WordPress:关于安全性的10个最佳实践
WordPress(WP)被称为 最受欢迎的CMS,其中许多是在设计时着重于可访问性,性能和易用性,并且正在持续开发中(当前版本5.2),拥有使用多种语言的庞大用户社区以及通过使用自己或第三方主题和附加组件的强大定制能力。
也很安全,但为此,与在任何应用程序或系统中一样,必须遵循良好的实践以实现安全的长期实施。 在这篇文章中,我们希望提供有关这方面的一些基本建议。
简介
WP是用于构建网站的最受欢迎的CMS,通常也是计算机攻击的常见目标,因此,除了不断更新之外, 需要频繁的维护,更新和安全程序 为 因此,可以避免由于附加组件漏洞,弱密码,过时软件等原因造成的弱点,例如, 实现 大大降低了您遭受任何有意或无意攻击的脆弱性。
此外,WP像其他任何内容管理系统(CMS)一样,使您可以快速有效地构建网站,然后将其置于联机状态。 它通过模块和互补的主题具有很高的工作和成长能力,比以往任何时候都更容易实现此任务,而无需为此通常需要长时间的学习。
然而, 副作用 由此可能不会带来令人愉快的事情,可能是该工具的某些管理人员通常 绕过,以确保创建或维护的网站安全的必要措施。 因此,重要的是要牢记有关WP或任何其他CMS和网站的一些常规和特定措施(良好做法),以确保其安全。
最佳实践
1.-全面增强安全性
WP肯定会轻易超过当今Internet上活跃网站总数的30%,这使其成为具有良好或不良意图的入侵者和/或攻击者(黑客/破解者)的最爱目标。 因此,将在具有WP的类似站点上尝试一个已知且已经成功利用的漏洞。
因此,如果您通过WP管理和/或使用一个或多个网站,请确保您更加谨慎,透彻并了解其在线安全性。 请记住,在使用WP的网站上分析和报告的大多数安全违规与应用程序本身的核心几乎没有关系,但与应用程序的实现,配置和一般维护有关的一切都与它无关,由开发人员或管理员错误地执行。”
2.-了解您的漏洞
WordPress约有4.000个已知的安全漏洞,分布情况如下:WP Core(37%),插件(52%)和Themes(11%),根据WPScans网站的最新报告,该网站现在称为 WPSec (从01-05-2019起)。 调查您的网站面临的安全漏洞,并找到解决这些问题的解决方案。 避免运行不安全的WP Core版本或其插件和主题。
重点关注WP或网站上的以下安全主题,即 不同类型的 来自的攻击:
- 蛮力: 加强登录页面上的安全性。
- 文件包含: 加强wp-config.php配置文件的安全性。
- SQL注入 加强与WP相关的MySQL数据库的安全性。
- 跨站脚本: 加强二手WP插件的安全性。
- 恶意软件感染: 加强网站的总体安全性,以防止未经授权的访问,恶意软件的插入以及这些恶意代码的后续机密数据收集。 最常见的恶意软件或攻击通常是以下类型:后门,垃圾邮件SEO,HackTool,邮件程序,污损和网络钓鱼。 希望保护您的站点免受这些类型的恶意软件或攻击。
请记住,一旦任何网站遭到入侵,其SEO排名就会受到影响。 由于搜索引擎倾向于快速记录受感染的网站,因此浏览器将向访问者发出警告信号或完全阻止浏览这些网站的功能。
3.-了解托管服务提供商的基础架构
如果您的网站使用外部托管,也就是说,是在基础架构之外租用的, 不要为确保托管服务提供商的服务质量而花钱。 特别是如果他在“共享托管”计划下托管自己的网站。
如 劣质的“共享托管”会使您的网站更脆弱 当存储在同一服务器上的多个网站之一遭到破坏时。 也就是说,如果网站被“共享托管”的服务器入侵,攻击者还可以获得对其他网站及其数据的访问权限。
4.-知道e网站技术规范 来自您的托管服务提供商
在评估托管服务提供商时,其基础设施并不是全部。 您的托管服务提供商用来提高托管网站安全性的技术Web规范也很重要。 确保它遵循以下建议的用于托管网站的安全准则:
- 轻松安装SSL证书
- 主动管理Web服务器软件版本。
- 防火墙防护
- 网站访问记录
- 例行安全审核
- 恶意活动检测
- 最低支持SFTP(不仅限于FTP),TLS 1.2和1.3,以及PHP 5.6,尽管建议从7.0开始。
所有这一切至少对于提高使用或不使用WP作为二手CMS的网站的安全性都是必要的。
5.-提防使用的主题和补语
在安全级别,已安装的插件和主题至关重要。 旨在仅使用官方WP或社区认证的主题和插件,知名的商业资源库或直接使用信誉良好的开发人员的资源。 由于其中许多(未经认证)可能包含恶意代码。
如果安装了恶意软件,则可以保护您的网站免受WP的影响并不重要。 在下载和安装任何主题和插件或其开发者或推广者网站之前,请先进行研究,并通过免费或折扣产品进行预订。
6.-尝试经常更新CMS
Web平台的更新对于您的安全性非常重要。 要么 是否WP不使用CMS,Core,主题或插件的过时版本可能导致您在网站上藏有已知漏洞。 对于开放源代码的WP,在应用程序的核心内有专门致力于此问题的团队。
WP中发现的每个安全漏洞都将得到立即纠正和消除 为了解决WP中发现的每个新安全问题。 由于该更新 WP及其所有主题和最新版本的插件是成功的安全策略的重要组成部分。
7.-我找到了合适的密码
网站上密码的质量或强度非常重要。 登录到我们的网站是利用漏洞的首选目标,因为它可以最轻松地访问您网站的管理页面。
蛮力攻击是利用您的登录名的最常见方法,找到用户名和密码组合以访问网站。 在WP的特定情况下,默认情况下,它不限制某人可以进行的失败登录尝试的次数,因此,最推荐的做法是使用复杂的密码登录WP管理员。
选择密码时,请考虑基于CLU格式的这3个基本要求 (复杂,长而唯一):
- 复杂: 密码应尽可能随机,并且与Web管理员或网站的密码应尽可能少。
- 长: 密码的长度必须为12个或更多字符。 并增加了对失败连接尝试次数的限制。
- 只要: 不要重复使用密码。 每个密码在时间上必须唯一。 这个简单的规则极大地限制了任何泄露密码的影响。
推荐: 使用“ LastPass”(在线)和“ KeePass 2”(离线)之类的密码管理器以加密格式生成和存储所有密码。
8.-始终准备好抗灾计划
如果使用WP,请记住它没有内置的备份系统。 优先考虑一个,因此您始终拥有网站的最新备份。 备份至关重要,是实施的一般安全策略。
不要忘记,您不仅应该 备份您使用过的网站和数据库但是全部 设置 整个服务器的 通过脚本或克隆映像系统的自动化任务,可以在最短的时间内进行必要的还原和重新安装。
9.-使用2FA增强安全性
使用两要素认证(2FA)机制加强您的WP管理员登录名或网站,这是当今保护网站安全的最佳方法之一。 两要素身份验证要求您使用密码需要来自其他设备(例如智能手机)的其他时间敏感代码才能成功登录,从而为您的网站登录添加了一层额外的保护。 。
在WP的情况下 默认情况下不提供此功能 通过使用插件嵌入相同如iThemes安全性添加相同。
10.-使用任何必要的安全配件
像WP这样的大多数CMS都使用插件来增加自身的安全潜力。 在WP的特定情况下,建议使用名为iThemes Security的安全插件。 为您的网站增加更多保护。 该插件可阻止WP,修复已知漏洞,阻止自动攻击并增强用户凭据。
它有一个免费版本(iThemes Security)和一个付费版本(iThemes Security Pro) 它显然提供了更多的安全功能,例如2FA,计划的恶意软件扫描,用户注册等。
结论
无论是通过WP还是另一个CMS,只需遵循以下最佳或良好的安全做法,就可以避免大多数网站安全问题。 您的网站应有且必须采取必要的安全措施,以确保在这些时期受到黑客和黑客活动困扰的情况下将其不可侵犯性降低到最低程度。
最后,另外, 我们建议您阅读我们博客上的另一篇文章 关于加强您网站安全性的主题,称为: 系统管理员和开发人员的Linux权限.