网站安全永远是个热门值得大家讨论的问题,这篇文章我们将讲解如何加强网站的安全性!
更改默认“管理员”用户名
在过去,默认的WordPress管理员用户名是“admin”。由于用户名占登录凭据的一半,这使得黑客更容易进行暴力攻击。
由于WordPress默认情况下不允许您更改用户名,因此您可以使用三种方法来更改用户名。
- 创建新的管理员用户名并删除旧用户名。
- 使用用户名更改器插件
- 从phpMyAdmin更新用户名
我们在有关如何正确更改WordPress用户名(逐步)的详细指南中涵盖了所有这三个内容。
注意:我们谈论的是名为“admin”的用户名,而不是管理员角色。
您可以通过在 wp-config.php 文件中添加以下代码来轻松执行此操作。
您可以通过在 wp-config.php 文件中添加以下代码来轻松执行此操作。
1
2
|
// Disallow file edit define( 'DISALLOW_FILE_EDIT' , true ); |
或者,您可以使用我们上面提到的免费 Sucuri 插件中的强化功能一键完成此操作。
在某些WordPress目录中禁用PHP文件执行
加强WordPress安全性的另一种方法是在不需要的目录中禁用PHP文件执行,例如/wp-content/uploads/。
您可以通过打开记事本等文本编辑器并粘贴以下代码来执行此操作:
1
2
3
|
<Files *.php> deny from all </Files> |
接下来,您需要将此文件另存为 .htaccess,并使用 FTP 客户端将其上传到您网站上的 /wp-content/uploads/ 文件夹中。
限制登录尝试
默认情况下,WordPress允许用户尝试登录任意次数。这使您的WordPress网站容易受到暴力攻击。黑客试图通过尝试使用不同的组合登录来破解密码。
这可以通过限制用户可以进行的失败登录尝试来轻松修复。如果您使用的是前面提到的 Web 应用程序防火墙,则会自动处理此问题。
但是,如果您没有防火墙设置,请继续执行以下步骤。
首先,您需要安装并激活登录锁定插件。
激活后,请访问设置 » 登录锁定页面以设置插件。
添加双因素身份验证
双因素身份验证技术要求用户使用两步身份验证方法登录。第一个是用户名和密码,第二步要求您使用单独的设备或应用程序进行身份验证。
大多数顶级在线网站,如谷歌,Facebook,Twitter,都允许您为您的帐户启用它。您还可以将相同的功能添加到WordPress网站。
首先,您需要安装并激活双因素身份验证插件。
激活后,您需要单击WordPress管理侧栏中的“双因素身份验证”链接。
接下来,您需要在手机上安装并打开身份验证器应用程序。其中有几个可用,如谷歌身份验证器、Authy 和 LastPass 身份验证器.
我们将使用LastPass身份验证器进行教程.但是,所有身份验证应用的说明都是相似的。打开身份验证器应用程序,然后单击“添加”按钮。
系统将询问您是要手动扫描站点还是扫描条形码。选择扫描条形码选项,然后将手机的相机对准插件设置页面上显示的QR码。
仅此而已,您的身份验证应用程序现在将保存它。下次登录网站时,输入密码后,系统会要求您输入双因素身份验证代码。
只需打开手机上的身份验证器应用程序,然后输入您在其上看到的代码。
更改WordPress数据库前缀
默认情况下,WordPress使用wp_作为WordPress数据库中所有表的前缀。如果您的WordPress网站使用默认数据库前缀,那么黑客更容易猜测您的表名是什么。这就是我们建议更改它的原因。
您可以按照我们有关如何更改WordPress数据库前缀以提高安全性的分步教程来更改数据库前缀。
注意:如果做得不好,这可能会破坏您的网站。只有在您对自己的编码技能感到满意时才继续。
密码保护WordPress管理员和登录页面
通常,黑客可以不受任何限制地请求您的wp-admin文件夹和登录页面。这使他们能够尝试黑客技巧或运行DDoS攻击。
您可以在服务器端级别添加额外的密码保护,这将有效地阻止这些请求。
禁用目录索引和浏览
黑客可以使用目录浏览来查明您是否有任何具有已知漏洞的文件,以便他们可以利用这些文件来获取访问权限。
其他人也可以使用目录浏览来查看您的文件、复制图像、找出您的目录结构和其他信息。这就是为什么强烈建议您关闭目录索引和浏览的原因。
您需要使用FTP或cPanel的文件管理器连接到您的网站。接下来,在网站的根目录中找到 .htaccess 文件。
之后,您需要在 .htaccess 文件的末尾添加以下行:
Options -Indexes
不要忘记保存 .htaccess 文件并将其上传回您的网站。
在WordPress中禁用XML-RPC
XML-RPC在WordPress 3.5中默认启用,因为它有助于将您的WordPress网站与Web和移动应用程序连接起来。
由于其强大的性质,XML-RPC 可以显著放大暴力攻击。
例如,传统上,如果黑客想在您的网站上尝试 500 个不同的密码,他们必须进行 500 次单独的登录尝试,这些尝试将被登录锁定插件捕获和阻止。
但是使用XML-RPC,黑客可以使用system.multicall函数尝试数千个密码,例如20或50个请求。
这就是为什么如果您不使用 XML-RPC,那么我们建议您禁用它。
提示:.htaccess方法是最好的方法,因为它占用的资源最少。
如果您使用的是前面提到的 Web 应用程序防火墙,那么这可以由防火墙处理。
在WordPress中自动注销空闲用户
登录用户有时会离开屏幕,这会带来安全风险。有人可以劫持其会话、更改密码或更改其帐户。
这就是为什么许多银行和金融网站会自动注销非活动用户的原因。您也可以在WordPress网站上实现类似的功能。
您需要安装并激活非活动注销插件。激活后,访问设置 » 非活动注销页面以配置插件设置。
只需设置持续时间并添加注销消息即可。不要忘记单击保存更改按钮来存储您的设置。
将安全问题添加到WordPress登录屏幕
在您的WordPress登录屏幕中添加安全问题会使某人更难获得未经授权的访问。
您可以通过安装 WP 安全问题插件来添加安全问题。激活后,您需要访问设置 » 安全问题页面以配置插件设置。
扫描WordPress中的恶意软件和漏洞
如果您安装了WordPress安全插件,那么这些插件将定期检查恶意软件和安全漏洞的迹象。
但是,如果您发现网站流量或搜索排名突然下降,则可能需要手动运行扫描。您可以使用WordPress安全插件,也可以使用这些恶意软件和安全扫描程序之一。
运行这些在线扫描非常简单,您只需输入您的网站 URL,它们的爬虫就会通过您的网站来查找已知的恶意软件和恶意代码。
大多数WordPress安全扫描程序都可以扫描您的网站。他们无法删除恶意软件或清理被黑的WordPress网站。
修复被黑客入侵的WordPress网站
许多WordPress用户直到他们的网站被黑客入侵才意识到备份和网站安全的重要性。
清理WordPress网站可能非常困难且耗时。我们的第一个建议是让专业人士来照顾它。
黑客在受影响的网站上安装后门,如果这些后门程序没有正确修复,那么您的网站可能会再次被黑客入侵。
额外提示:身份盗窃和网络保护
作为小企业主,保护我们的数字和财务身份至关重要,因为如果不这样做可能会导致重大损失。黑客和犯罪分子可以使用您的身份窃取您的网站域名,入侵您的银行帐户,甚至犯下您可能要负责的犯罪。