如果某天打开网站一看,发现网站里的内容全部都被人篡改了,或者是客户的资料外泄了!这种噩梦的场景,其实比你想象中更常发生哦。
据多项统计数据显示全球有超过 40% 的网站是用 WordPress 来建立的,正因为 WordPress 的用户基数这么庞大,WordPress 也成为了黑客最喜欢攻击的目标之一。很多中小企业老板都以为”我的网站那么小,黑客不会来找我的啦”,但是其实大部分的网站攻击都不是由人工来操作的,而是经过机器人(Robot)自动化扫描全球所有 WordPress 网站的漏洞,他们是不会管你的网站是大或小,都有可能会被盯上的哦。
今天就让我们一起来了解 WordPress 网站最重要的几个安全设置,以及我们微变团队最推荐的安全插件;希望可以帮助到你在 WordPress 网站上筑起一道坚固的防护墙吧!
为什么 WordPress 网站特别容易被攻击?
在讲解安全设置之前,我们先来了解一下 WordPress 网站为什么会被黑客盯上哦。
WordPress 网站最常见的攻击方式我们叫做暴力破解攻击(Brute Force Attack),简单来说就是黑客会使用机器人程序,对你的登入页面不断的尝试各种用户名和密码的组合,直到成功登入你的 WordPress 后台为止。
而 WordPress 的默认登入网址是固定的,就是 yourwebsite.com/wp-login.php,全世界的黑客机器人都知道这个地址,所以你的登入页面每天都是可能在被尝试攻击的状态下,只是你自己不知道而已哦。
除此之外,过时的插件和主题也是另一个在 WordPress 网站上很大的安全漏洞来的。每当有插件或主题被发现存在安全漏洞,如果我们没有及时更新,黑客们就有机会可以透过这些漏洞来入侵我们的网站了。建议只保留那些我们“真正用到的插件”,并定期的去删除那些没有启用的插件,因为停用了的插件如果存在漏洞,仍然可能被黑客利用哦。
以下是 WordPress 安全设置的 6 大重点
1. 使用强密码 + 两步验证(2FA)
这是最基础也是最重要的一步哦。很多人为了方便记住自己的登入资料,会去使用一些比较简单的密码,比如 “123456” 或者公司名字,这些密码对黑客的机器人来说几乎是没有难度的。
建议使用至少 12 个字符以上,包含大小写字母、数字和特殊符号的强密码,并避免使用与公司名、生日相关的常见组合。更重要的是记得要开启两步验证功能(Two-Factor Authentication,简称 2FA),就算有人知道了你的密码,没有你手机里的验证码,他们还是没办法登入到你的网站里哦。
2. 定期更新 WordPress、插件和主题
这是很多 WordPress 网站管理员最容易会忽略的一件事来的;WordPress 的核心系统、插件和主题的更新,很多时候都包含了安全漏洞的修复,如果我们长期不更新,就等于把漏洞开给黑客使用哦。
建议至少每个月检查一次更新,我们不建议使用自动更新功能的安全插件来帮你自动处理哟。因为我们是建议在网站管理员要更新前先在测试环境或备份好网站后再更新,以此避免网站出现兼容性问题。
3. 定期备份网站
万一我们的网站真的很不幸的被黑客入侵了,有备份就是我们最后的救命稻草了哦。建议至少每周备份一次网站,而且备份文件要储存在你的网站服务器以外的地方,比如 Google Drive 或者专门的云端备份服务,这样就算服务器出问题,你的备份还是安全的哟。
4. 安装 SSL 证书(HTTPS)
如果我们的网站网址还是 “http://” 开头而不是 “https://”,那就需要马上的去处理了。SSL 证书是可以把你网站和访客之间传输的资料加密的一个钥匙,它防止了资料在网上传输过程中被有心人截取。而且 Google 也会把没有 SSL 证书的网站视为一个不安全的网站,对 SEO 的排名是会有很大的影响哟。
现在大多数的 Hosting 服务商都会有提供免费的 SSL 证书给他们的客户,如果你不确定自己的网站有没有安装到 SSL,可以联系我们微变团队帮你检查哦。
5. 限制登入尝试次数
就像文章前面我有提到的,黑客机器人会不断的尝试去登入我们的网站。其实我们是可以在 WordPress 登入表单里设置一个限制,比如同一个 IP 地址如果连续失败登入 5 次,网站就会自动的锁定它一段时间,这样就可以大大的减少暴力破解攻击的成功率了哦。
6. 隐藏 WordPress 登入网址
这个是很多人都不知道但又是非常有效的安全措施哟!WordPress 登入在默认情况下,所有 WordPress 网站的登入网址都是固定的 /wp-login.php,因为黑客机器人都知道了这个地址,所以会每天都在寻找所有有关的这个网址发动攻击。
如果我们把这个登入网址改成一个自定义的网址,比如 yourwebsite.com/ab0ac1-login,黑客机器人就找不到你的登入页面了,这样也可以让被黑客攻击的次数大幅度减少哟。这个功能我们在下面推荐的插件里会详细的介绍!
我们最推荐的 WordPress 安全插件:Solid Security
讲了这么多关于 WordPress 网站安全设置的建议,其实要去一一设置也是一件非常繁琐的事情来的。我们微变团队最都会帮我们的客户的 WordPress 网站安装 Solid Security(前身是 iThemes Security)这个插件,因为它可以一次过帮我们处理大部分的安全设置,而且操作界面非常简单直接,就算是一个完全不懂技术的新手也可以快速上手哦!
根据截稿前 WordPress 官方的插件库中,Solid Security 目前有大约 70 万左右的活跃插件安装数量的记录,Solid Security 的评分也是长期维持在 4.5 分或以上(满分 5 分),是目前 WordPress 用户们最信赖的安全插件之一。
Solid Security 的主要功能
- 暴力破解攻击保护:自动检测并锁定频繁尝试登入失败的 IP 地址,有效阻止机器人攻击
- 两步验证(2FA):支持 Google Authenticator、Authy 等手机应用程序,大幅提升登入安全性
- 文件变更检测:监控网站文件的变化,一旦发现可疑的文件修改就会立即通知你
- 漏洞扫描:定期扫描你安装的插件和主题,检测是否存在已知的安全漏洞
- 隐藏 WP Admin 登入网址(Hide Backend):这个功能我们特别要介绍一下哦!
Solid Security 隐藏 WP login 的功能为什么特别重要?
Solid Security 内建了一个叫做 “Hide Backend”(隐藏后台)的功能,可以让你把默认的 /wp-login.php 登入网址改成任何你自定义的网址。
这个功能有以下几个好处:
第一,大幅减少机器人攻击。黑客机器人是用自动化的方式扫描所有 WordPress 网站的 /wp-login.php 网址来发动攻击的,如果你的登入网址变了,机器人就不可以直接找到攻击入口了,攻击次数可以减少非常多哟。
第二,减少安装额外插件的负担。市面上有其他专门用来隐藏 WordPress 登入网址的插件,但是如果你已经安装了 Solid Security,就不需要再另外安装多一个插件了,减少了插件数量也就减少了网站的负担哟。
第三,设置非常简单。只需要在 Solid Security 的设置里找到 “Hide Backend” 的选项,输入你想要的自定义网址,保存之后就完成了,完全不需要任何技术知识来的。
加码小贴士:安装 Solid Security 之前要注意什么?
虽然 Solid Security 是一个非常强大的插件,但是在安装之前还是有几件事需要我们特别的去注意哦:
- 先备份网站:Solid Security 会对你的网站数据库和文件做一些修改,在安装之前一定要先做好完整的网站备份,这个步骤非常重要来的
- 记住你的自定义登入网址:如果你开启了 “Hide Backend” 功能之后忘记了新的登入网址,你就会把自己锁在网站外面了哦,所以记得把新的登入网址储存在一个安全的地方
- 测试插件兼容性:安装之后要测试一下网站的各个功能是否正常,因为在少数情况下 Solid Security 可能会和某些插件产生冲突哦
总结
WordPress 网站的安全设置从来都不是一件可以拖延的事情,因为黑客机器人每天都会在扫描全球的 WordPress 网站,不管你的网站大小,都有可能成为黑客攻击的目标哦。
透过正确的安全设置,加上安装像 Solid Security 这样的专业安全插件,你就可以大幅度降低网站被攻击的风险,让你可以安心的专注在经营业务上,而不是担心网站随时会出现问题哟。
如果你不确定自己的 WordPress 网站目前的安全状况,或者需要我们微变团队帮你进行网站安全检查和设置,欢迎随时联系我们!我们可以帮你从头到尾把网站的安全防护做好,让你的网站和客户资料都得到妥善的保护哟!
