当前位置: 首页 >> 帮助中心 >> 常见问题 >> 查看详情
WordPress使用者倾向于将如此多的在线威胁和网络攻击的原因,归结为WordPrss本身固有的安全漏洞。其实这是不对的。WordPress背后的安全团队一直在努力消除WordPress中发现的任何漏洞,并不断发布包含安全补丁的核心更新。据估计,自最初的WordPress版本以来,已修补了两千多个安全漏洞。为了使用所有可用的安全补丁,建议您尽快自动或手动更新WordPress程序。
通常情况下,黑客会攻击网站以获取金钱或黑客活动。这并不意味着您的新WordPress网站不是黑客的目标。事实上,所有网站,无论内容丰富或内容如何,流量大或流量小,都存在网络攻击的风险。
随着WordPress本身仍在增加到网络上最受欢迎的内容管理平台,它自然是黑客最喜欢的目标。
WordPress网站大多是通过其网站服务器漏洞被攻击,也有不安全的主题或则网站插件被攻击。
在每年如此多的黑客攻击中,几乎所有攻击都是自动完成的。这就是为什么黑客被发现不能区分不同大小的WordPress网站。
通过使用机器人或黑客户程序自动和系统地检测已知的漏洞,黑客同时攻击了数十万个站点。因此,如果您的WordPress网站被黑客入侵,可能是因为该网站的安全漏洞出现在自动脚本的检测到。
一些最常被利用和潜在的WordPress漏洞,包括:
除此之外,还有许多其他原因导致被黑客入侵的WordPress网站,例如人为错误。通常,多个漏洞同时被利用。
正如您所看到的,可能存在比您想象的更多的安全漏洞。它们不断弹出,这意味着你总是面临遭受攻击或黑客攻击的风险。你永远不能阻止事情在100%的时间内发生,你能做的最好的事情就是实施最好的安全措施来保护自己。
始终确保您运行的是最新版本的WordPress以及所有主题和插件。开发人员会定期启动更新以及Web应用程序中包含的修补程序。为了避免让自己面临潜在的漏洞,因为黑客总是倾向于使用旧版本,所以应该保持一切更新。对于可能是潜在后门的未使用主题和插件,请尽快停用并删除它们。
您可能不希望自己手动更新WordPress,主题和插件,您可以考虑利用托管服务提供商提供的自动化工具。例如,使客户能够轻松地打开或关闭新WordPress安装的自动集成,包括通过简单的点击更新主题和插件。
您还可以对WordPress安装进行其他和推荐的编辑,以提高WordPress网站的安全性。例如,通过将以下行添加到主题的functions.php文件中来隐藏WordPress版本号:
并从您的主题文件中删除WordPress引用,如下所示:
无论您的WordPress网站服务器有多安全,都有改进的余地。始终建议并且必须定期备份站点,包括数据和文件。
此外,您最好安排备份,以防止在您需要还原WordPress站点时可用的存档失效。您可以手动备份WordPress站点,也可以在备份插件的帮助下完成备份。有一些很棒的WordPress插件可以让你拥有一个完整的网站副本,这样你就可以在遇到任何问题后回滚。另外,不要忘记测试备份的工作位置,并包括要备份的所有内容。
由于Google于2017年1月开始将所有HTTP网页标记为不安全,因此许多WordPress网站所有者正在考虑购买必要的SSL / TLS证书并在其WordPress托管服务器上设置HTTPS,以提高网络的安全性和隐私性。
不幸的是,仍然有许多人拒绝运行HTTPS连接,因为他们正在运行博客或信息站点,并且没有什么需要保护。显然,他们忽略了登录凭据的重要性。如果一个WordPress站点有多个作者从各种不同的网络登录,则通过安全连接运行是加强WordPress安全性的最佳方法。顺便说一句,即使为了SEO的优势和HTTPS的性能优势,从HTTP切换到HTTPS也是值得尝试的。
如果您担心高级SSL证书的成本,可以从免费选项开始,该选项可以为付费域验证的解决方案提供同等的保护,并且受到99.9%的浏览器和设备的信任。随着需求的增长,他们可以通过在SSL证书提供商以经济实惠的价格购买,升级到高级别的OV或EV SSL证书。
您站点的所有关键配置信息都保存在wp-config.php文件中。难怪尽可能保护它免受黑客攻击至关重要。要保护此文件,您需要执行以下几个步骤:
1)生成新的密钥
安装WordPress后,系统会在你的wp-config.php文件中写入四个密钥,用于加密存储在cookie中的信息,使密码难以破解。
只要您重置密码并确保您的WordPress网站没有任何后门漏洞等,您的网站就可以再次免受黑客攻击。
您可以使用WordPress安全密钥生成器生成一组新的安全密钥。使用此URL并复制整个输出并将其直接粘贴到wp-config.php文件中,替换旧密钥。
2)移动wp-config.php
默认情况下,wp-config.php文件位于WordPress站点的根文件夹中。换句话说,它可以很容易地在公共HTML文件夹中找到,并且可以通过浏览器访问破解程序。好消息是,WordPress允许您将wp-config.php文件从其默认位置移开,以使其难以定位。
通常,有两种方法可以移动wp-config.php文件。如果您确信您的WordPress站点位于根目录而不是子目录中,则可以选择将其移动到一个目录,条件是已存在具有相同名称的文件。另一种方法是将其移动到任何您想要的位置,但您需要创建一个具有相同名称的新文件,并在下面的原始位置使用以下代码:
此外,将/path/to/wp-config.php更改为wp-config.php文件的实际路径,您可以在其中移动它。
弱密码已成为WordPress网站安全问题的最常见原因之一。因此,始终建议选择由字母,数字和字符组成的复杂密码。
在创建密码时,您最好记住一些规则:
您的所有WordPress网站的数据和信息都存储在数据库中。保护好它是至关重要的。
首先,使用不同的表前缀。WordPress默认使用wp-table前缀,这容易引起SQL注入攻击。您可以通过将wp-更改为x3sdf-来阻止您的WordPress网站,这样入侵者就不太可能猜到它。即使您使用默认前缀安装了WordPress站点,也可以在WordPress插件的帮助下将其更改为iThemes Security。
其次,为数据库设置强名称和密码。不要担心太复杂而无法记住,因为如果你提供它们,你可以查看wp-config.php文件中的详细信息。
第三,隔离您的WordPress数据库。当您在同一托管服务器帐户上有多个WordPress站点时,这尤其有用。为方便起见,您很容易在同一个数据库中创建所有站点,但这也可能产生WordPress安全风险。想想当你的一个WordPress网站被黑客攻击时,其他所有网站都面临着黑客攻击的严重风险。如果您计划在同一屋檐下构建多个WordPress站点,请不要费心创建具有不同名称和密码的新数据库。
第四,限制文件权限。默认情况下,WordPress授予管理员编辑PHP文件的权限。另一方面,这为黑客留下了一个安全漏洞,可以登录您的WordPress网站,然后编辑文件以满足他们的恶意需求。因此,我建议您在完成网站开发并使其联机后禁用WordPress管理员的文件编辑。
XML-RPC使应用程序能够通过API远程连接到WordPress。使用移动应用程序更新站点是XML-RPC的一个用例。它为黑客提供了发动DDoS攻击的机会,同时还带来了极大的便利。
如果您确定没有任何WordPress插件或其他第三方应用程序通过XML-RPC使用您的WordPress站点,则应禁用XML-RPC。
当您开发WordPress网站时,错误报告可以起到终生保护的作用。因此,您可以确切地知道错误的来源并立即修复。
但是,当您的WordPress网站上线时,错误报告可以为黑客提供服务器路径的线索。
如果打开网页错误显示网站的用户名,这对于希望攻击您的主机帐户的黑客来说是至关重要的信息。
要禁用PHP错误报告,请将以下代码添加到wp-config.php文件中:
Web应用程序防火墙(WAF)可以帮助防止黑客靠近您的WordPress站点。您可能会对可用的WAF防火墙感到困惑,并且失去了选择最可靠解决方案的信心。
当您完成上述所有措施以保护您的WordPress网站但却失望地发现它仍处于高风险级别时,是时候考虑更改您的服务器提供商。
选择安全的托管计划并不像您想象的那么困难。请特别注意以下功能,您可以找到适合您的WordPress网站服务器的最佳解决方案:
如果需要保护您的WordPress网站免受恶意攻击并防止丢失敏感数据。我们目前推出香港高防服务器租用,可以防止网站被攻击导致打不开,给您的网站提供可靠的安全防护。欢迎购买使用。