确保WordPress抵抗黑客和DDOS攻击

钥匙要点

通过根据安全性和声誉而不是价格选择主机来确定服务器安全性的优先级。确保主机运行稳定的服务器软件版本，启用服务器级防火墙，允许频繁备份和还原，并具有入侵检测。
• >
>始终将WordPress，主题和插件更新到最新版本后，它们可用。使用密码管理器生成复杂的密码并将其安全存储。
• >
>通过使用HTTP Auth在登录屏幕级别添加额外的保护层，以防止蛮力攻击，监视试图登录，锁定它们并将管理用户名更改为您自己的名称或其他内容的IP地址否则。
>使用WordPress社区定期更新并高度评价的WordPress安全插件。定期删除未使用的插件并替换未支撑的插件以最大程度地减少潜在漏洞。
• >

>没有争议WordPress的受欢迎程度，WordPress为全球7460万个网站提供动力，而Technorati的前100位博客中有48％由该平台管理。但是，在在线世界中，任何受欢迎的事物都更开放，并且WordPress也不例外。但是，往往会击中WordPress网站的攻击类型（除非您是一个大品牌）通常是由没有大量技术知识的人进行的。这些通常被称为“脚本孩子”，因为它们使用常见的代码，技术和套件来破解目标站点。

好消息是，这意味着通常可以轻松，轻松地处理攻击。不必进入攻击会造成损害的阶段，因为大多数人首先可以防止大多数。因此，今天，我们将研究如何确保安装并避免使用常见的黑客。 从服务器开始

>在考虑确保网站之前，您应该从头开始，这意味着要确保您的托管服务器首先是安全的。从基础知识开始，您应该根据安全性和声誉选择主机，而不是基于价格。虽然我确定那里有一些不错的便宜主人，但在大多数情况下，每月花费2美元不会削减芥末。

>

>大多数托管的WordPress托管服务都在安全托管方面享有声誉。但是，它们不允许某些与性能相关的插件，因此您应该先检查一下，以确切查看您拥有哪些访问和级别的控制级别。

大多数提供：

• >托管WordPress托管
• 自动安全更新
• 每日备份
• 一键式还原点
• >自动缓存
• >顶级安全

您决定与您一起去的任何主机都应该检查他们提供以下内容：>

运行服务器软件的稳定版本和补丁
启用服务器级防火墙
>允许您备份并经常轻松地恢复（站点和数据库）
• >
入侵检测

>托管主机（例如WPEngine）使用通过CDN传递的缓存，因此，如果您真的不想使用托管的WordPress主机，那么请考虑使用与W3总数等缓存插件实现CDN缓存。这是一种设置网站的简单方法，以便所有通过CDN卡车的流量也通过安全套接字层（SSL/TLS）。如果您需要手掌握这些技术，我建议MaxCDN的以下视觉指南。为了完全披露，我为MaxCDN工作，但我敢肯定，您会发现它们是有用的资源：

什么是cdn？
> SSL的工作原理
>使用W3的WordPress使用CDN
• >
不幸的是，在共享服务器上的WordPress安装，而不是VPS或专用服务器上的WordPress安装通常以最容易容易的方式安装和配置，但不一定是最安全的。

>

请注意，以下配置适用于熟悉编码或基本Sysadmin任务的高级用户。如果不是，请要求您的网络开发人员为您设置此设置。

>登录，密码和插件

对此的快速词可以重复重复，因为超过70％的WordPress安装很容易受到攻击。始终确保在安装WordPress后，您就可以在最新版本后立即更新到最新版本。您的主题和您使用的所有插件也是如此。您的服务器软件也是如此。对于你们中的许多人来说，这听起来可能很明显，但是统计数据不言而喻，安装了该平台的许多较旧版本。 在密码方面，我每天都会遇到人们，他们仍然使用“ CompanyName123”作为密码，这些人是技术行业中的人，应该更了解。因此，对于您自己和其他所有用户，生成复杂的密码并存储在密码管理器中，例如LastPass，它更安全。>

应用自动更新

为了确保自动在WordPress中进行次要更新和重大更新，您可以对将应用它们的代码进行少量更改。这消除了您手动执行此操作的需求（仅将次要更新应用于WordPress v.3.7及以后），但是您应该确保您可以在出现问题并将您的网站带走的情况下启用自动，频繁的备份。
启用更新，将以下代码应用于您的wp-config.php文件：>
>更常见的是，如果您使用不经常更新的插件，则会在自动更新中遇到问题，因此请尝试确保维护您安装的插件并在可能的情况下提供支持。

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

禁用PHP错误报告
>如果您使用的插件或主题会引发错误，那么结果错误消息可能会显示您的服务器路径，而黑客可能会截获。考虑到这一点，您应该通过将以下代码添加到wp-config.php文件中禁用错误​​报告：>

另外，如果您在编辑配置文件时不自信，那么您可以要求您的Web主机为您禁用它。

停止蛮力攻击

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

如果您要监视WordPress网站上有多少登录尝试，您可能会感到震惊。这些是通用攻击，可以通过使用复杂的密码在某种程度上预防。蛮力攻击通常来自试图猜测您的管理员密码的僵尸网络。您可以通过使用HTTP Auth。 为此，您首先需要通过设置.htaccess密码保护来保护您的目录。完成此操作后，您需要将以下代码添加到您的.htaccess文件：>
>这将添加身份验证框，该验证框提示您输入用户名和密码，然后您将需要在普通的WordPress登录屏幕上登录 - 您当然应该对这两个密码使用不同的密码。

>您还可以通过监视试图登录然后将其锁定的IP地址来防止蛮力攻击。或者，您只需将管理用户名从“ admin”更改为您自己的名称或其他内容，然后删除默认的管理用户配置文件。您和您的网站管理员/开发人员确实应该是整个网站上唯一具有行政权利的人。 基于URL的exploits

对于试图通过提出应该返回错误但有时完成的URL请求来找到网站中的弱点的黑客来说，这些确实是一个黑暗中的刺伤。

>

URL可能看起来像这样：http：//yourwebsite.com/your/files/%3g/config >

>通常，黑客将在URL中使用开放式支架，首先要克服这一点，因此有必要生成403禁止页面以停止任何包含括号的请求。为此，只需将以下行粘贴到您的.htaccess文件中：>

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

要创建一个更复杂的规则集，您不需要自己编写所有代码。如果您熟悉使用.htaccess，并且您的网站在Apache服务器上，那么您可以使用5G防火墙，这是公共漏洞的黑名单。您也不必使用所有线路，因为它的模块化，如果确实会产生错误，则可以逐条删除线路直到发现问题为止。

您可以通过在文件中添加以下行来保护.htaccess文件本身：>

WordPress安全插件

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

>当然，您也可以使用一个可用于WordPress的安全插件之一。在安装之前，您应该检查使用您使用的任何插件是否经常支持和更新。如果是这样，那么您还应该查看评分和评论，以确定WordPress社区认为是最好的。

也请记住，如果您的安装中有很多插件，请定期删除任何不使用的内容。问问自己，任何给定插件允许您的功能是否真的是必要的，并削减了您可以做的功能。对于您已停用的那些插件，您还应该删除它们，因为它们为黑客提供了潜在的方法。如果不再支持插件，那么您应该寻找替代方案，因为它一定会在某个时候创建​​漏洞，如果尚未创建漏洞。

> 在大多数情况下，WordPress安全是使用常识，并理解在很多时候，黑客和恶意软件都可以被最终用户置于错误。在大多数情况下，黑客通过软件中的利用来进入，因此，如果您确保始终拥有最新版本，则可以在保护自己方面做得很好。黑客寻找最简单的路线，除非他们具体针对您，否则请加强您的网站，并且不要让他们轻松。

>

进一步阅读
如果您在阅读更多信息方面很有趣，这里有一些与SitePoint上WordPress安全有关的文章，值得一看：

>

您可能对WordPress安全插件不了解的知识

>如何保护自己免受Rogue WordPress插件的侵害

WordPress维护的权威指南
• >托管WordPress托管：PROS和CONS
• >使用Google Authenticator
使用WordPress的2步验证
• >轻松地发现WordPress漏洞
>更新WordPress，插件和主题的指南
防止蛮力攻击WordPress网站

• 经常询问有关从黑客和DDOS攻击中授予WordPress的问题

  >将我的WordPress网站免于黑客的最佳实践是什么？

  以保护您的WordPress网站免受黑客的保护，至关重要的是，将WordPress核心，主题和插件更新到最新版本至关重要。这些更新通常包括可以保护您的网站免受已知漏洞的安全补丁。此外，在WordPress管理员帐户中使用强，独特的密码，并限制登录尝试以防止蛮力攻击。安装信誉良好的安全插件还可以通过扫描恶意软件并阻止可疑活动来提供额外的保护。

  >

  >如何保护我的WordPress站点免受DDOS攻击？通过实施可以过滤恶意流量的Web应用程序防火墙（WAF）。 CloudFlare和Sucuri之类的服务提供可以保护您的网站免受DDOS攻击的WAF。此外，使用内容输送网络（CDN）可以帮助跨多个服务器分配流量，从而减少DDOS攻击的影响。定期备份您的网站还可以确保您可以在攻击时快速恢复。
  什么是Web应用程序防火墙（WAF），它如何保护我的WordPress网站？ Web应用程序防火墙（WAF）是一种安全措施，可监视，过滤和阻止Web应用程序的HTTP流量。它通过识别和阻止常见攻击模式（例如SQL注入和跨站点脚本（XSS））来保护您的WordPress站点。通过实施WAF，您可以保护网站免受各种类型的攻击，包括DDOS攻击。

  >

  >我如何确保我的WordPress密码坚固且安全？

  确保您的WordPress密码坚固且安全，结合使用大写字母和小写字母，数字和特殊字符。避免使用通用单词或短语，并且切勿使用您的个人信息，例如您的名字或出生日期。考虑使用密码管理器生成和存储复杂的密码。此外，定期更改密码，从不为多个帐户使用相同的密码。

  >使用内容输送网络（CDN）为我的WordPress站点使用什么好处？ （CDN）可以提高WordPress网站的性能和安全性。通过在世界各地的多个服务器上分发网站的内容，CDN可以减少主服务器上的负载并更快地将内容交付给用户。这可以改善您网站的速度和用户体验。此外，CDN可以通过在其网络上分发流量来帮助保护您的网站免受DDOS攻击。

  >如何将登录尝试限制到我的WordPress站点？

  >将登录尝试限制到WordPress站点可以帮助防止蛮力攻击。您可以通过安装提供此功能的安全插件来做到这一点。在一定数量的登录尝试失败后，这些插件可以阻止IP地址。您还可以设置锁定的持续时间并自定义允许的登录尝试次数。

  >

  >我应该多久备份一次WordPress网站？

  >

  备份的频率取决于您多久更新一次地点。如果您定期添加或更新内容，则应考虑每日备份。如果您的网站不经常变化，则每周或每月备份可能就足够了。无论频率如何，请确保将备份存储在安全的位置中，并考虑使用提供自动备份的备份服务。

  > WordPress的一些知名安全插件是什么？ WordPress的知名安全插件，包括WordFence，Sucuri和Ithemes Security。这些插件提供了一系列功能，例如恶意软件扫描，防火墙保护和登录安全性。如果他们在您的网站上检测到任何可疑活动，他们也可以向您发送警报。

  >如何监视WordPress网站的安全性？

  >可以通过监视WordPress网站的安全性。各种方法。安全插件通常提供监视功能，使您了解任何潜在的威胁或可疑活动。定期查看网站的访问日志也可以帮助确定任何异常行为。此外，考虑使用提供实时监视和警报的服务。

  >

  如果我的WordPress站点被黑客入侵，该怎么办？

  如果您的WordPress网站被黑客入侵，则第一步是识别并删除恶意软件。这可以使用安全插件或专业恶意软件删除服务来完成。删除恶意软件后，将所有WordPress核心，主题和插件更新为最新版本。更改所有密码并查看用户帐户，以确保未创建未经授权的帐户。最后，从干净的备份恢复您的网站，并密切监视您的网站以进行任何其他可疑活动。

  >

以上是确保WordPress抵抗黑客和DDOS攻击的详细内容。更多信息请关注PHP中文网其他相关文章！