提升 WordPress 网站安全性的8个建议

提升 Wordpress 网站安全性的8个建议
提升 WordPress 网站安全性的8个建议

WordPress 是世界上最流行的 CMS,因此很多不怀好意的人把 WordPress 网站作为攻击的目标,接下来我们介绍一些保护 WordPress 网站免受攻击的一些技巧。

1. 选择可靠的服务器

确保 WordPress 网站安全的最重要方法,就是选择一个服务器提供商。对于面向国内用户的网站,我们建议使用阿里云、腾讯云和华为云等大的服务器厂商。尽量不要因为便宜,而选择一些小的不靠谱的服务器提供商,因为他们本身就是一个不安全因素。

2. 安装 SSL 证书

网站安装了 SSL 证书后,能够对流入和流出网站的任何数据进行加密,从而确保数据和信息的安全。国内的服务器厂商都提供免费的 SSL 证书申请,对于一般的网站来说已经足够使用。

3. 采用 CDN 加速

采用 cdn 加速的网站,可以隐藏网站服务器的真实 ip地址,一定程度上避免网站服务器遭受针对性的攻击。同时,cdn 可以缓解网站服务器的流量数据压力,提高网站的稳定性。cdn 的防御机制,可以高效拦截 ddos、cc 等攻击,可以根据不同的攻击制定针对性的防御策略。

4. 使用可靠的插件和主题

WordPress 拥有大量的主题和插件,可以帮助我们创建美观、功能丰富的网站。但是,这些第三方扩展插件会使网站更容易受到攻击,因为大多数的 WordPress 漏洞与插件有关。

为了确保 WordPress 网站的安全,建议从官方 WordPress 插件库下载插件。通过其他渠道下载和安装插件,一定要确保插件的安全性。

WordPress 网站的主题和插件可以向网站添加代码,这些代码可能包含安全漏洞。可靠负责的开发人员会及时发现和修复安全漏洞,因此保持主题和插件更新非常重要。某些不再需要的主题或插件,如果只是停用主题或插件,其中的 PHP 文件仍可访问,建议将其删除以确保安全。

5. 安装应用程序防火墙 (WAF)

WordPress 主题和插件可能会存在安全漏洞,使用 Web 应用程序防火墙 (WAF) 可有效过滤恶意请求,保护网站免受跨网站脚本 (XSS) 攻击。Wordfence 安全防火墙是个不错的选择,可以通过 WordPress 管理仪表盘安装并激活 Wordfence 插件。

6. 激活两步验证 (2FA)

WordPress 网站一定要使用强密码,这可以保证我们的密码没那么容易破解。但只是使用强密码,仍然不能保证我们账户的安全。我们建议启用双因素身份验证 (2FA)。可以通过安装相关插件,来开启双因素身份验证功能。

7. 禁用 XML-RPC

如果Wordpress网站开启了 Pingbacks ,当有人在网上发布的内容中链接到你的文章时,就会收到 pingback 的通知。更多可以了解:什么是WordPress的Pingbacks 和 Trackbacks(如何禁用 Pingbacks 和 Trackbacks)

开启了 Pingback 会使 WordPress 网站更容易受到攻击,可考虑使用REST XML-RPC 数据检查器禁用 XML-RPC 接口。 在 WordPress 仪表盘中安装并激活此插件。然后导航到设置 > REST XML-RPC Data Checker。接下来,选择XML-RPC选项卡并选择禁用 XML-RPC API 接口。

然后使用FileZilla等 FTP 客户端连接到服务器,打开.htcaccess 文件进行编辑并添加以下内容:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

8. 禁用 WordPress 主题编辑器

默认情况下,在 WordPress 的管理仪表盘,有一个主题编辑器用于修改主题的模板文件。虽然这便于修改主题模板,但也容易遭受恶意代码注入。

要禁用编辑器,可以使用 FTP 工具连接到服务器。然后,打开 wp-config.php 文件,并添加以下的代码:

define( 'DISALLOW_FILE_EDIT', true );

保存更改后,在 WordPress 仪表盘中就找不到主题编辑器了。如果要恢复主题编辑器,使用 FTP 连接到服务器并删除刚才添加的代码行即可。

原创文章,作者:牛奇网,如若转载,请注明出处:https://www.niuqi360.com/wordpress/secure-wordpress-website/

发表评论

登录后才能评论