文章目录
1 使用防火墙2 关于用户代理(UA)3 WordPress漏洞4 网站安全加固5 限制登录网站6 备份WordPress网站7 更新主题和插件8 当心不再维护的插件
网络上所有的站点都可能受到攻击,无论是phpBB论坛还是WordPress网站 ,每天被黑客扫描数千个页面或尝试登录数百次都很正常。通常,黑客使用自动化软件来爬全网,探查网站中的特定弱点。
使用防火墙
防火墙是阻止入侵者的一套程序。我认为,WordPress最好的防火墙是一个名为Wordfence的插件。
Wordfence的作用是检查网站访问者的行为是否与恶意机器人的行为相匹配。如果僵尸程序违反某些规则,例如在短时间内请求太多网页,Wordfence将自动阻止该僵尸程序。
有一些高级功能可让发布者查看正在攻击站点的僵尸程序,并查看其来源。Wordfence让发布者能够通过其IP地址或IP段,阻止使用的虚假浏览器代理的机器人。
关于用户代理(UA)
user agent(简称ua)向浏览器发送数据,告诉网站它是什么浏览器(Chrome,火狐),什么操作系统(windows10,Mac OS X的)。
例如,这是Mac OS X计算机上Safari 11浏览器的用户代理字符串:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15
例如,某些僵尸程序伪装成Windows XP上的浏览器。
Win XP上实际的用户数量接近于零,我可以使用Wordfence创建一条规则来阻止所有以Windows XP为操作系统的用户ua。
WordPress漏洞
此外,Wordfence的付费版本将在主题和插件出现漏洞时,及时更新策略,保护网站,通常会比主题或插件开发人员修复漏洞早一些。
网站安全加固
另一个提供附加保护的免费插件为Sucuri Security。Sucuri(由GoDaddy开发),可帮助加强WordPress安全性,阻止不良机器人,它还具有恶意软件扫描功能,可检查所有文件以查看它们是否已被更改。
当有人登录您的网站时,Sucuri都会提醒您,帮助管理员确定黑客是否正在登录。如果文件被更改,Sucuri还可以警告他。
Sucuri免费版的功能:
安全活动审核文件完整性监控远程恶意软件扫描黑名单监控有效的安全加固黑客入侵后的安全措施安全通知
Sucuri的付费版本也有网站防火墙。
限制登录网站
WordFence能够阻止在WordPress登录页面中重复填写用户名和密码的机器人。
备份WordPress网站
自动创建网站的每日备份很重要。可以通过备份来恢复瘫痪的网站。
有很多备份解决方案,但是我发现UpdraftPlus WordPress备份插件很不错。UpdraftPlus受到超过200万用户的信任,所以我也安装了。
可以将其配置为每天通过电子邮件发送备份或将其发送到一些云存储。
更新主题和插件
更新所有主题和插件,确保使用最新的软件。通常可以防止被黑客找到漏洞。推荐阅读:解决WordPress国内升级429错误有效方法WP-China-Yes
当心不再维护的插件
有些插件虽然开发者已经不再维护,但是依然可以正常工作,这些旧插件可能会有漏洞,因为它们被遗弃了,所以永远都不会被修复。
黑客有时会购买旧的插件,并用恶意软件和病毒对其进行更新。
对于许多网站而言,只需采取这些小步骤来保护网站安全就足以防止网站被黑。这些插件的免费版本提供了极大的保护,而高级版本则提供了更多的保护。有许多安全类型的插件,其中一些插件本身实际上已包含漏洞。我认为Wordfence和Sucuri是WordPress安全性的首选。
