WordPress為超過 35% 的網路提供支援。駭客不斷試圖破壞該平台也就不足為奇了。作為網站所有者,您有責任確保這些努力不會影響您的網站。但考慮到新漏洞被發現的頻率,這並不是一件容易的事。開始讓您的網站面向未來並保護其免受攻擊的最佳方法是實施本文中的所有更新。讓我們開始吧!
WordPress 安全性簡介
WordPress 是一個穩定且安全的平台。由於它是開源的,用戶可以從致力於修補漏洞並不斷改進其安全性和功能的開發人員社群中受益。
然而,WordPress 網站面臨著與所有網站相同的安全風險,例如:
- 暴力攻擊
- 分散式阻斷服務 (DDoS) 攻擊
- 文件包含漏洞
- SQL注入
- 跨站腳本(XSS)
- 惡意軟體
如果這份風險清單看起來又長又嚇人,那我們有個好消息。研究表明,大多數網站攻擊是由於用戶疏忽造成的,而不是因為核心平台的 國家電子郵件列表 漏洞實施我們建議的技巧,您的安全性應該高於平均水平。
使用安全通訊端層 (SSL) 憑證
與普遍看法相反,SSL 憑證不僅適用於線上商 您應該嘗試的 8 個白標經銷商計劃標籤經銷商計劃 店即使您不透過網站接受信用卡付款,安裝一個也可以顯著提高您的 WordPress 安全性。
在您的網站上安裝 SSL 憑證並擁有正確配 資料庫到數據 置的伺服器有助於確保所收集的任何訪客資訊(例如信用卡、電子郵件地址和訂單詳細資訊)安全地傳輸到您的網站。您的訪客在瀏覽器網址列中看到掛鎖圖示會感到更安全。另外,這可能是您的搜尋引擎優化 (SEO) 工作中的排名因素。
如果您從Kinsta等供應商購買網頁寄存,您的軟體包通常會包含 SSL 憑證。否則,我們推薦Cloudflare 的免費 SSL 解決方案。
如果您已註冊我們的任何網站支援計劃,我們都支援這兩種選項。
啟用雙重因素 (2FA) 或多因素身份驗證 (MFA)
選擇安全密碼是任何線上活動的必要條件。然而,總是有人有可能使用暴力手段破解使用者的登入憑證。 2FA 或 MFA 流程可以減輕該風險。
當您在 WordPress 中啟用 MFA 或 2FA 時,您的使用者將能夠設定驗證登入的輔助方法,例如透過身分驗證應用程式產生的基於時間的程式碼、透過電子郵件傳送的臨時連結或其他方法的認證。
打開 MFA 或 2FA 的最簡單方法是使用Two-Factor等插件,這是一個免費工具,支援多種身份驗證方法,並與WooCommerce等其他插件整合良好。
期更新WordPress
使用過時版本的 WordPress 可能會使您的網站容易受到多種威脅,因此定期更新非常重要。甚至像路透社這樣的大型組織也因為過時的 WordPress 安裝而遭到駭客攻擊。不要低估這項任務的重要性。
WordPress 更新通常包含安全補丁,因此您必須在新版本可用後立即查看並安裝它們。您通常可以透過儀表板中的「更新」畫面來執行此操作:
如果您的網站未執行最新版本的 WordPress,請確保在安裝更新之前對您的網站進行完整備份。
如果您擔心更新會影響網站的功能,通常可以將安裝推遲 30 天,同時找出任何衝突的解決方案。
請注意,除了核心 WordPress 平台之外,您還需要讓主題和外掛保持最新。使用未經最新 WordPress 版本測試的過時工具和附加元件可能會導致安全漏洞或破壞您的網站。
升級你的PHP版本
使用過時的 PHP 版本也會使您的網站容易受到攻擊。您應該始終嘗試使用最新版本並從主動的 PHP 安全支援中受益。
網站所有者通常可以透過其託管帳戶或從提供者獲得幫助來在 PHP 版本之間進行切換。如果您網站上的功能需要舊版的 PHP,請確保它仍受關鍵問題支援。
進行插件審核
您安裝的插件越多,駭客進入您網站的潛在入口點就越多。盡可能頻繁地重新評估所有插件。安裝帶有錯誤和漏洞的可疑工具可能會嚴重損害您的 WordPress 安全性。
在評估您的外掛程式時,僅保留您經常使用的受尊重的插件。例如,遷移工具通常是一次性的,因此最好在其任務完成後停用並刪除它。
另外,不要使用不再受支援的過時插件。您可以在 WordPress 外掛目錄或外掛程式開發者網站上找到此資訊:
最後,確保您的所有外掛程式與您的 WordPress 版本相容,以避免安全漏洞。
安裝Akismet
評論部分和提交表單很容易成為垃圾郵件發送者的目標,這就是為什麼我們建議安裝Akismet來過濾掉不需要的提交內容。該工具還可以透過清除可疑條目來防止您的網站儲存惡意內容。
看起來像垃圾郵件的東西實際上可能是惡意軟體,正在入侵您網站的內部運作。垃圾郵件和惡意內容也會損害您的搜尋引擎排名。這一切都只是把遊客趕走。
正確配置防火牆
使用防火牆可以防止DDoS 攻擊,從而導致您的網站癱瘓。如果您使用共享網頁寄存計劃,DDoS 攻擊甚至可能會導致帳戶被暫停。除了極度令人沮喪之外,隨著網站流量的激增,您的託管成本可能會飆升。
設定防火牆取決於幾個因素。例如,您需要它與Sucuri或Cloudflare同步,或選擇包含防火牆服務的託管套件。如有疑問,請查閱相關文件或諮詢專門從事 WordPress 安全的公司。
建立自訂登入 URL
預設情況下,每個 WordPress 網站都有兩個 URL 可將您帶到登入頁面 由於這些是眾所周知的預設設置,因此它們是駭客在嘗試闖入您的網站時首先訪問的 URL。如果您使用弱用戶名和密碼,您就非常容易受到攻擊。
您可以使用WPS Hide Login等外掛程式來變更登入頁面 URL 。該工具允許您選擇自訂位址,使外部人員無法存取wp-admin目錄和wp-login.php頁面。
實施 reCAPTCHA
駭客經常使用機器人來加強他們的攻擊。這時候驗證碼(區分電腦和人類的完全自動化公共圖靈測試)就派上用場了。結合此工具,透過需要人類邏輯的簡單挑戰來阻止機器人和垃圾郵件發送者。Google 的 reCAPTCHA是最用戶友好的解決方案。您不必識別許多人認為乏味的圖像或文字片段,只需要求訪客點擊「我不是機器人」複選框即可: