我在WordPress工作了近5年。但到目前为止,我还没有一个标准的解决方案来保护WordPress网站的安全。
我有一个客户托管帐户,该帐户有11个WordPress网站,几乎每年都会遭到黑客攻击。即使最后我不得不离开Hostgator,否则他们会因此暂停该帐户。现在我买了一个新的主机,我不希望它一再发生。
到目前为止,我所做的保护我的网站是我使用了“Wordfence”插件并正确设置了它。试图使用“隐藏我的Wp”插件隐藏我的wordpress安装。已在Wordfence设置中将登录尝试设置为5,这有助于防止Ddos攻击。始终使用更新版本的插件、主题和WordPress核心。按照这些步骤,我仍然在Hosgator主机中被黑客攻击了6次。
现在我的问题是,由于我已经转移到新的主机,我正在使用这些现有站点的新主机中的所有新安装;我怎样才能确保所有这些网站的安全?保护WordPress网站的最佳标准方法是什么?
提前感谢大家。
如果您正在寻找某种“设置并忘记它”的安全解决方案,那么您将感到失望。有些东西可以帮助降低风险,例如防火墙和屏蔽安装,但最终网站的安全性将与运行它的软件以及用于管理它的流程和工具一样。
有了WordPress站点,您可以在WordPress核心旁安装各种插件和主题,其中任何一个都可能包含安全漏洞。保持插件最新是一个很好的做法,但它不会完全保护您,因为在最新版本中有一些插件存在0天漏洞。因此,不幸的是,虽然保持最新状态是一个良好的开端,但还必须监控您使用的插件是否包含尚未修复的漏洞。(ThePlugin Vulnerabilities 插件可以通知您0天漏洞;我在我的网站上使用它。)
除了软件方面的问题外,您还必须考虑在如何管理网站方面是否遵循了最佳做法。您是否使用安全连接?您的计算机是否安装了防病毒软件?是否在浏览器中禁用除受信任站点以外的所有站点的脚本?等等
最后,如果你的网站被黑客入侵,最重要的事情是找出攻击者是如何进入的。如果您不这样做,您的站点很可能仍然容易受到攻击。但当你知道黑客是怎么进来的,你就可以解决这个问题了。
总之,不幸的是,没有一个简单的解决方案。但是,您可能还可以做一些事情来减少被黑客攻击的可能性,并在攻击发生后从中吸取教训。
对我来说最重要的一点是:重命名wp登录名。php!机器人程序只检查默认值,甚至将其移动到/登录/将大大降低暴力强制的风险。显然,你仍然应该确保你的客户使用了好的密码。编辑:在查找了“隐藏我的WP”之后,它显然已经这样做了。从名字来看,我想他们是在试图掩盖你正在使用WP的事实。
此外,一定要做事后分析,找出网站是如何被黑客入侵的,这样你就可以弥补这个漏洞。并确保从中恢复的备份中不包含后门(但如果备份间隔很长,通常意味着情况并非如此)。
对每个站点使用不同的(子)帐户,因此如果一个站点被感染,它只关注该站点。
如果您有很多插件,您可能会尝试拒绝对/wp-content/plugins/alltogether中php文件的请求。插件应该通过/wp-admin/admin-ajax。php for AJAX,几乎没有理由接收直接请求。“尝试”,因为即使他们应该尝试,也不意味着他们会尝试,所以如果你尝试,你必须测试是否有任何东西会断裂。
在Wordpress中构建我自己的联系人表单。除了典型的电子邮件etc验证和可能的验证码之外,我还需要考虑任何其他安全步骤。我没有向数据库发送任何数据。