7月 22, 2020 网站制作 0

2020你的WordPress网站存在什么风险？网络安全

2020你的Wordpress网站存在什么风险？网络安全

2020你的Wordpress网站存在什么风险？网络安全: 您是否运行WordPress博客？如何防范在线欺诈？尽管WordPress被公认为是世界上最安全，最受信任的内容管理系统之一，但每天仍有30,000多个站点遭到黑客入侵。我敢打赌你不想成为其中之一。有备则无患。因此，为了确保您网站上的所有内容都受到保护并且每次登录尝试都受到控制，我们决定写这篇文章，其中包含最终解释，说明以及消除任何WordPress主题安全风险的工具列表。

目录：

什么是WordPress安全 – 温哥华wordpress网站设计

WordPress安全性是一个连续的过程，应由站点管理员进行特别谨慎的管理。在谈论安全性时，我们建议如何保护它免受在线上可能面临的任何风险。您的网站在遭受黑客攻击或垃圾邮件方面有多脆弱？为了保证您的WordPress博客或站点100％安全，您需要实施适当的安全控制，以将受到影响的风险降低到最低。

WordPress安全性的主要元素是什么？我们可以重点介绍三个核心领域-技术，人员以及将安全解决方案实施到Web项目中的过程。就您的博客的安全性而言，每一个都同样重要。向前迈进，最重要的建议是在实施新技术并为新用户提供对站点安全性的访问时要格外小心。

在WordPress CMS的基础上构建博客或网站，首先要做出的主要决定是为您的网站选择合适的网络主机。有一系列可用的选项。托管服务提供商的选择也在快速增长。有一系列托管服务提供商专门研究WordPress托管。我们审查并比较了先前帖子中的内容。

无论您选择共享的，VPS，专用还是托管的Web主机，建议您都跳入它们各自的技术规格。不同的主机旨在用于不同的目的，提供不同的存储空间，其他服务，安全性和定价计划。

WordPress安全风险 – 加拿大网页设计

硬币总是有两个面。WordPress在常规的系统更新中很受欢迎，每个更新都为站点管理员提供了许多新功能。通常，每次连续更新都会提供增强的功能和错误修复，以确保您的网站安全。

首先要记住的是，您的WordPress安装只能从WordPress.org下载。这是提供内容管理系统的最新版本并发布更新的唯一官方资源（每个资源都经过详细检查）。

WordPress网站中最易受攻击的部分是您安装的扩展程序，以增强其功能。您在网站上安装的主题和插件经常被网络犯罪分子和黑客利用。情况是，WordPress网站的工具和模板的开发人员不是安全专家，可以无意间用易受攻击的代码编写其数字产品。为了防止遭到黑客攻击，主题和插件开发人员会发布其产品的更新。因此，如果您发现将要添加到WordPress网站的扩展名不再受支持或与最新的WordPress版本不兼容，那么您最好放心使用，并寻找更安全的替代方法。

您的WordPress Web服务器及其上的软件也可能受到威胁。您需要适当注意的漏洞主要取决于您为站点选择的WordPress Web服务器类型。如果您选择托管主机，那么您将只需要从网络托管服务提供商方面进行常规更新，并将这些更新及时安装到您的主机上。如果您使用共享的Web托管服务，请准备好使您的网站更容易面临风险。情况是，在共享的Web主机上，您与可能被黑客入侵的其他Web资源共享空间。如果共享共享Web主机的共享空间的任何站点都被黑客入侵，那么您可能会将自己网站的IP地址列入水疗中心名单的黑名单。如果发现遇到任何形式的电子邮件可传递性问题，那么最好使用黑名单查找工具（例如MxToolBox或Domain Health Check）来查找正在发生的情况。

您是否在同一服务器上运行多个博客？明智地玩耍并将它们保存在不同的数据库中，每个数据库都由不同的用户管理。最好是通过最初的WordPress安装来实现。否则，如果诈骗者入侵您的一个博客，几乎不可能更改其余的在线项目。

简单的技巧来保护您的WordPress网站

您可能会认为您的博客上没有什么特别的东西，黑客可以更好地节省时间和精力在网络上的其他地方。但是，事实并非如此！大多数网站违规事件的发生并不是因为有人想要窃取您的数据。那是您的服务器，对于诈骗者来说是最大的价值。可以用作垃圾邮件的电子邮件中继的Web服务器在现代Web上并不罕见。当然，有骗子和竞争对手正在寻找损害您业务的方法。无论如何，您需要保护您的网站免受骗子和黑客的攻击。下面的技巧列表将帮助您确保网站安全。

您的网站是否使用HTTPS协议？如果仍使用HTTP，则可能会丢失大量客户端，并且会面临遭受黑客攻击的较高风险。如果您照顾客户的在线安全，并希望确保与您共享的所有内容都具有100％的信心和受到保护，那么HTTPS协议是确保其在线隐私的不二之选。此外，HTTPS网站在搜索引擎中排名更高。这些都将获得更多SEO收益。流行的Web浏览器在不使用HTTPS协议的网站上发出警告。您不希望这种情况发生在您的网站上吗？切换到HTTPS并考虑以下WordPress安全技巧。

1.保护登录页面

每个人都知道如何访问任何WordPress网站的传统登录页面。为了防止暴力攻击，请考虑将/wp-login.php或/ wp-admin替换为只有您的团队成员才知道的自定义URL。

相反，您可以使用/ my_new_login或/ my_new_registration之类的东西。

此外，安装WordPress安全插件，其中包括用于失败登录尝试的锁定功能。本指南下面列出了几种最受欢迎和最可靠的解决方案。作为站点管理员，您可以在站点的登录页面上指定应该锁定的失败登录尝试次数或不应允许的IP范围。

2.使用两因素身份验证

这是另一种很好的安全措施，由用户需要管理以访问站点支持的两个组件组成。站点管理员可以自己决定这两个选项。例如，这可以是传统的登录名和密码请求，并伴随着一个秘密问题。

PS：下面的列表中提供了一个免费的2因子身份验证WP插件。

3.保持软件更新

似乎很明显。不过，请确保您在站点上使用最新版本的软件。这既处理您使用的WordPress版本，又处理安装在其上的主题或扩展名。WordPress经常发布错误修复和系统更新。他们这样做的目的是保护您的网站免受黑客利用已经修复的错误的攻击。如果您不更新软件，主题，扩展名或其他任何内容，则会自动使您的站点更容易受到攻击，并增加被黑客入侵的风险。

4.保护您的密码

弱密码会重复您的用户名或听起来类似于电子邮件地址，这会增加黑客攻击成功结束的风险。为了防止这种情况，请使用更复杂的密码，其中包含小写和大写字母，数字和特殊字符。不要简短。选择包含超过10个符号的密码。

5.使用SSL加密数据

安全套接字层是保护站点管理面板的最成熟的方法之一。借助SSL，您可以对用户的Web浏览器和Web服务器之间的安全数据传输充满信心，从而使黑客无法访问您的信息。

当您决定为自己的站点获取SSL证书时，应该不会遇到任何困难。通常，大多数可靠的托管服务提供商将其包括在网站管理员订阅后将获得的功能列表中。

此外，受SSL证书保护的网站在搜索引擎中的排名要高于没有任何特征的网站。Google偏爱更安全的在线项目，从而增加了您的网站获得稳定流量的机会。

6. WP-admin目录保护

这是您网站的核心。这是黑客渴望访问的另一个易受攻击的地方。为了防止它被破坏，强烈建议使用密码保护您的wp-admin目录。这样，网站管理员在需要访问您网站的后端时将被要求提交2个密码。其中之一是登录页面的密码，而第二个则负责您网站的管理面板。

7.明智地设置用户角色

如果您运行一个多作者博客，则需要指定不同的用户在进入您网站的管理面板后可以访问和管理的内容类型。为此，您可以使用免费的WordPress插件。下面列出了一些最有用的建议。这些将帮助您指定站点上的用户角色，并限制对易受攻击数据的访问。

作为您网站的管理员，您需要以一种不太容易让黑客猜测何时尝试访问您网站的管理面板的方式重命名管理员用户名。

8.定期备份您的网站

您可以通过两步授权和大量安全插件来运行最安全的网站，以实现多种用途。但是，您永远不会知道您的Web资源明天可能面临什么样的风险或Web主机可能遇到的问题。无论发生什么情况，您都需要确定所有数据和站点设置都受到保护。这是常规站点备份开始起作用的时候。即使您的网站崩溃或受到骗子的攻击，您也始终可以在备份的帮助下将其还原。

9.不要泄漏错误信息中的秘密信息

就可用性和用户友好性而言，在您的网站上使用错误消息非常有用。但是，当您在网站上显示错误消息时，请确保不要泄露诸如API密钥，数据库密码之类的秘密数据。也不要透露完整的异常详细信息。将错误详细信息保密，并仅显示网站访问者应注意的那些数据。这将帮助您使WordPress更耐SQL注入。

10.保密您当前的WordPress版本号

不要帮助黑客攻击您！如果他们知道为您的网站提供支持的软件的确切版本，他们将能够为您的Web项目量身打造完美的攻击。为了防止这种情况的发生，请使用我们下面介绍的免费WordPress安全插件来隐藏WordPress版本。以防万一您的网站被黑客入侵，请使用Sucuri。指向它的链接也在下面的列表中！

免费的WordPress安全插件

WordPress安全插件评论的时间到了。wordpress.org上有数千个安全性插件。我们精选了15种最受欢迎的解决方案，这些解决方案受到数百万WordPress用户的信任，可以保护您在线状态的各个方面。让我们开始吧。

喷气背包

Jetpack是多合一的WordPress插件。有了它的帮助，您可以为您的网站创建独特的设计，进行推广并像专业人士一样进行保护。所有的核心功能都包含在该软件的免费版本中。这些是100多个免费主题，延迟加载图像，暴力攻击防护，统计信息和相关内容，自动社交媒体发布以及电子邮件支持。如果您需要更多功能，则可以使用高级功能。

Jetpack不仅仅是一个很好的WordPress安全插件。它的软件包中包含许多出色的恶意软件保护工具。但是，它还包括免费的WordPress主题，这些主题可以免费进行自定义。有一系列用于后期排定的在线营销工具。

特点：

各种网站的数百个主题；
无限的高速内容交付网络；
延迟图像加载；
与所有主要的WordPress应用程序集成；
衡量，推广您的网站并从中获利的工具；
垃圾邮件过滤；
实时备份；
恶意软件和代码扫描；
使用20factor身份验证等来确保安全登录。

价格：免费；高级计划每年起价$ 39

围栏

Wordfence是最受欢迎的WordPress安全插件之一，活跃安装量超过200万。这是一个开放源代码解决方案，其中包括大量可靠的功能，可以扫描和保护WordPress网站免受任何形式的恶意软件攻击。由于WordPress防火墙和安全扫描程序，所有恶意IP地址都不会被发现。

特点：

Live Traffic会实时监控未在其他分析平台中显示的访问和黑客尝试。
该插件的免费和高级版本均提供评论垃圾邮件过滤器。
扫描文件内容，帖子和评论，以检查网站的内容安全性。
检查您的站点并向您发出警报。
修复文件并用原始版本覆盖它们。
检查您的站点或IP地址是否已被列入任何恶意活动的黑名单。

价格：免费；高级计划每年起价$ 29.86

恶意护理

MalCare是一个多功能安全性插件，可谓一举多得。它的免费版本提供两个基本选项。首先，您将获得防火墙保护。除此之外，它还具有高级恶意软件扫描程序。由于采用了动态算法，因此很容易找到复杂的恶意软件。整个过程在专用服务器上进行。甚至免费版本也遵循相同的路径！

关于付费版本怎么说？它提供了广泛的安全功能。您还将获得即时的恶意软件清除功能。用户可以通过三步过程自由清理自己的网站。它减少了周转时间，从而降低了将Google黑名单或Web Host暂停的风险。

特征：

不影响服务器或网站性能的异地扫描过程；
无限制的按需扫描和清理，无需任何额外费用；
基于云的防火墙，可保护您的网站不受24/7的强制攻击；
完整的管理模块，可从一个仪表板管理多个在线项目；
免费工具，包括内置的登台，网站强化，地理封锁，性能和正常运行时间监控。

MalCare具有5星级24/7客户支持。高级版本的起价为每年99美元。他们还提供免费试用版，使所有选项可用。

限制登录尝试

顾名思义，使用此插件，您可以通过常规登录和身份验证Cookie来限制对网站的登录尝试次数。设置为默认设置，WordPress允许无限制的用户登录网站尝试次数。这样就很容易破解现有的用户密码。该插件将使诈骗者更难于破解您的网站，同时阻止对WordPress项目仪表板的错误登录尝试次数。

特点：

限制登录时重试的次数（针对每个IP）；
以相同的方式限制使用auth cookie登录的尝试次数；
在登录页面上通知用户剩余的重试次数或锁定时间；
可选的日志记录，可选的电子邮件通知；
在反向代理后面处理服务器。

价格：免费

iThemes安全

在您的网站上安装此插件后，您将使用30多种方法来保护WordPress网站免受各种在线漏洞的侵害。一旦安装并激活它，您将自动扫描您的站点以寻找可能的攻击和漏洞。这样您就可以放心所有内容都受到100％保护。该插件包括免费和专业功能。如果您需要额外的工具（例如2要素身份验证，恶意软件扫描计划，密码到期，导入/导出设置等），则可以升级。iThemes Security支持多站点模式。它还禁止那些试图闯入其他网站的用户。集成了无法登录到您的站点的IP地址的自动报告以及许多其他安全功能。

特点：

通过禁止主机和用户进行过多无效登录尝试来防止暴力攻击；
扫描您的网站以立即报告存在漏洞的位置，并在几秒钟内修复漏洞；
禁止麻烦的用户代理，机器人和其他主机；
加强服务器安全性；
为具有可配置最低角色的所有帐户强制使用强密码；
强制对管理页面，页面或帖子（在支持的服务器上）使用SSL；
从WordPress管理区域中关闭文件编辑；
检测并阻止对您的文件系统和数据库的大量攻击。等等

价格：免费；保费计划每年80美元起

多合一WP安全性和防火墙

使用此插件可以为您的WordPress网站添加一些额外的安全性和防火墙。这是一个终极工具，可让您随时了解和更新站点的当前安全级别。它可以控制在线项目的所有方面，从失败的登录尝试到数据库问题。每当发生任何问题时，站点管理员都会收到自动通知。

特点：

用户帐户安全性；
用户登录安全性；
用户注册安全；
数据库安全性；
文件系统安全性；
HTACCESS和WP-CONFIG.PHP文件备份和还原；
黑名单功能。

价格：免费

Sucuri扫描仪

该插件对所有WordPress用户都是免费的，它仍然包含一些高级功能。这是全球公认的WordPress安全插件，它提供了一组亲安全功能，可以补充现有的网站漏洞。

特点：

安全活动审核
文件完整性监控
远程恶意软件扫描
黑名单监控
有效的安全加固
黑客入侵后的安全措施
安全通知
网站防火墙（高级）

价格：免费，具有高级功能

ManageWP Worker

Worker是一个多站点解决方案，使您可以从一个地方管理数十个在线项目。该插件旨在帮助您自动化工作流程，从而更加专注于完成最重要的任务。这是一种快速，安全和免费的解决方案，可让您从一个地方处理无限数量的网站。

特点：

集体行动；
工作云备份；
安全更新；
客户支持；
Google Analytics（分析）整合；
性能和安全检查；
正常运行时间监控器；
克隆和迁移等

价格：免费，具有高级功能

防弹安全

Bulletproof Security是一个开源软件，负责对您的WordPress网站进行智能保护，以防止任何形式的漏洞。它是免费的，但具有高级功能。使用一键安装向导可以快速，轻松地进行安装。使用此插件，将为您提供安全的登录监视，高级前端和后端维护模式，UI皮肤更改器等。顺便说一下，您可以选择3种皮肤。

特点：

设置向导自动修复；
MScan恶意软件扫描程序；
.htaccess网站安全保护（防火墙）；
隐藏的插件文件夹|文件Cron（HPF）；
登录安全和监控；
JTC-Lite（BPS Pro JTC Anti-Spam | Anti-Hacker的限量版）
空闲会话注销（ISL）
验证Cookie过期时间（ACE）
数据库备份等

价格：免费，具有高级功能

Cerber安全与反垃圾邮件

该插件的目的是保护您的WordPress网站免受暴力攻击。它限制了失败的登录尝试次数。通过发现可疑活动时立即发送的电子邮件/手机/桌面通知来跟踪用户和入侵者的活动。

特点：

通过IP地址或整个子网登录时，限制登录尝试次数。
监视由登录表单，XML-RPC请求或身份验证Cookie进行的登录。
记录用户，漫游器，黑客和其他可疑活动。
带有功能强大的事件过滤器的酷通知。
尝试使用不存在或禁止的用户名登录时，立即阻止IP或子网。
限制用户注册或使用与REGEX模式匹配的用户名登录。
禁用WP REST API或限制对您自己的安全规则的访问。

价格：免费

WP安全审核日志

该插件为您提供了对网站上发生的所有操作的完全控制。它支持WordPress多站点功能，该功能使您可以对WordPress项目中发生的所有事件进行审核。该工具存储有关用户访问您的站点的ID地址，用户角色，他所进行的操作等的显式信息。实时用户活动监视包括在内，以显示在此特定时刻站点上正在发生的事情。

特点：

帖子，页面和自定义帖子类型的更改；
标签和类别更改；
小部件和菜单更改；
用户个人资料更改；
用户活动会话；
WordPress核心和设置更改；
WordPress多站点网络更改；
插件和主题更改；
WordPress数据库更改等。

价格：免费，单个站点许可的高级计划起价为$ 89

WordPress备份和安全插件

BlogVault的备份和安全插件可100％保证您的WordPress资源受到完全保护，免受任何形式的在线恶意软件的侵害。借助存储在云中的常规备份，您将能够在需要时访问所有有价值的数据。该插件还提供WooCommerce备份，这对于数据丰富的Web项目尤其有用。

特点：

自动每日和实时备份
365天备份历史记录
备份到云和Dropbox
自动每日和实时扫描
一键式恶意软件删除
执行主题和插件更新
一键式迁移

价格：免费，高级计划从每年89美元起

用户角色编辑器

使用该插件，您可以更改站点上的用户角色（管理员除外）。您只需单击几下即可添加新角色并自定义其功能。如果有未分配给任何用户的角色，则只需继续删除它们即可。可以同时将多个角色分配给同一用户。还提供了多站点支持。

特点：

阻止角色选择的管理菜单项。
隐藏没有登录的访问者，登录的用户，角色的所选前端菜单项。
在角色的“外观”菜单下阻止所选的小部件。
在前端显示所选角色的小部件。
阻止角色选择的元框（仪表盘，帖子，页面，自定义帖子类型）。
“导出/导入”模块等

价格：免费，高级计划从每年29美元起

登录锁定

该插件记录了所有失败登录到您的站点的IP地址和timetemp。如果话费记录了在短时间内在相同IP范围内发生的一定数量的失败登录尝试，它将自动禁用该范围内的所有请求。IP块可以通过管理面板进行处理。特定的IP地址也可以手动释放。

特点：

网站登录尝试跟踪；
失败的登录尝试记录；
IP范围块；
手动释放IP地址。

价格：免费

阻止不良查询

该插件旨在保护您的网站免受恶意URL请求。该工具检查所有传入流量以记录错误请求，从而确保您的WordPress网站安全。

特点：

强大的防火墙安全性；
即插即用功能；
无需配置；
与SSL / HTTPS一起使用；
可在任何支持WP的服务器上使用；
不需要.htaccess。

保费计划中包含更多功能。

价格：免费和专业版可用

Google身份验证器

使用此插件，您将使用适用于Android / iPhone / BlackBerry的Google Authenticator应用将两步身份验证添加到WordPress网站。可以基于每个用户启用双重身份验证（例如，对于站点管理员）。

特点：

每用户两因素身份验证；
兼容Android，iPhone和BlackBerry。

价格：免费

WordPress安全清单

话虽这么说，让我们总结一下。WordPress的核心是相当安全的。但是，您应该始终准备好应对站点可能遇到的任何类型的安全问题。为了在晚上睡个好觉并100％确信您的网站运行正常，请查看以下清单。注意他们已完成，或只是在此页面添加书签，以免错过任何事物。

限制对有价值和脆弱数据段的访问。限制对网站后端的管理访问，同时还将可能的入口点数量减少到最少。
仅安装您将在站点上真正使用的那些应用程序和扩展。删除所有不必要的安装。
定期备份您的网站。为了使您不会错过任何事情，请使用可信任的WordPress安全插件，该插件将定期备份您网站的内容。这样，如果站点已损坏或被黑客入侵，您将能够还原其所有元素，设置和内容。
使用最新版本的WordPress并定期更新其所有元素。随时关注WordPress社区中的新闻。
从受信任的来源下载主题和插件。除了wordpress.org之外，不要从其他任何地方安装WordPress。
监视您的网站和用户行为。
在阻止任何可疑活动的同时，保护您网站的登录和管理面板。
明智地选择Web主机。对于您的站点，共享虚拟主机可能是最便宜但也不是最安全的解决方案。

您是否同意我们在这篇文章中强调的提示和建议？您有什么要补充的吗？请通过评论分享您有关如何避免WordPress安全风险的想法和想法。