必備6個確保WordPress網站安全性的建議

在全世界已經有超過30%的網站使用WordPress,大企業例如,三星,Sony,美國白官網站,更是Google (影響你SEO排名的判官)唯一公開推薦的網站系統

WordPress可以說是世界上增長最快的內容管理系統(CMS).這結果也不難理解,因為通過簡單編碼和外掛插件,Wordpress就可提供大量的客製化功能,一流的SEO以及部落客的極高推崇,WordPress無疑贏得了人群的歡迎!

但是,隨著流行的到來,就會有其他『副作用』!

直白的說,WordPress是入侵者,惡意軟件和網絡攻擊的常見目標 – 實際上,在2019年,WordPress約佔被黑客入侵的CMS平台的90%。 無論您是初次使用WordPress的用戶還是經驗豐富的開發人員,都可以採取一些必要步驟來保護你的WordPress網站。以下六個關鍵建議將幫助您對這個主題有概念。

1.選擇可靠信賴的主機商

 

主機是所有網站很重要但看不見的基礎,沒有它,您將無法線上發佈網站。但是主機商不僅僅是單純地託管您的站點。它還負責網站很重要得三點:速度,性能和安全性。

首先要做的是檢查主機是否在其服務方案中有包括SSL加密服務。SSL是所有網站的必不可少的安全功能,無論您是運行小型部落格還是大型電商網站。如果您接受線上付款,那你就需要更高級的SSL加密服務(而不是一般免費SSL),但是對於大多數網站而言,基本的免費SSL應該沒問題。

需要注意的其他主機安全功能包括:

  • 定期的自動離線異地備份
  • 惡意軟件和防病毒掃描/刪除
  • 阻斷服務攻擊(DDoS)
  • 全天即時網絡監控
  • 進階的防火牆保護功能

除了這些數位資安功能之外,還值得考慮託管服務提供商的物理資安防護。這些措施包括機房有警衛,安裝閉路電視和兩項生物特徵認證來限制對機房/數據中心的出入。

2.使用資安強化外掛

保護您網站安全的最佳方法之一是安裝資安強化外掛,例如Sucuri,Wordfence Security,all in one security wordpress等.資安強化外掛非常重要,因為它們可以自動實現安全性,這意味著您可以專注於經營網站,而不必花費所有時間來對抗線上資安威脅。這些外掛可以檢測並阻止惡意攻擊,並在需要引起你注意的時候自動提醒您。簡而言之,它們會在後台不斷工作以保護您的網站,這意味著您不必全天候24/7來對抗駭客(黑客),漏洞和其他數位犯罪。一個好的資安外掛將免費提供您需要的所有基本安全功能(一般來說已很足夠),但是某些高級功能需要付費。詳細項目請自行到資安強化外掛的頁面做點比較.

(小編個人推薦這兩套:Wordfence Security和 All in one security wordpress,免費且功能非常夠用)

 

3.選擇值得信賴的外掛(Plugins)和主題(Theme)

WordPress的樂趣在於它是開源的,因此任何人和每個人都可以使用他們開發的主題和插件。在選擇高品質主題或外掛時,也要注意一些潛在風險。在選擇免費的主題或外掛時,你應該要格外謹慎,因為某些主題的設計/編碼不佳(或更糟的是,可能會隱藏惡意代碼)。

為避免這種風險,請確保從信任的來源(例如WordPress庫)中獲取免費的主題和插件。務必閱讀評論並了解其開發人員,看他們是否開發了其他程式。

過時(久未更新)或設計不當的主題和外掛可能會使『後門』打開,讓攻擊者或程式bugs進入,從而使您無法進入或正常操作您的網站,這就是為什麼要謹慎選擇主題跟外掛的原因。另外,您也應該要小心所謂『nulled(授權保護無效)』或『cracked(破解)』的東西。這些是黑客已改寫的東西,屬於非法的商品(免費或付費)。您可能會購買一個nulled主題,以為這一切都正常無異-只是你不知道的是,這可能已經讓您的網站受到隱藏的惡意代碼的破壞。

為避免買到nulled主題,請不要被打很多折的價格給吸引,並始終堅持到有優良信譽的商店,例如官方WordPress外掛庫。如果您在其他地方,請堅持使用大型值得信賴的商店,例如Themify,Theme forest等。

據我了解,這二家都自2010前後,就一直在運營的Wordpress主題和外掛商店。Themify,Theme forest確保其所有WordPress主題均通過Google 移動裝置友好測試(Google Mobile-Friendly Test),並且在GNU下是開源的通用公共許可。

4.運行定期更新

這是WordPress的基本原則:始終使您的網站保持最新。但是,並非所有人都確實遵守這個規則,實際上,根據統計,全世界只有43%的WordPress網站運行最新版本。 問題在於,當您的網站過時(久未更新)時,它會因為安全性和性能修補方面的落後而容易出現故障,Bugs,入侵和系統崩潰。過時的網站無法以與更新後的網站相同的方式修復錯誤,攻擊者可以用程式掃描並判斷哪些站點已過時。這意味著他們可以搜索最易受攻擊的網站並進行相應的攻擊/入侵。 這就是為什麼您應該始終在最新版本的WordPress上運行您的網站的原因。並且為了維持最高的安全性,您必須時常更新外掛和主題以及核心WordPress程式。 如果您選擇主機商提供的managed WordPress主機方案,則可能會發現主機商將為您檢查並運行更新(請確定您的主機商是否提供軟件和外掛更新)。另外一個方式,您可以安裝開源的外掛管理器,例如GPLv2許可的Easy Updates Manager插件。

5.加強您的登入頁面

除了通過仔細選擇主題和安裝安全性外掛來創建安全的WordPress網站外,您還需要防止通過登錄進行未經授權的訪問。

密碼Password

增強登錄安全性的第一種也是最簡單的方法是更改密碼-尤其是在使用容易猜到的短語(例如“ 1234”或“ happy”)時。 相反,請嘗試使用長密碼字串(例如“JohnLovesLucyKate”)而不是單一密碼字(例如“lucyKate”),因為前者很難破解。最好的方法是使用一系列相互關聯的單詞,使您容易記住。

以下是其他一些技巧:

    • 永遠不要重複使用密碼
    • 請勿添加明顯的詞語,例如家人的姓名或您最喜歡的足球隊
    • 切勿與任何人共享您的登錄詳細信息
    • 包括大寫字母和數字以增加密碼短語的複雜性
    • 不要寫下或存儲您的登錄詳細信息在任何地方
    • 使用密碼管理器

更改您的登錄網址

最好將您的默認登錄網址更改跟標準格式不一樣(yourdomain.com/wp-admin)。這是因為黑客知道這是預設的登入URL,所以您不更改它便會遭受暴力攻擊(Brute-force Attack)。 為避免這種情況,請將URL更改為其他網址。你可以使用開源插件(例如GPLv2許可的WPS隱藏登錄)可以安全,快速且輕鬆地自定義。

兩階段身份驗證

為了提供額外的保護以防止未經授權的登錄和暴力攻擊,您應該添加兩階段身份驗證。這意味著,即使有人確實可以訪問您的登入詳細資訊(例如帳號密碼與後台網址),他們也需要將代碼直接發送到您的電話才能訪問您的WordPress網站的管理員帳號。 添加兩階段身份驗證非常容易。只需安裝一個插件-在WordPress插件目錄中搜索“two-factor authentication”,然後選擇所需的插件。一種選擇是Two Factor,這是一個受歡迎的GPLv2許可項目,具有超過10,000個活動的安裝。

限制登錄錯誤次數

WordPress會嘗試讓您隨意猜測登錄詳細信息,從而對您有所幫助。但是,這也有助於試圖獲得未經授權的WordPress網站訪問權限以釋放惡意代碼的黑客。 為了抵禦暴力攻擊,請安裝一個限制登錄嘗試外掛並設置允許登入錯誤允許次數。

6.禁用文件編輯

 
我們把這個放在最後,因為這不太適合初學者,因此,除非您是一個熟練的程式人員,否則請勿嘗試—不管如何先備份您的網站!
 
就是說,如果您真的很想保護WordPress網站,則禁用文件編輯是一項重要方式。 如果您不隱藏文件,則意味著任何人都可以直接從管理區域編輯主題和外掛代碼-如果入侵者進入,這很危險。
 
要拒絕未經授權的訪問,請轉到您的wp-config.php文件並輸入:
 
 
order allow,deny 
deny from all
 
或者,要完全從WordPress管理區域中刪除主題和插件編輯選項,請添加以下內容來編輯wp-config.php文件:
define( 'DISALLOW_FILE_EDIT', true );
保存並重新加載文件後,外掛和主題編輯器將從WordPress管理區域中的選單中消失,從而阻止任何人編輯您的主題或插件代碼,包括您在內。 如果您需要恢復對主題和外掛代碼的訪問權限,只需刪除添加到wp-config.php文件中的代碼即可。
 
無論您阻止未經授權的訪問還是完全禁用文件編輯,採取措施保護網站的代碼都是很重要的。 否則,不懷善意的訪問者很容易編輯文件並添加新代碼。 這意味著攻擊者可以使用編輯器從您的WordPress網站收集數據,甚至可以使用您的網站對其他網站發起攻擊。
 
為了更便利地隱藏文件,您可以使用一個安全插件,例如 All in one security wordpress。
 
 

WordPress資安總結

 
WordPress是一個出色的開源平台,無論初學者還是開發人員都應該會喜歡它,而不必擔心會成為攻擊的對象。 但遺憾的是,這些威脅不會很快消失,因此,很重要的還是要保持網站的安全性。
 

使用上述6項措施,您可以為WordPress網站創建更強大,更安全的保護級別,並確保自己獲得更加愉快輕鬆的體驗。

 
確保資安是一個持續進行的投入,而不是一次性的工作而已,因此,請確保定期重新檢視這些步驟,看有沒有更新的方式,並在構建和使用CMS時保持警覺.
向上滑動