建立和保护WordPress网站始终是一个挑战。开发人员非常注意编写可靠的代码并实现诸如安全性插件之类的功能,以减轻不可避免的攻击。
即便如此,我们也不例外。俗话说:网站只有其最薄弱的链接才具有安全性。除了代码带来的潜在利用之外,最薄弱的链接往往是无知的用户。毫无瑕疵地做出错误选择,使网站容易受到攻击的人。
用另一个陈词滥调:最好的防守就是好的进攻。在这种情况下,这意味着要主动向客户介绍安全最佳做法。有些东西(例如强密码)是通用的,而另一些东西则更特定于WordPress本身。这就是我们今天的重点。
这样一来,让我们回顾一下您的客户需要了解的有关WordPress安全性的五件事。
不要在没有咨询专业人士的情况下安装WordPress插件
我们明白了:安装插件的诱惑是真实的。毕竟,只需在仪表板内单击几下即可。
但是风险也是真实的。WordPress插件的质量和安全性差异很大。在官方存储库中找到一年或一年以上未更新的插件并不少见。也许它是无害的,也许不是。
因此,网页设计师应鼓励客户在安装插件之前进行快速咨询。提供看一下并查看细节。这一步可以避免有关安全性和站点稳定性的噩梦。
有很多好处。首先,这使您始终了解该站点的状况。此外,它还使您有机会向客户推荐优质可靠的插件。更不用说这训练客户在点击之前思考。这对所有人都有好处。
创建新的用户帐户,而不是共享一个帐户
许多组织有多个人需要访问WordPress仪表板。这些用户经常共享一个帐户。
从表面上看,这似乎是一个简单的信任问题。当然,其中有一个要素。如果团队成员离开组织,那么如果密码没有更改,他们仍有可能继续访问。恶意人员可能会造成一些损害。
另一个真正关心的是设备安全性。举例来说,如果您有五个人共享一个WordPress管理员帐户,则只需要利用他们的设备之一即可。例如,一个用户的PC上的键盘记录程序可能会破坏帐户。
因此,建议每个用户都有自己的帐户。在WordPress中这很容易做到,我们甚至可以创建自定义用户角色来限制某人可以做什么和不能做什么。
保持WordPress核心,插件和主题为最新
理想情况下,您的客户将与您签约以处理软件更新。但是,如果他们是负责任的人,那么对他们认真对待这一问题很重要。
作为开发人员,没有什么比对受感染的网站进行故障排除更令人烦恼的了,仅是登录WordPress并发现它们是多个过期的版本。这类似于将房屋的前门全天候开放24/7。当有人进来拿您喜欢的新电视时,您应该不会感到惊讶。
保持WordPress核心,插件和主题更新的重要性不容小stat。知道这一点,它仍然可能超出某些客户的舒适度。没关系。他们可以雇用您来处理它,或者至少在可能的情况下启用自动更新。
不管更新是如何实现的,对其进行照顾都是至关重要的。尽管它不能保证安全性,但是它比替代方法要好得多。
两方面身份验证可以带来很大的不同
在WordPress中添加双重身份验证非常简单。但是,只有利益相关者真正使用它才值得。
是的,这不是很方便。必须验证电子邮件,短信或检查移动应用程序才能登录可能是一大麻烦。但是,这一额外步骤至关重要。这在恶意行为者与访问您网站的后端之间建立了巨大的障碍。
用户体验实际上正在改善。现在,某些实现将设备识别与2FA结合在一起。这意味着,只要识别出用户的设备,就无需在指定的时间内验证登录信息。
另外,2FA在许多地方已经成为标准。一些网上银行应用程序不允许您在没有它的情况下登录。您的网站也没有理由不应该利用这项技术。
今天的安全可能不会明天
无论其上运行的平台,一个网站是不是一个和做过的事情。它需要经常(如果不是一直)关注-安全起着主要作用。
网络在不断发展。新技术很快就老化了。曾经被认为是安全最佳实践的东西有时可以被证明。
因此,网站安全性是一个没有止境的挑战。对于大型和小型组织来说,这都是每天的战斗。
结果是网站需要与时俱进。当涉及到WordPress时,这可能意味着要用更好的东西替换旧的安全性插件。或者放弃废弃的主题和插件以加强功能。它还可能需要更改主机或服务器环境。
重要的是要理解,仅仅因为您今天已经在安全方面进行了投资,并不意味着您明天就不必再次进行投资。
今天就教客户提供更安全的WordPress网站
我们的客户经常依靠我们提供一些知识以及一个杀手级的网站。安全可能只是我们可以接受的最重要的主题。
从一开始就努力这样做可以带来长期的回报。了解如何保护WordPress网站安全的客户不太可能犯这些关键错误之一。仅此一项就可能是清理被黑客入侵的网站与顺利航行之间的区别。