2021年的WordPress安全提示


迈克·霍霍夫(Mike Khorev)

即使拥有所有更新的和更精通技术的网站建设者和CMS,WordPress仍然是目前最受欢迎的CMS,可为超过7千5百万个网站提供支持(也就是说, 接近互联网的40%). 

WordPress之所以如此受欢迎的部分原因是其开源性质,使其使用非常灵活。凭借其无数的主题和插件,您只要拥有专业技术,就可以根据需要构建各种网页。

但是,其开放源代码的特性确实是一把两刃剑:它没有内置的技术和安全支持,例如,如果您使用Wix或Weebly构建网站。 WordPress非常受欢迎的事实也使其成为黑客和网络犯罪分子的流行目标。 

因此,如果您拥有或运营一个基于WordPress的网站,请知道您的网站可能易受攻击并进行维护 安全最佳实践 在保护您的WordPress网站免遭黑客入侵方面非常重要。拥有快速稳定的站点是以下方面的重要因素之一 制定B2B SEO策略以在Google首页上排名

下面,我们将分享一些2021年重要的WordPress安全提示,您可以立即使用它们。 

1.使用强大且唯一的凭据

基本但非常重要的安全性做法是使用强大的用户名和密码,以便黑客可以猜测(即通过蛮力攻击)。 

也, 使用您在其他平台上使用过的相同凭据,因此,当您的一个帐户遭到破坏时,您的WordPress帐户不会受到影响。 

大体:

  • 请使用至少10个字符的长密码。
  • 使用不常见的单词,避免使用连续字母(abcd)或数字(1234),并避免使用常见单词,例如月份名称,基于兴趣的单词(“足球”)等。 
  • 使用大写,小写,符号和数字的组合。
  • 避免使用可公开搜索的信息,例如您的生日,姓名,父母的姓名,配偶的姓名等。

您可以使用各种密码管理器工具(其中很多是 自由)自动生成并记住复杂而独特的密码。

您还应该使用强密码来验证对 管理员 目录。这样,攻击者将需要提交两个不同的密码才能访问您的WordPress仪表板。

多重身份验证

对您的WordPress管理员登录名使用多因素身份验证实质上是为您本来就很安全的密码增加了另一层安全保护。

顾名思义,多因素身份验证(MFA)或两因素身份验证(2FA)本质上是在用户名/密码凭据对的基础上要求其他信息,这些信息可以是: 

  1. 您是: 人脸ID,虹膜/视网膜扫描,指纹等
  2. 您知道的一些内容: 辅助密码,PIN码,秘密问题的答案等。 
  3. 您有: USB加密狗等

这个想法很简单,即使您的密码被盗,攻击者也无法访问您的WordPress帐户,除非他们也知道MFA的第二个因素。

2.限制数据库使用权限和热链接

确保您所有员工的文件和服务器权限正确无误 您的网络服务器和安装。

对于文件: 

  • 调整 认证谁可以的权限 访问 文件
  • 调整 认证谁可以的权限 编辑 the file
  • 调整 执行 权限,以对作为脚本执行或运行文件的权限进行身份验证

对于目录:

  • 调整 认证谁可以的权限 访问 目录文件夹的内容
  • 调整 认证谁可以的权限 添加/删除 目录文件夹中的文件
  • 调整 执行 验证执行将影响目录的功能和命令的权限的权限

即使仅分配正确的权限也可以保护WordPress网站免受各种潜在的安全威胁。 

另外,请务必进行管理 热链接 在您的WordPress网站上。热链接是指其他网站使用您网站的URL直接指向文件(图像,视频等)时。从技术上讲,这不是“盗窃”,但可能导致您网站上的资源消耗增加,包括高昂的托管费用和缓慢的页面速度。 

3.使用最新的PHP并禁用XML-RPC

如果您的WordPress网站需要与应用程序(Web应用程序和移动应用程序)连接,则XML-RPC可能会很有用,但它可能是一个主要的安全漏洞。

为什么?通过XML-RPC,黑客可以使用 ‘system.multicall 功能”,仅用不到50个请求就可以在暴力攻击中尝试数千次登录尝试。没有XML-RPC,如果攻击者想要尝试100种不同的密码,则他们将不得不进行100次不同的登录尝试。

您可以使用.httacess文件轻松禁用XML-RPC,尽管还有许多插件和主题可以帮助阻止利用XML-RPC进行登录。

另外,请确保您的PHP是最新的,以确保已修补所有安全漏洞。通常,每个PHP版本都有两年的支持,因此,如果您的PHP版本现在是7.0或更早版本,则可能需要更新到一个新版本。根据WordPress本身, 超过30%的WordPress网站 仍在使用PHP 5.6。

4.删除未使用的主题和插件

与上述类似,请确保所有插件和主题始终是最新的。使用最新的WordPress版本,我们可以轻松地将插件设置为自动更新,因此完全没有借口。 

另外,养成删除不再使用的主题和插件的习惯。它们不仅浪费空间和资源,而且可能潜在地是安全漏洞。 

5.限制登录尝试

默认情况下,WordPress允许用户无限制的尝试登录次数,虽然这在您忘记密码时会很方便,但这可能是一个主要的安全漏洞,尤其是对于 蛮力攻击。有多种插件可用于此目的,例如重新加载限制登录尝试。 

结论

重要的是要实现多个安全层,以保护WordPress网站。那就是:从您的权限和最佳实践(例如使用强密码)开始,但是随后您必须使用插件来保护系统以及服务器/主机的技术配置。 
重要的是要记住,没有一种安全方法可以保护我们免受 所有 潜在的攻击媒介。始终最好先谨慎,以后再后悔。


关于 迈克·霍列夫

迈克是SEO专家, 数字营销顾问 帮助中小型企业在线上获得更多潜在客户,销售并增加收入的人。他通过基于效果的SEO数字营销,网页设计,社交媒体,搜索引擎营销以及许多其他在线实践,以正确的方式为您的公司营销提供专家建议。

电子邮件ID: [email protected]
墓碑链接: //en.gravatar.com/khorevmike
//twitter.com/MikeKhorev
//www.linkedin.com/in/mikekhorev/


Follow 华晨安全杂志on 推特, 脸书领英 以确保您收到有关最新安全和网络安全新闻和信息的警报。