WordPress建站教程:站主如何加强网站的安全性?

网站安全永远是个热门值得大家讨论的问题,这篇文章我们将讲解如何加强网站的安全性!

更改默认“管理员”用户名

在过去,默认的WordPress管理员用户名是“admin”。由于用户名占登录凭据的一半,这使得黑客更容易进行暴力攻击。

由于WordPress默认情况下不允许您更改用户名,因此您可以使用三种方法来更改用户名。

  1. 创建新的管理员用户名并删除旧用户名。
  2. 使用用户名更改器插件
  3. 从phpMyAdmin更新用户名

我们在有关如何正确更改WordPress用户名(逐步)的详细指南中涵盖了所有这三个内容。

注意:我们谈论的是名为“admin”的用户名,而不是管理员角色。

fileeditinwp

您可以通过在 wp-config.php 文件中添加以下代码来轻松执行此操作。

您可以通过在 wp-config.php 文件中添加以下代码来轻松执行此操作。

1
2
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

或者,您可以使用我们上面提到的免费 Sucuri 插件中的强化功能一键完成此操作。

在某些WordPress目录中禁用PHP文件执行

加强WordPress安全性的另一种方法是在不需要的目录中禁用PHP文件执行,例如/wp-content/uploads/。

您可以通过打开记事本等文本编辑器并粘贴以下代码来执行此操作:

1
2
3
<Files *.php>
deny from all
</Files>

接下来,您需要将此文件另存为 .htaccess,并使用 FTP 客户端将其上传到您网站上的 /wp-content/uploads/ 文件夹中。

限制登录尝试

默认情况下,WordPress允许用户尝试登录任意次数。这使您的WordPress网站容易受到暴力攻击。黑客试图通过尝试使用不同的组合登录来破解密码。

这可以通过限制用户可以进行的失败登录尝试来轻松修复。如果您使用的是前面提到的 Web 应用程序防火墙,则会自动处理此问题。

但是,如果您没有防火墙设置,请继续执行以下步骤。

首先,您需要安装并激活登录锁定插件。

激活后,请访问设置 » 登录锁定页面以设置插件。

loginlockdownoptions

添加双因素身份验证

双因素身份验证技术要求用户使用两步身份验证方法登录。第一个是用户名和密码,第二步要求您使用单独的设备或应用程序进行身份验证。

大多数顶级在线网站,如谷歌,Facebook,Twitter,都允许您为您的帐户启用它。您还可以将相同的功能添加到WordPress网站。

首先,您需要安装并激活双因素身份验证插件。

激活后,您需要单击WordPress管理侧栏中的“双因素身份验证”链接。

twofactorbarcode

接下来,您需要在手机上安装并打开身份验证器应用程序。其中有几个可用,如谷歌身份验证器、Authy 和 LastPass 身份验证器.

我们将使用LastPass身份验证器进行教程.但是,所有身份验证应用的说明都是相似的。打开身份验证器应用程序,然后单击“添加”按钮。

addsite

系统将询问您是要手动扫描站点还是扫描条形码。选择扫描条形码选项,然后将手机的相机对准插件设置页面上显示的QR码。

仅此而已,您的身份验证应用程序现在将保存它。下次登录网站时,输入密码后,系统会要求您输入双因素身份验证代码。

enter2stepauth

只需打开手机上的身份验证器应用程序,然后输入您在其上看到的代码。

更改WordPress数据库前缀

默认情况下,WordPress使用wp_作为WordPress数据库中所有表的前缀。如果您的WordPress网站使用默认数据库前缀,那么黑客更容易猜测您的表名是什么。这就是我们建议更改它的原因。

您可以按照我们有关如何更改WordPress数据库前缀以提高安全性的分步教程来更改数据库前缀。

注意:如果做得不好,这可能会破坏您的网站。只有在您对自己的编码技能感到满意时才继续。

密码保护WordPress管理员和登录页面

passwordprotected

通常,黑客可以不受任何限制地请求您的wp-admin文件夹和登录页面。这使他们能够尝试黑客技巧或运行DDoS攻击。

您可以在服务器端级别添加额外的密码保护,这将有效地阻止这些请求。

禁用目录索引和浏览

disabledirectorybrowsing

黑客可以使用目录浏览来查明您是否有任何具有已知漏洞的文件,以便他们可以利用这些文件来获取访问权限。

其他人也可以使用目录浏览来查看您的文件、复制图像、找出您的目录结构和其他信息。这就是为什么强烈建议您关闭目录索引和浏览的原因。

您需要使用FTP或cPanel的文件管理器连接到您的网站。接下来,在网站的根目录中找到 .htaccess 文件。

之后,您需要在 .htaccess 文件的末尾添加以下行:

Options -Indexes

不要忘记保存 .htaccess 文件并将其上传回您的网站。

在WordPress中禁用XML-RPC

XML-RPC在WordPress 3.5中默认启用,因为它有助于将您的WordPress网站与Web和移动应用程序连接起来。

由于其强大的性质,XML-RPC 可以显著放大暴力攻击。

例如,传统上,如果黑客想在您的网站上尝试 500 个不同的密码,他们必须进行 500 次单独的登录尝试,这些尝试将被登录锁定插件捕获和阻止。

但是使用XML-RPC,黑客可以使用system.multicall函数尝试数千个密码,例如20或50个请求。

这就是为什么如果您不使用 XML-RPC,那么我们建议您禁用它。

提示:.htaccess方法是最好的方法,因为它占用的资源最少。

如果您使用的是前面提到的 Web 应用程序防火墙,那么这可以由防火墙处理。

在WordPress中自动注销空闲用户

登录用户有时会离开屏幕,这会带来安全风险。有人可以劫持其会话、更改密码或更改其帐户。

这就是为什么许多银行和金融网站会自动注销非活动用户的原因。您也可以在WordPress网站上实现类似的功能。

您需要安装并激活非活动注销插件。激活后,访问设置 » 非活动注销页面以配置插件设置。

inactiveuserlogout

只需设置持续时间并添加注销消息即可。不要忘记单击保存更改按钮来存储您的设置。

将安全问题添加到WordPress登录屏幕

wpsecurityquestion

在您的WordPress登录屏幕中添加安全问题会使某人更难获得未经授权的访问。

您可以通过安装 WP 安全问题插件来添加安全问题。激活后,您需要访问设置 » 安全问题页面以配置插件设置。

扫描WordPress中的恶意软件和漏洞

malwarescan

如果您安装了WordPress安全插件,那么这些插件将定期检查恶意软件和安全漏洞的迹象。

但是,如果您发现网站流量或搜索排名突然下降,则可能需要手动运行扫描。您可以使用WordPress安全插件,也可以使用这些恶意软件和安全扫描程序之一。

运行这些在线扫描非常简单,您只需输入您的网站 URL,它们的爬虫就会通过您的网站来查找已知的恶意软件和恶意代码。

大多数WordPress安全扫描程序都可以扫描您的网站。他们无法删除恶意软件或清理被黑的WordPress网站。

修复被黑客入侵的WordPress网站

许多WordPress用户直到他们的网站被黑客入侵才意识到备份和网站安全的重要性。

清理WordPress网站可能非常困难且耗时。我们的第一个建议是让专业人士来照顾它。

黑客在受影响的网站上安装后门,如果这些后门程序没有正确修复,那么您的网站可能会再次被黑客入侵。

额外提示:身份盗窃和网络保护

作为小企业主,保护我们的数字和财务身份至关重要,因为如果不这样做可能会导致重大损失。黑客和犯罪分子可以使用您的身份窃取您的网站域名,入侵您的银行帐户,甚至犯下您可能要负责的犯罪。