當我們想到網絡安全時,我們經常設想一個巨大的服務器農場,其中充滿了IT專業人員以及那些挖掘每一段代碼的開發人員。此外,我們也會考慮泄露私人數據并對經濟產生負面影響的高調漏洞。
然而,網站安全應該是所有在網站上工作或擁有網站的人所關心的。當你使用像WordPress這樣的流行平臺時尤其如此。為什么?因為我們都坐在目標。
無論您的網站擁有數百萬的訪問者,還是只有極少數訪問者,機器人和其他惡意攻擊者都在掙扎。他們正在嘗試對登錄進行暴力攻擊,向合法文件添加有毒代碼以及其他混亂的混亂。
而且,雖然我們不一定能夠解釋所有可能性,但我們可以采取一些措施來降低風險。更好的是,這并不難!
有了這個,您可以采取一些簡單的步驟來使您的WordPress網站更安全。
了解WordPress用戶角色和功能
如果您為客戶構建站點,重要的是要意識到并非每個人都需要對后端進行相同級別的訪問。管理員帳戶非常棒,因為它們可以完全控制設置和插件。但在錯誤的手中他們可能是危險的。
WordPress背后的開發人員理解這一點,這就是他們創建各種用戶角色的原因。每個角色(管理員,編輯,作者,貢獻者和訂閱者都是默認值)都帶有自己的一組功能。用戶角色越低,用戶擁有的功能就越少。
因此,對于不一定需要安裝插件或觸摸其他敏感設置的客戶,編輯器帳戶非常適合他們。他們擁有管理內容所需的全部力量,同時仍然可能受到有害物品的限制。即使他們確實需要偶爾訪問其他內容,他們也可以在適當的時候使用管理員帳戶。
為了清楚起見,我們并不一定擔心我們的客戶會做有害的事情(盡管冒險者可能會造成一些意外的傷害)。相反,它可能是用戶帳戶遭到入侵的可能性。如果發生這種情況,較低的用戶角色將不會與管理員產生相同的影響。
如果默認角色與您的需求不完全匹配,您還可以選擇創建自己的角色。例如,這可以用于允許用戶僅訪問特定的帖子類型。它允許更細粒度地控制誰可以訪問什么。
另外,為每個需要訪問后端的人創建單獨的用戶帳戶也是一個好主意。這簡化了帳戶維護,因為您可以在人們來自組織時移除個人帳戶。此外,您分享密碼越少越好!
當然,你可能會花很多時間上網。但是你無法全天候監視你的網站。因此,使用能夠代表您的工具是有意義的。
有許多安全插件可以處理這項工作。Wordfence,iThemes Security或All In One WP安全和防火墻的免費版本可以提供巨大的好處。他們可以執行諸如鎖定IP地址,停止暴力登錄嘗試以及掃描您的站點以查找現有惡意軟件或安全漏洞等操作。有些人甚至會在發現問題或您的安裝過時時通過電子郵件發送給您。
如果您管理多個網站,安全插件提供了一個很好的方法來處理這些問題。但是,當您將網站交給客戶時,它們也很有用。不太注重安全意識的客戶會擁有額外的眼睛,這將使他們了解情況。
值得一提的是,有比上面提到的插件更多的插件。每個人都有自己的優勢。您選擇的那個應該滿足您的基本安全需求,并避免過多地減慢您的網站速度。性能在低端托管平臺上尤其是一個問題,應該是一個考慮因素。
當然,這些插件并不能解決所有安全問題。您仍然需要采用其他最佳實踐。但他們非常善于捕捉構成對您網站的大多數威脅的低調果實。
WordPress中的安全菜單項。
使用常識
到現在為止,每個人都應該知道他們應該使用獨特的,難以猜測的密碼。但是,我們這么多人都采取捷徑,因為它更容易。
如此多的安全性實際上是使用您自己的常識并鼓勵其他人也這樣做。有時,這需要一些額外的工作 - 但這是值得的努力。這里有一些例子:
安裝SSL證書
啟用SSL將加密用戶與您站點的通信(在前端和后端)。隨著Web瀏覽器現在調用不使用SSL的站點,擁有證書也是必須的,以捍衛您的聲譽。許多主機提供免費或廉價選項,你沒有理由不加一個。
對插件要謹慎
并非所有插件都是同等創建的。在安裝和激活之前,請務必進行一些研究。查看其發布歷史,支持論壇和用戶評論。您將更好地了解它的維護狀況以及它是否值得使用。并且,查找一段時間未更新的已安裝插件。它們可能是您安全的弱點。
保持現狀
您的整個WordPress安裝(包括插件和主題)不僅應該保持最新,而且您的托管環境也應該這樣做。確保您運行的是受支持的PHP版本和其他必需的軟件。如果您不確定,請向您的主人詢問更多信息。
維護當前備份
我們都伸出手指,希望不會發生壞事。但如果確實如此,恢復安全備份要容易得多!您特別希望擁有站點數據庫和/wp-content/文件夾的多個當前副本。
在桌子上的燈泡。
保持警惕
如果安全威脅似乎變得越來越復雜,那是因為它們是!雖然WordPress本身寫得很好并且安全,但它確實擁有任何CMS背后的最大目標。這意味著我們需要保持警覺并養成良好的習慣。
它不需要那么困難。上面列出的步驟不會花費太多時間,但可以真正區分您的網站被黑客入侵。這本身就足以讓我付出額外的努力。