在全世界已經有超過30%的網站使用WordPress,大企業例如,三星,Sony,美國白官網站,更是Google (影響你SEO排名的判官)唯一公開推薦的網站系統
WordPress可以說是世界上增長最快的內容管理系統(CMS).這結果也不難理解,因為通過簡單編碼和外掛插件,Wordpress就可提供大量的客製化功能,一流的SEO以及部落客的極高推崇,WordPress無疑贏得了人群的歡迎!
但是,隨著流行的到來,就會有其他『副作用』!
直白的說,WordPress是入侵者,惡意軟件和網絡攻擊的常見目標 – 實際上,在2019年,WordPress約佔被黑客入侵的CMS平台的90%。 無論您是初次使用WordPress的用戶還是經驗豐富的開發人員,都可以採取一些必要步驟來保護你的WordPress網站。以下六個關鍵建議將幫助您對這個主題有概念。
1.選擇可靠信賴的主機商
主機是所有網站很重要但看不見的基礎,沒有它,您將無法線上發佈網站。但是主機商不僅僅是單純地託管您的站點。它還負責網站很重要得三點:速度,性能和安全性。
首先要做的是檢查主機是否在其服務方案中有包括SSL加密服務。SSL是所有網站的必不可少的安全功能,無論您是運行小型部落格還是大型電商網站。如果您接受線上付款,那你就需要更高級的SSL加密服務(而不是一般免費SSL),但是對於大多數網站而言,基本的免費SSL應該沒問題。
需要注意的其他主機安全功能包括:
- 定期的自動離線異地備份
- 惡意軟件和防病毒掃描/刪除
- 阻斷服務攻擊(DDoS)
- 全天即時網絡監控
- 進階的防火牆保護功能
除了這些數位資安功能之外,還值得考慮託管服務提供商的物理資安防護。這些措施包括機房有警衛,安裝閉路電視和兩項生物特徵認證來限制對機房/數據中心的出入。
2.使用資安強化外掛
保護您網站安全的最佳方法之一是安裝資安強化外掛,例如Sucuri,Wordfence Security,all in one security wordpress等.資安強化外掛非常重要,因為它們可以自動實現安全性,這意味著您可以專注於經營網站,而不必花費所有時間來對抗線上資安威脅。這些外掛可以檢測並阻止惡意攻擊,並在需要引起你注意的時候自動提醒您。簡而言之,它們會在後台不斷工作以保護您的網站,這意味著您不必全天候24/7來對抗駭客(黑客),漏洞和其他數位犯罪。一個好的資安外掛將免費提供您需要的所有基本安全功能(一般來說已很足夠),但是某些高級功能需要付費。詳細項目請自行到資安強化外掛的頁面做點比較.
(小編個人推薦這兩套:Wordfence Security和 All in one security wordpress,免費且功能非常夠用)
3.選擇值得信賴的外掛(Plugins)和主題(Theme)
WordPress的樂趣在於它是開源的,因此任何人和每個人都可以使用他們開發的主題和插件。在選擇高品質主題或外掛時,也要注意一些潛在風險。在選擇免費的主題或外掛時,你應該要格外謹慎,因為某些主題的設計/編碼不佳(或更糟的是,可能會隱藏惡意代碼)。
為避免這種風險,請確保從信任的來源(例如WordPress庫)中獲取免費的主題和插件。務必閱讀評論並了解其開發人員,看他們是否開發了其他程式。
過時(久未更新)或設計不當的主題和外掛可能會使『後門』打開,讓攻擊者或程式bugs進入,從而使您無法進入或正常操作您的網站,這就是為什麼要謹慎選擇主題跟外掛的原因。另外,您也應該要小心所謂『nulled(授權保護無效)』或『cracked(破解)』的東西。這些是黑客已改寫的東西,屬於非法的商品(免費或付費)。您可能會購買一個nulled主題,以為這一切都正常無異-只是你不知道的是,這可能已經讓您的網站受到隱藏的惡意代碼的破壞。
為避免買到nulled主題,請不要被打很多折的價格給吸引,並始終堅持到有優良信譽的商店,例如官方WordPress外掛庫。如果您在其他地方,請堅持使用大型值得信賴的商店,例如Themify,Theme forest等。
據我了解,這二家都自2010前後,就一直在運營的Wordpress主題和外掛商店。Themify,Theme forest確保其所有WordPress主題均通過Google 移動裝置友好測試(Google Mobile-Friendly Test),並且在GNU下是開源的通用公共許可。
4.運行定期更新
這是WordPress的基本原則:始終使您的網站保持最新。但是,並非所有人都確實遵守這個規則,實際上,根據統計,全世界只有43%的WordPress網站運行最新版本。 問題在於,當您的網站過時(久未更新)時,它會因為安全性和性能修補方面的落後而容易出現故障,Bugs,入侵和系統崩潰。過時的網站無法以與更新後的網站相同的方式修復錯誤,攻擊者可以用程式掃描並判斷哪些站點已過時。這意味著他們可以搜索最易受攻擊的網站並進行相應的攻擊/入侵。 這就是為什麼您應該始終在最新版本的WordPress上運行您的網站的原因。並且為了維持最高的安全性,您必須時常更新外掛和主題以及核心WordPress程式。 如果您選擇主機商提供的managed WordPress主機方案,則可能會發現主機商將為您檢查並運行更新(請確定您的主機商是否提供軟件和外掛更新)。另外一個方式,您可以安裝開源的外掛管理器,例如GPLv2許可的Easy Updates Manager插件。
5.加強您的登入頁面
除了通過仔細選擇主題和安裝安全性外掛來創建安全的WordPress網站外,您還需要防止通過登錄進行未經授權的訪問。
密碼Password
增強登錄安全性的第一種也是最簡單的方法是更改密碼-尤其是在使用容易猜到的短語(例如“ 1234”或“ happy”)時。 相反,請嘗試使用長密碼字串(例如“JohnLovesLucyKate”)而不是單一密碼字(例如“lucyKate”),因為前者很難破解。最好的方法是使用一系列相互關聯的單詞,使您容易記住。
以下是其他一些技巧:
- 永遠不要重複使用密碼
- 請勿添加明顯的詞語,例如家人的姓名或您最喜歡的足球隊
- 切勿與任何人共享您的登錄詳細信息
- 包括大寫字母和數字以增加密碼短語的複雜性
- 不要寫下或存儲您的登錄詳細信息在任何地方
- 使用密碼管理器
更改您的登錄網址
最好將您的默認登錄網址更改跟標準格式不一樣(yourdomain.com/wp-admin)。這是因為黑客知道這是預設的登入URL,所以您不更改它便會遭受暴力攻擊(Brute-force Attack)。 為避免這種情況,請將URL更改為其他網址。你可以使用開源插件(例如GPLv2許可的WPS隱藏登錄)可以安全,快速且輕鬆地自定義。
兩階段身份驗證
為了提供額外的保護以防止未經授權的登錄和暴力攻擊,您應該添加兩階段身份驗證。這意味著,即使有人確實可以訪問您的登入詳細資訊(例如帳號密碼與後台網址),他們也需要將代碼直接發送到您的電話才能訪問您的WordPress網站的管理員帳號。 添加兩階段身份驗證非常容易。只需安裝一個插件-在WordPress插件目錄中搜索“two-factor authentication”,然後選擇所需的插件。一種選擇是Two Factor,這是一個受歡迎的GPLv2許可項目,具有超過10,000個活動的安裝。
限制登錄錯誤次數
WordPress會嘗試讓您隨意猜測登錄詳細信息,從而對您有所幫助。但是,這也有助於試圖獲得未經授權的WordPress網站訪問權限以釋放惡意代碼的黑客。 為了抵禦暴力攻擊,請安裝一個限制登錄嘗試外掛並設置允許登入錯誤允許次數。
6.禁用文件編輯
order allow,deny
deny from all
define( 'DISALLOW_FILE_EDIT', true );