插入以下代码。
ErrorDocument 401 "Locked"(锁定)。
错误文件403 "被锁定
# 允许插件在有密码保护的情况下访问admin-ajax.php。
。
命令允许、拒绝
允许从所有
满足任何
这保证了WordPress插件仍然可以调用文件。
[领带_清单类型="核对清单"]- 使用尽可能广泛使用的插件和主题。
插件通常要为你的WordPress中的安全漏洞负责。插件和主题是由第三方供应商提供的小型软件包。从原理上讲,这个想法是好的,但是现在有很多可疑的供应商和提供商根本就不懂,从而制作出了含有安全漏洞的软件。对于普通人来说,实际上是没有任何保障的。因此,我们建议只使用已经经常安装且评价良好的插件。
不要使用免费主题,你可以从任何网站下载。购买一个主题,例如在Themeforest或Templatemonster从一个所谓的精英供应商,即专业的编程团队,产生了较高的营业额。
同时要注意最后一次安装的日期。不推荐那些不更新他们的插件和主题或已经停止开发的供应商。
[领带_清单类型="核对清单"]- 删除未使用的主题和插件
如果你的网站已经准备好了,你想开始,我们总是建议完全删除未使用的插件和主题。这一点也适用于WordPress自己的主题,因为它不能那么容易被删除。潜在的攻击者喜欢将自己的文件隐藏在这些默认目录中,所以建议彻底删除不用的文件。您可以通过管理界面或通过FTP来实现。只需删除主题目录中不用的目录即可。
[领带_清单类型="核对清单"]使用应用程序防火墙
[/领带清单]如果可能的话,你应该使用应用程序防火墙。这是一个检查每个连接的软件,并提供了许多可能性,以防止潜在的攻击。
许多供应商都有免费的选项,如fail2ban(推荐)。 mod_security WAF来阻止已知的攻击或可疑的已知IP地址。对于共享主机环境,即小型主机账户,通常是不可能的,因为有太多的特殊功能,不能全局设置。对于专业的使用,我们建议在任何情况下都使用一个管理的V-server,所以一个独立的环境只为您的网站。
对于一些高级供应商,您还可以为您的网站使用外部防火墙解决方案。例如,Barracuda、Sonicwall或Imperva的系统都可以在这里找到。在流量到达Web服务器之前,这些过滤器会过滤流量,并阻止大多数攻击。不过,这样的解决方案价格相对昂贵,每月50-250欧元,只适合专业人员使用。
结语:用WordPress自己创建一个网站是非常容易的。另外,与其他内容管理系统相比,很多虚拟主机提供的自动更新也很有帮助。如果你总是确保扩展程序是最新的(至少每周一次),那么你就不会发生什么事情。
不花钱的东西也没有好东西。不幸的是,许多插件和主题都是如此。请注意,许多骗子感染了恶意代码的主题,然后将其作为自己的主题免费分发。只要你安装了这样的东西,你的网站就会在任何时候都能用来发送 垃圾邮件 或滥用攻击他人。
