確保WordPress抵抗黑客和DDOS攻擊

鑰匙要點

通過根據安全性和聲譽而不是價格選擇主機來確定服務器安全性的優先級。確保主機運行穩定的服務器軟件版本，啟用服務器級防火牆，允許頻繁備份和還原，並具有入侵檢測。
• >
>始終將WordPress，主題和插件更新到最新版本後，它們可用。使用密碼管理器生成複雜的密碼並將其安全存儲。
• >
>通過使用HTTP Auth在登錄屏幕級別添加額外的保護層，以防止蠻力攻擊，監視試圖登錄，鎖定它們並將管理用戶名更改為您自己的名稱或其他內容的IP地址否則。
>使用WordPress社區定期更新並高度評價的WordPress安全插件。定期刪除未使用的插件並替換未支撐的插件以最大程度地減少潛在漏洞。
• >

>沒有爭議WordPress的受歡迎程度，WordPress為全球7460萬個網站提供動力，而Technorati的前100位博客中有48％由該平台管理。但是，在在線世界中，任何受歡迎的事物都更開放，並且WordPress也不例外。但是，往往會擊中WordPress網站的攻擊類型（除非您是一個大品牌）通常是由沒有大量技術知識的人進行的。這些通常被稱為“腳本孩子”，因為它們使用常見的代碼，技術和套件來破解目標站點。

好消息是，這意味著通常可以輕鬆，輕鬆地處理攻擊。不必進入攻擊會造成損害的階段，因為大多數人首先可以防止大多數。因此，今天，我們將研究如何確保安裝並避免使用常見的黑客。 從服務器開始

>在考慮確保網站之前，您應該從頭開始，這意味著要確保您的託管服務器首先是安全的。從基礎知識開始，您應該根據安全性和聲譽選擇主機，而不是基於價格。雖然我確定那裡有一些不錯的便宜主人，但在大多數情況下，每月花費2美元不會削減芥末。

>

>大多數託管的WordPress託管服務都在安全託管方面享有聲譽。但是，它們不允許某些與性能相關的插件，因此您應該先檢查一下，以確切查看您擁有哪些訪問和級別的控制級別。

大多數提供：

• >託管WordPress託管
• 自動安全更新
• 每日備份
• 一鍵式還原點
• >自動緩存
• >頂級安全

您決定與您一起去的任何主機都應該檢查他們提供以下內容：>

運行服務器軟件的穩定版本和補丁
啟用服務器級防火牆
>允許您備份並經常輕鬆地恢復（站點和數據庫）
• >
入侵檢測

>託管主機（例如WPEngine）使用通過CDN傳遞的緩存，因此，如果您真的不想使用託管的WordPress主機，那麼請考慮使用與W3總數等緩存插件實現CDN緩存。這是一種設置網站的簡單方法，以便所有通過CDN卡車的流量也通過安全套接字層（SSL/TLS）。如果您需要手掌握這些技術，我建議MaxCDN的以下視覺指南。為了完全披露，我為MaxCDN工作，但我敢肯定，您會發現它們是有用的資源：

什麼是cdn？
> SSL的工作原理
>使用W3的WordPress使用CDN
• >
不幸的是，在共享服務器上的WordPress安裝，而不是VPS或專用服務器上的WordPress安裝通常以最容易容易的方式安裝和配置，但不一定是最安全的。

>

請注意，以下配置適用於熟悉編碼或基本Sysadmin任務的高級用戶。如果不是，請要求您的網絡開發人員為您設置此設置。

>登錄，密碼和插件

對此的快速詞可以重複重複，因為超過70％的WordPress安裝很容易受到攻擊。始終確保在安裝WordPress後，您就可以在最新版本後立即更新到最新版本。您的主題和您使用的所有插件也是如此。您的服務器軟件也是如此。對於你們中的許多人來說，這聽起來可能很明顯，但是統計數據不言而喻，安裝了該平台的許多較舊版本。 在密碼方面，我每天都會遇到人們，他們仍然使用“ CompanyName123”作為密碼，這些人是技術行業中的人，應該更了解。因此，對於您自己和其他所有用戶，生成複雜的密碼並存儲在密碼管理器中，例如LastPass，它更安全。 >

應用自動更新

為了確保自動在WordPress中進行次要更新和重大更新，您可以對將應用它們的代碼進行少量更改。這消除了您手動執行此操作的需求（僅將次要更新應用於WordPress v.3.7及以後），但是您應該確保您可以在出現問題並將您的網站帶走的情況下啟用自動，頻繁的備份。
啟用更新，將以下代碼應用於您的wp-config.php文件：>
>更常見的是，如果您使用不經常更新的插件，則會在自動更新中遇到問題，因此請嘗試確保維護您安裝的插件並在可能的情況下提供支持。

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

禁用PHP錯誤報告
>如果您使用的插件或主題會引發錯誤，那麼結果錯誤消息可能會顯示您的服務器路徑，而黑客可能會截獲。考慮到這一點，您應該通過將以下代碼添加到wp-config.php文件中禁用錯誤​​報告：>

另外，如果您在編輯配置文件時不自信，那麼您可以要求您的Web主機為您禁用它。

停止蠻力攻擊

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

如果您要監視WordPress網站上有多少登錄嘗試，您可能會感到震驚。這些是通用攻擊，可以通過使用複雜的密碼在某種程度上預防。蠻力攻擊通常來自試圖猜測您的管理員密碼的殭屍網絡。您可以通過使用HTTP Auth。 為此，您首先需要通過設置.htaccess密碼保護來保護您的目錄。完成此操作後，您需要將以下代碼添加到您的.htaccess文件：>
>這將添加身份驗證框，該驗證框提示您輸入用戶名和密碼，然後您將需要在普通的WordPress登錄屏幕上登錄 - 您當然應該對這兩個密碼使用不同的密碼。

>您還可以通過監視試圖登錄然後將其鎖定的IP地址來防止蠻力攻擊。或者，您只需將管理用戶名從“ admin”更改為您自己的名稱或其他內容，然後刪除默認的管理用戶配置文件。您和您的網站管理員/開發人員確實應該是整個網站上唯一具有行政權利的人。 基於URL的exploits

對於試圖通過提出應該返回錯誤但有時完成的URL請求來找到網站中的弱點的黑客來說，這些確實是一個黑暗中的刺傷。

>

URL可能看起來像這樣：http：//yourwebsite.com/your/files/%3g/config >

>通常，黑客將在URL中使用開放式支架，首先要克服這一點，因此有必要生成403禁止頁面以停止任何包含括號的請求。為此，只需將以下行粘貼到您的.htaccess文件中：>

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

要創建一個更複雜的規則集，您不需要自己編寫所有代碼。如果您熟悉使用.htaccess，並且您的網站在Apache服務器上，那麼您可以使用5G防火牆，這是公共漏洞的黑名單。您也不必使用所有線路，因為它的模塊化，如果確實會產生錯誤，則可以逐條刪除線路直到發現問題為止。

您可以通過在文件中添加以下行來保護.htaccess文件本身：>

WordPress安全插件

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

>當然，您也可以使用一個可用於WordPress的安全插件之一。在安裝之前，您應該檢查使用您使用的任何插件是否經常支持和更新。如果是這樣，那麼您還應該查看評分和評論，以確定WordPress社區認為是最好的。

也請記住，如果您的安裝中有很多插件，請定期刪除任何不使用的內容。問問自己，任何給定插件允許您的功能是否真的是必要的，並削減了您可以做的功能。對於您已停用的那些插件，您還應該刪除它們，因為它們為黑客提供了潛在的方法。如果不再支持插件，那麼您應該尋找替代方案，因為它一定會在某個時候創建​​漏洞，如果尚未創建漏洞。

> 在大多數情況下，WordPress安全是使用常識，並理解在很多時候，黑客和惡意軟件都可以被最終用戶置於錯誤。在大多數情況下，黑客通過軟件中的利用來進入，因此，如果您確保始終擁有最新版本，則可以在保護自己方面做得很好。黑客尋找最簡單的路線，除非他們具體針對您，否則請加強您的網站，並且不要讓他們輕鬆。

>

進一步閱讀
如果您在閱讀更多信息方面很有趣，這裡有一些與SitePoint上WordPress安全有關的文章，值得一看：

>

您可能對WordPress安全插件不了解的知識

>如何保護自己免受Rogue WordPress插件的侵害

WordPress維護的權威指南
• >託管WordPress託管：PROS和CONS
• >使用Google Authenticator
使用WordPress的2步驗證
• >輕鬆地發現WordPress漏洞
>更新WordPress，插件和主題的指南
防止蠻力攻擊WordPress網站

• 經常詢問有關從黑客和DDOS攻擊中授予WordPress的問題

  >將我的WordPress網站免於黑客的最佳實踐是什麼？

  以保護您的WordPress網站免受黑客的保護，至關重要的是，將WordPress核心，主題和插件更新到最新版本至關重要。這些更新通常包括可以保護您的網站免受已知漏洞的安全補丁。此外，在WordPress管理員帳戶中使用強，獨特的密碼，並限制登錄嘗試以防止蠻力攻擊。安裝信譽良好的安全插件還可以通過掃描惡意軟件並阻止可疑活動來提供額外的保護。

  >

  >如何保護我的WordPress站點免受DDOS攻擊？通過實施可以過濾惡意流量的Web應用程序防火牆（WAF）。 CloudFlare和Sucuri之類的服務提供可以保護您的網站免受DDOS攻擊的WAF。此外，使用內容輸送網絡（CDN）可以幫助跨多個服務器分配流量，從而減少DDOS攻擊的影響。定期備份您的網站還可以確保您可以在攻擊時快速恢復。
  什麼是Web應用程序防火牆（WAF），它如何保護我的WordPress網站？ Web應用程序防火牆（WAF）是一種安全措施，可監視，過濾和阻止Web應用程序的HTTP流量。它通過識別和阻止常見攻擊模式（例如SQL注入和跨站點腳本（XSS））來保護您的WordPress站點。通過實施WAF，您可以保護網站免受各種類型的攻擊，包括DDOS攻擊。

  >

  >我如何確保我的WordPress密碼堅固且安全？

  確保您的WordPress密碼堅固且安全，結合使用大寫字母和小寫字母，數字和特殊字符。避免使用通用單詞或短語，並且切勿使用您的個人信息，例如您的名字或出生日期。考慮使用密碼管理器生成和存儲複雜的密碼。此外，定期更改密碼，從不為多個帳戶使用相同的密碼。

  >使用內容輸送網絡（CDN）為我的WordPress站點使用什麼好處？ （CDN）可以提高WordPress網站的性能和安全性。通過在世界各地的多個服務器上分發網站的內容，CDN可以減少主服務器上的負載並更快地將內容交付給用戶。這可以改善您網站的速度和用戶體驗。此外，CDN可以通過在其網絡上分發流量來幫助保護您的網站免受DDOS攻擊。

  >如何將登錄嘗試限製到我的WordPress站點？

  >將登錄嘗試限製到WordPress站點可以幫助防止蠻力攻擊。您可以通過安裝提供此功能的安全插件來做到這一點。在一定數量的登錄嘗試失敗後，這些插件可以阻止IP地址。您還可以設置鎖定的持續時間並自定義允許的登錄嘗試次數。

  >

  >我應該多久備份一次WordPress網站？

  >

  備份的頻率取決於您多久更新一次地點。如果您定期添加或更新內容，則應考慮每日備份。如果您的網站不經常變化，則每週或每月備份可能就足夠了。無論頻率如何，請確保將備份存儲在安全的位置中，並考慮使用提供自動備份的備份服務。

  > WordPress的一些知名安全插件是什麼？ WordPress的知名安全插件，包括WordFence，Sucuri和Ithemes Security。這些插件提供了一系列功能，例如惡意軟件掃描，防火牆保護和登錄安全性。如果他們在您的網站上檢測到任何可疑活動，他們也可以向您發送警報。

  >如何監視WordPress網站的安全性？

  >可以通過監視WordPress網站的安全性。各種方法。安全插件通常提供監視功能，使您了解任何潛在的威脅或可疑活動。定期查看網站的訪問日誌也可以幫助確定任何異常行為。此外，考慮使用提供實時監視和警報的服務。

  >

  如果我的WordPress站點被黑客入侵，該怎麼辦？

  如果您的WordPress網站被黑客入侵，則第一步是識別並刪除惡意軟件。這可以使用安全插件或專業惡意軟件刪除服務來完成。刪除惡意軟件後，將所有WordPress核心，主題和插件更新為最新版本。更改所有密碼並查看用戶帳戶，以確保未創建未經授權的帳戶。最後，從乾淨的備份恢復您的網站，並密切監視您的網站以進行任何其他可疑活動。

  >

以上是確保WordPress抵抗黑客和DDOS攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章！