只用幾招,就能輕鬆搞定WordPress網站的常規安全防護,抵禦大部分安全風險。 我用自己近百個架設企業網站項目的經驗,為你講解WordPress網站安全如何守護。
1.選擇可靠的WordPress主機
我用的是Cloudways主機,它是託管式的WordPress主機,已經為我們提供了主機層面的安全防護措施,如果你沒有專業運維技能,盡量不要買那種需要自行裝系統的裸機(這就像你自己扛了個機箱回家自己裝電腦系統一樣)。
如果你用的是其他主機,想要搬運到Cloudways主機中,點擊上方按鈕,你也將能找到搬家教程哦。
2.安裝WordPress安全外掛程式
你可以在WordPress後台的外掛程式庫中搜索security找到很多的安全外掛程式,綜合裝機數量、評價數量、評價分數,Wordfence外掛程式當之無愧是第一名的選擇。 注意,這類綜合性的安全外掛程式只用裝一個即可。
為什麼推薦安裝Wordfence? Wordfence免費版就提供了WordPress 安全性的 3 個最重要的方面:高級防火牆(防)、惡意軟體掃描程式(查)、惡意軟體清理程式(清):
- Wordfence提供對了web應用程式防火牆,能夠識別並阻止惡意流量。
- 它與WordPress深度集成,直接在你的網站里保護你,它不在雲端工作,所以它不會影響網站的加密系統,也不會洩露數據(不過,這件事兒是雙面的,這麼做有利也有弊,它會消耗網站的主機資源)
- Wordfence提供了惡意軟體掃描程式,可以自動檢查網站核心檔、主題、外掛程式是否存在惡意軟體或不良url、後門、SEO垃圾、惡意重定向、代碼注入,同時,阻止包含惡意代碼或內容的請求,對於已知的安全漏洞,會向你發出警報等等。
- wordfence通過限制登錄嘗試來預防暴力攻擊。
- wordfence提供了登錄安全配置,包括雙因素身份認證(2FA),登錄頁面的驗證碼,阻止管理員使用被洩露的密碼登錄等等。
- wordfence提供即時流量監控,監控並分析使用者訪問和惡意嘗試,告知你使用者來源、IP位址以及訪問時間等資訊。
請在你的WordPres後台安裝Wordfence安防外掛程式,免費版就夠常規使用,如果你運營不錯,那麼你也不差經費轉為用付費版,那麼安全係數將得到進一步提升。 (查看Wordfence安裝教程)
此外,如果你用的是Cloudways主機,那麼,網站裡會默認安裝Bot Protection外掛程式,請保留它,不用卸載。 它能夠阻止對 WordPress 網站的惡意流量和機器人攻擊。 它本是MalCare提供的付費功能,但在cloudways,你可以免費使用它。
3.管理員使用者名個人化、使用強密碼
我接觸過太多顧客直接用很簡單的賬號與密碼,譬如admin,密碼a123456又或是其他簡單的數字,這樣真的太不安全了。
請修改你的帳戶密碼為系統提供的強密碼
默認情況下,使用者名是無法直接在wordpress後台修改的,如果你想修改,需要進入資料庫,請查看:如何通過資料庫修改WordPress網站使用者名與密碼
4.修改網站後台登錄位址
默認登錄WordPress網站後台的位址,是在你的網站網域後方添加/wp-login.php或/wp-admin/,如果你不希望有人能訪問到你的後台位址並嘗試登錄,你可以修改預設的位址,改為自定義的登錄位址。
但是這個方法不是萬無一失的安全措施,因為WordPress 網站上的大多數登錄嘗試是使用XML-RPC或 REST API 執行的。 因此,更改 WordPress 登錄 URL 或管理 URL 並不能阻止這些攻擊。
甚至在Wordfence看來,這不是一個必要措施,但是,實際上,它確實能減少部分攻擊,這也是我選擇使用它的原因。
那麼如何修改網站後台登錄位址呢? 最簡單的方法是藉助外掛程式WPS Hide Login,如果你忘記了修改後的位址,你也可以學習如何找回WordPress登錄位址。
5.安裝SSL證書
SSL證書是網站用來加密通信的安全協定,當使用者訪問你的網站時,數據會從使用者的瀏覽器發送到你的網站主機中,然後再返回給使用者,安裝SSL證書能夠確保數據是加密了的,從而防止未經授權的人竊取數據。
通常而言,WordPress主機都提供了一鍵安裝SSL證書功能,並且是免費的。 當你安裝了SSL證書之後,你將能在瀏覽器中看到你的網站位址欄里有個鎖。
6.使用正版的主題外掛程式以及原版的WordPress
不要使用來路不明的、破解的主題或外掛程式,如果覺得官網的太貴,也需要從正版分銷渠道購買主題和外掛程式(譬如我)。
如何識別主題和外掛程式是否正版呢? 通常破解的主題和外掛程式不需要填入授權碼,也不能在有新版本時,提供在線直接更新的功能。 有些破解的主題和外掛程式甚至無法提示你需要更新,從而造成沒有新版本的假像。
那主題和外掛程式以及wordpress系統都是人開發的,不出錯是不可能的,所以我們才需要用正版來保持可更新的能力。
而WordPress作為一個開源建站軟體,根據我過往的經驗,國內有一些公司是會將其進行二次修改並包裝為自己的建站系統的,那麼如果你用上了這種系統做的網站,你也無法享受原版WordPress的更新,那麼系統的安全風險就要尋求這些二次開發的公司的支援了。
7.保持WordPress、主題、外掛程式更新
WordPress、主題、外掛程式都是人們用代碼製作出來的,是人做出來的就會有漏洞,也就是bug,那麼這些漏洞可能會被利用,譬如前陣子Elementor出了一個漏洞,允許創建的使用者成為系統管理員,我的天,也就是說,如果你的網站是開放註冊的,那麼每個註冊用戶都會成為管理員。 由此可見,保持外掛程式的更新是十分必要的。
你可以在下圖中找到需要更新的內容匯總,也可以在此處點擊按鈕進行更新,但更新前,記得先備份網站,以免不測。
是不是每次主題、外掛程式的更新都必須及時更新呢? 原則上當然是建議你保持更新,但是,實際操作上,有時候主題外掛程式更新頗為頻繁,尤其是一些外掛程式之間可能還會存在相容關係,譬如elementor與它的擴展外掛程式們,而頻繁更新可能就會導致網站里的頁面出錯。
所以,我的建議是,關注主題和外掛程式的更新日誌,瞭解其更新內容,也要關注wordfence或其他安全外掛程式提供的風險警告,從而識別出那些十分必要的安全更新,這類是必須立刻做的。 而對於一些小修改,新功能,我們則可以緩緩,保持2-3個月全面更新一次即可。
那下圖就是外掛程式清單,我們可以看到需要更新的外掛程式數量,在待更新的外掛程式下方也會有相應的提示以及版本詳情,而更新完成後,你也能看到更新成功提示。
7.刪除不用的主題和外掛程式
新手建站時,遇到那麼多主題外掛程式,難免裝來體驗使用,不用了可能就放在那兒不管,這是不合適的。
確定自己以後都用不上的主題和外掛程式,一律刪掉,它們不僅佔地兒,還會增加安全漏洞風險。
如果你學有餘力,在禁用這些主題和外掛程式之後,先備份網站,然後用資料庫表清理外掛程式(我用的是Advanced Database Cleaner付費版),掃描全站,清理這些即將刪除的外掛程式帶來的資料庫表,有些外掛程式還會提供刪除時清理資料庫表的配置,但大部分都不提供這個功能。
如果有些外掛程式是偶爾用到,那可以在不用時先禁用,需要用時再啟用,也需要定期對他們進行更新。
有些外掛程式是不能刪除或禁用的,譬如,如果用了Elementor 製作了頁面,那麼就無法禁用或刪除它,這會導致你做的頁面全部失效,同樣的道理,如果你使用woocommerce外掛程式管理產品,那麼也就不能禁用它。
如果你裝了很多fluent forms,但是並沒有用它製作表單,而是使用elementor pro製作的表單,那麼fluent forms就是可以刪除的外掛程式,以此類推。
