WordPress:10項安全性最佳做法
WordPress(WP)被稱為 最受歡迎的CMS,其中,設計時強調可訪問性、性能和易用性,並且正在不斷開發(當前版本5.2),擁有龐大的多種語言的用戶社區,並通過使用自己或第三方的主題(主題)和配件(插件)擁有巨大的定制能力。
也很安全但為此,與任何應用程序或系統一樣,有必要遵循一些良好的實踐,以實現長期的安全實施。 在這篇文章中,我們想提供這方面的一些基本建議。
介紹
WP是用於構建網站的最受歡迎的CMS,也是計算機攻擊的頻繁目標,所以除了不斷更新之外, 需要頻繁的維護,更新和安全程序 為 從而避免由於插件漏洞、弱密碼、過時的軟件等許多原因而導致的弱點,即 實現 大大降低了您遭受任何有意或無意攻擊的脆弱性。
此外,與任何其他內容管理系統 (CMS) 一樣,WP 允許您快速高效地構建網站,然後將其上線。 通過模塊、附加主題,其高工作和成長能力使完成這項任務比以往任何時候都容易,但不需要通常需要的長年學習。
黃大仙禁運, 副作用 這不會帶來任何令人愉快的結果,可能是該工具的一些管理者傾向於 繞過,以確保創建或維護的網站安全的必要措施。 因此,重要的是要記住 WP 或任何其他 CMS 和網站上的一些一般和具體措施(良好實踐)以確保其安全。
良好做法
1.-全面增強安全性
WP肯定會輕易超過當今Internet上活躍網站總數的30%,這使得它成為具有善意或惡意意圖的入侵者和/或攻擊者(黑客/破解者)最喜歡的目標。 因此,類似 WP 站點上已知且已成功利用的漏洞將在其他類似 WP 站點上進行嘗試。
因此,如果您管理和/或使用 WP 的一個或多個網站,請確保您更加小心、徹底並了解其在線安全。 請記住,在 WP 網站上分析和報告的大多數安全違規行為與應用程序本身的核心很少或根本沒有關係,但與與其實施、配置和一般維護相關的所有內容有很大關係,而這些行為都由開發人員或管理員。”
2.-了解您的漏洞
WordPress 存在近 4.000 個已知安全漏洞,分佈如下:WP 核心 (37%)、插件 (52%) 和主題 (11%),根據WPScans網站的最新報告,該網站現在稱為 WPSec (自 01 年 05 月 2019 日起)。 調查您的網站面臨的安全漏洞並尋找解決這些問題的解決方案。 避免運行 WP Core 或其插件和主題的不安全版本。
重點關注WP或網站上的以下安全主題,即 不同類型的 來自的攻擊:
- 蠻力: 加強登錄頁面上的安全性。
- 文件包含: 加強wp-config.php配置文件的安全性。
- SQL注入 加強與WP相關的MySQL數據庫的安全性。
- 跨站腳本: 加強二手WP插件的安全性。
- 惡意軟件感染: 加強網站的整體安全性,以防止未經授權的訪問、惡意軟件的插入以及這些惡意代碼隨後收集敏感數據。 最常見的惡意軟件或攻擊通常屬於以下類型:後門、垃圾郵件 SEO、黑客工具、郵件程序、污損和網絡釣魚。 希望保護您的網站免受每種類型的惡意軟件或攻擊的侵害。
請記住,一旦任何網站遭到入侵,其SEO排名就會受到影響。 由於搜索引擎通常會快速註冊受感染的網站,因此瀏覽器會標記訪問者或完全阻止瀏覽這些網站的能力。
3.-了解託管服務提供商的基礎架構
如果您的網站使用外部託管,即在您的基礎設施之外簽約, 不要為確保託管服務提供商的服務質量而花錢。 特別是如果他在“共享託管”計劃下託管自己的網站。
如 劣質的“共享託管”會使您的網站更脆弱 當同一服務器上託管的多個網站之一受到威脅時。 也就是說,如果“共享託管”服務器上的網站遭到黑客攻擊,攻擊者還可以訪問其他網站及其數據。
4.-知道e網站技術規範 來自您的託管服務提供商
在評估託管服務提供商時,其基礎設施並不是全部。 託管提供商為實現託管網站更好的安全性而使用的網絡技術規範也很重要。 確保它遵循以下建議的用於託管網站的安全準則:
- 輕鬆安裝SSL證書
- 主動管理Web服務器軟件版本。
- 防火牆防護
- 網站訪問記錄
- 例行安全審核
- 惡意活動檢測
- 至少支持 SFTP(不僅僅是 FTP)、TLS 1.2 和 1.3 以及 PHP 5.6,但建議使用 7.0 及更高版本。
所有這些都是必要的,至少可以提高您網站的安全性,無論是否使用 WP 作為 CMS。
5.-提防使用的主題和補語
在安全級別上,已安裝的插件和主題很重要。 請僅使用來自知名商業存儲庫或直接來自信譽良好的開發人員的官方 WP 或社區認證的主題和插件。 由於其中許多(未經認證)可能包含惡意代碼。
如果您是安裝惡意軟件的人,那麼您對 WP 網站的保護程度並不重要。 在下載和安裝任何主題和插件或其開發者或推廣網站之前,請先進行研究,並警惕那些免費或打折的主題和插件。
6.-嘗試經常更新CMS
Web平台的更新對於您的安全性非常重要。 要么 無論您的 CMS 是否可用,過時版本的核心、主題或插件都可能導致您的網站上隱藏已知的漏洞。 就 WP 而言,它是開源的,在應用程序的核心中有一個專門致力於此事的團隊。
WP中發現的每個安全漏洞都將得到立即糾正和消除 為了解決WP中發現的每個新安全問題。 由於該更新 WP 及其最新版本的所有主題和插件是成功安全策略的重要組成部分。
7.-我找到了合適的密碼
網站上密碼的質量或強度非常重要。 登錄我們的網站是漏洞利用的主要目標,因為它提供了對網站管理頁面的最簡單訪問。
蠻力攻擊是最常用的登錄方法,發現用於訪問該網站的用戶名和密碼組合。 在 WP 的特定情況下,默認情況下,這不會限制某人可以嘗試登錄失敗的次數,因此,最好使用複雜的密碼進行 WP 管理員登錄。
選擇密碼時,請考慮基於CLU格式的這3個基本要求 (複雜,長而唯一):
- 複雜: 密碼應盡可能隨機,並儘可能少地與網站管理員或網站相關。
- 長: 密碼長度必須為 12 個或更多字符。 並加強了對失敗連接嘗試次數的限製或限制。
- 只要: 不要重複使用密碼。 每個密碼在時間上必須是唯一的。 這個簡單的規則極大地限制了任何密碼洩露的影響。
推薦: 使用“LastPass”(在線)和“KeePass 2”(離線)等密碼管理器以加密格式生成和存儲所有密碼。
8.-始終準備好抗災計劃
如果使用WP,請記住它沒有內置的備份系統。 將其中一項作為優先事項,以便您始終擁有網站的最新備份。 備份至關重要,也是需要實施的一般安全策略。
不要忘記,您不僅應該 備份您使用過的網站和數據庫但是全部 設置 整個服務器的 通過使用腳本或克隆映像系統的自動化任務,以便在盡可能短的時間內進行必要的恢復和重新安裝。
9.-使用2FA增強安全性
使用雙因素身份驗證 (2FA) 機制加強您作為 WP 管理員或網站的登錄,這是當今保護網站安全的最佳方法之一。 雙因素身份驗證為您的網站登錄增加了一層額外的保護,要求使用您的密碼時需要來自其他設備(例如智能手機)的附加時間敏感代碼才能成功登錄。
在WP的情況下 默認情況下不提供此功能 通過使用插件嵌入相同如iThemes安全性添加相同。
10.-使用任何必要的安全配件
像WP這樣的大多數CMS都使用插件來增加自身的安全潛力。 在WP的特定情況下,建議使用名為iThemes Security的安全插件。 為您的網站添加更多保護。 該插件可以鎖定 WP、修復已知漏洞、阻止自動攻擊並增強用戶憑據。
它有免費版本(iThemes Security)和付費版本(iThemes Security Pro) 顯然,它提供了更多的安全功能,例如 2FA、定期惡意軟件掃描、用戶註冊等。
結論
無論是在 WP 還是其他 CMS 上,您只需遵循這些最佳安全實踐即可避免網站的大多數安全問題。 您的網站值得併且必須實施必要的安全措施,以保證或最大限度地減少其在黑客和黑客活動如此頻繁的時期的不可侵犯性。
最後,另外, 我們建議您閱讀我們博客上的另一篇文章 關於加強您網站安全性的主題,稱為: 系統管理員和開發人員的Linux權限.