当我们想到网络安全时,我们经常会想到一个庞大的服务器群体,它充满了IT专业人员以及那些挖掘每一段代码的开发人员。此外,我们也会考虑泄密私人数据并对经济产生负面影响的高调漏洞。
然而,网站安全应该是所有在网站上工作或拥有网站的人所关心的。当你使用像WordPress这样的流行平台时尤其如此。为什么?因为我们都坐在目标。
无论您的网站拥有数百万的访问者,还是只有极少数访问者,机器人和其他恶意攻击者都在挣扎。他们正在尝试对登录进行暴力攻击,向合法文件添加有毒代码以及其他混乱的混乱。
而且,虽然我们不一定能够解释所有可能性,但我们可以采取一些措施来降低风险。更好的是,这并不难!
有了这个,您可以采取一些简单的步骤来使您的WordPress网站更安全。
了解WordPress用户角色和功能
如果您为客户构建站点,重要的是要意识到并非每个人都需要对后端进行相同级别的访问。管理员帐户非常棒,因为它们可以完全控制设置和插件。但在错误的手中他们可能是危险的。
WordPress背后的开发人员理解这一点,这就是他们创建各种用户角色的原因。每个角色(管理员,编辑,作者,贡献者和订阅者都是默认值)都带有自己的一组功能。用户角色越低,用户拥有的功能就越少。
因此,对于不一定需要安装插件或触摸其他敏感设置的客户,编辑器帐户非常适合他们。他们拥有管理内容所需的所有权力,同时仍然可能受到有害物品的限制。即使他们确实需要偶尔访问其他内容,他们也可以在适当的时候使用管理员帐户。
为了清楚起见,我们并不一定担心我们的客户会做有害的事情(尽管冒险者可能会造成一些意外的伤害)。相反,它可能是用户帐户遭到入侵的可能性。如果发生这种情况,较低的用户角色将不会与管理员产生相同的影响。
如果默认角色与您的需求不完全匹配,您还可以选择创建自己的角色。例如,这可以用于允许用户仅访问特定的帖子类型。它允许更细粒度地控制谁可以访问什么。
另外,为每个需要访问后端的人创建单独的用户帐户也是一个好主意。这简化了帐户维护,因为您可以在人们来自组织时移除个人帐户。此外,您分享密码越少越好!
安装安全插件
当然,你可能会花很多时间上网。但是你无法全天候监视你的网站。因此,使用能够代表您的工具是有意义的。
有许多安全插件可以处理这项工作。免费版的Wordfence,iThemes Security或All In One WP安全和防火墙可以带来巨大的好处。他们可以执行诸如锁定IP地址,停止暴力登录尝试以及扫描您的站点以查找现有恶意软件或安全漏洞等操作。有些人甚至会在发现问题或您的安装过时时通过电子邮件发送给您。
如果您管理多个网站,安全插件提供了一个很好的方法来处理这些问题。但是,当您将网站交给客户时,它们也很有用。不太注重安全意识的客户会拥有额外的眼睛,这将使他们了解情况。
值得一提的是,有比上面提到的插件更多的插件。每个人都有自己的优势。您选择的那个应该满足您的基本安全需求,并避免过多地减慢您的网站速度。性能在低端托管平台上尤其是一个问题,应该是一个考虑因素。
当然,这些插件并不能解决所有安全问题。您仍然需要采用其他最佳实践。但他们非常善于捕捉构成对您网站的大多数威胁的低调果实。
使用常识
到现在为止,每个人都应该知道他们应该使用独特的,难以猜测的密码。但是,我们这么多人都采取捷径,因为它更容易。
如此多的安全性实际上是使用您自己的常识并鼓励其他人也这样做。有时,这需要一些额外的工作 – 但这是值得的努力。这里有一些例子:
安装SSL证书
启用SSL将加密用户与您站点的通信(在前端和后端)。随着Web浏览器现在调用不使用SSL的站点,拥有证书也是必须的,以捍卫您的声誉。许多主机提供免费或廉价选项,你没有理由不加一个。
对插件要谨慎
并非所有插件都是同等创建的。在安装和激活之前,请务必进行一些研究。查看其发布历史,支持论坛和用户评论。您将更好地了解它的维护状况以及它是否值得使用。并且,查找一段时间未更新的已安装插件。它们可能是您安全的弱点。
保持现状
您的整个WordPress安装(包括插件和主题)不仅应该保持最新,而且您的托管环境也应该这样做。确保您运行的是受支持的PHP版本和其他必需的软件。如果您不确定,请向您的主人询问更多信息。
维护当前备份
我们都伸出手指,希望不会发生坏事。但如果确实如此,恢复安全备份要容易得多!您特别希望拥有站点数据库和/wp-content/
文件夹的多个当前副本。
保持警惕
如果安全威胁似乎变得越来越复杂,那是因为它们是!虽然WordPress本身写得很好并且安全,但它确实拥有任何CMS背后的最大目标。这意味着我们需要保持警觉并养成良好的习惯。
它不需要那么困难。上面列出的步骤不会花费太多时间,但可以真正区分您的网站被黑客入侵。这本身就足以让我付出额外的努力。