即使新手也能,并且应该采行那些关键步骤来为保护他们的 WordPress 中文网站免遭互联网反击。
WordPress 已经驱动力了互联网 30% 的中文网站,它是世界上增长最慢的 内容信息系统content management system(CMS),而且由此可见原因:通过大量需用的订制化标识符和应用程序、世界级的 浏览器强化Search Engine Optimization(SEO),以及在网志界超强的品牌效应,WordPress 获得了极高的名气。
然而,随着名气得来的,也带来许多不好的关注。WordPress 是侵略者、恶意程序和互联网反击的常用目标,实际上,在 2019 年被互联网反击的 CMS 中,WordPress 约占 90%。
不论你是 WordPress 新使用者或者有经验的开发人员,这里有许多你能采行的关键关键步骤来为保护你的 WordPress 中文网站。下列 6 个关键基本功将帮助你起跑。
1、选择可靠的代销PS3
PS3是大部份中文网站有形的基础,没有它,你不能新浪网发布你的中文网站。但PS3的作用不止起简单的代销你的中文网站,它也要对你的中文网站速度、操控性和安全可信负责。
第二件要做的事情就是检查PS3在它的优惠券中是否包涵 SSL 安全可信协定。
不论你是运行两个小网志或者两个大的新浪网零售店,SSL 协定都是大部份中文网站须要的安全可信机能。如果你正在进行圣戈当斯区交易,你还须要 高阶 SSL 公钥,但对绝大多数中文网站来说,基本完全免费的 SSL 合格证书就较好了。
其他须要留心可信机能主要包括下列三种:
日常生活的手动app中文网站存储恶意程序和安全应用软件扫描器和删掉肩蝠反击Distributed denial of service(DDOS)为保护动态互联网监视高阶内网为保护另外除了那些位数安全可信机能之外,你的PS3分销商的 力学安全可信措施也是值得考虑的。那些主要包括用安全可信卫兵、HMI监视和伊瓦诺校正或生物识别来限制对互联网系统的出访。
2、使用安全可信应用程序
为保护你的中文网站安全可信最有效且容易的方法之一是加装两个安全可信应用程序,比如 Sucuri,它是两个 GPLv2 许可证的开放源码应用软件。安全可信应用程序是非常关键的,因为它们能将安全可信管理手动化,这意味着你能够集中精力运行你的中文网站,而不是花大量的时间来与新浪网威胁作斗争。
那些应用程序探测、阻止恶意反击,并提醒你须要注意的任何问题。简言之,它们持续在后台运行,为保护你的中文网站,这意味着你不必保持 7 天 24 小时地保持清醒,与黑客、漏洞和其他位数垃圾斗争。
一个好的安全可信应用程序会完全免费提供给你大部份必要的安全可信机能,但许多高阶机能须要付费订阅。举个例子,如果你想要解锁 Sucuri 的中文网站内网,你就须要付费。开启 中文网站应用内网web application firewall(WAF)阻挡常用的威胁,并为给你的中文网站添加两个额外的安全可信层,所以当选择安全可信应用程序的时候,寻找带有这个机能的应用程序是两个好的主意。
3、选择值得信任的应用程序和主题
WordPress 的快乐在于它是开放源码的,所以任何人、每个人都能提供他们开发的主题和应用程序。但当选择高质量的主题和应用程序时,这也抛出许多问题。
在挑选完全免费的主题或应用程序时,有许多设计较差,或者更糟糕的是,可能会隐藏恶意标识符。
为了避免这种情况
过时的或设计不良的主题和应用程序能为反击者进入你的中文网站留下“后门”或错误,这就是为什么选择时要谨慎。然而,你也应该提防无效或者破解的主题。那些已经黑客破坏了的高阶主题被非法销售。你可能会购买两个无效的主题,它看起来没什么问题,但会通过隐藏的恶意标识符破坏你的中文网站。
为了避免无效主题,不要被打折的价格所吸引,始终坚持可信的主题零售店,比如官方的 WordPress 目录。如果你在其它地方寻找,坚持选择大型且值得信任的零售店,比如Themify,这个主题和应用程序零售店自从 2010 年就已经在经营了。Themify 确保它的大部份 WordPress 主题通过了谷歌友好移动Google Mobile-Friendly 测试,并在GNU 通用公共许可证证下开放源码。
4、运行定期更新
这是 WordPress 的基本规则: 始终保持你的中文网站最新。然而,不是大部份人都坚持了这个规则,只有 43% 的 WordPress 中文网站运行的是最新版本。
问题是,当你的中文网站过期的时候,由于它在安全可信和操控性修复方面落后的原因,容易受到故障、漏洞、入侵和崩溃的影响。过期的中文网站不能像更新的中文网站一样修复漏洞,反击者能够分辨出哪些中文网站是过期的。这意味着他们能够依此来搜索最易受反击的中文网站并袭击它们。
这就是为什么你始终要运行最新的 WordPress 版本的原因。为了保持中文网站安全可信处于最强的状态,你必须更新你的应用程序和主题,以及你的核心 WordPress 应用软件。
如果你选择两个受管理的 WordPress 代销优惠券,你可能会发现你的分销商会为你检查并运行更新,以了解你的PS3是否提供了应用软件和应用程序更新。如果没有,你能加装两个开放源码应用程序管理器。比如 GPLv2 许可证的 Easy Updates Manager plugin作为替代品。
5、强化你的登录
除了通过仔细选择主题和加装安全可信应用程序来创建两个安全可信的 WordPress 中文网站外,你还须要防止未经授权的登录出访。
密码为保护如果你在使用 容易猜到的短语比如 “123456” 或 “qwerty” ,第一步要做的增强登录安全可信最简单的方法是更改你的密码。
尝试使用两个长的密码而不是两个单词,这样它们很难被破解。最好的方式是用一系列你容易记住且不相关的单词合并起来。
这里有许多其它的提示:
绝不要重复使用密码密码不要主要包括像家庭成员的名字或者你喜欢的球队等明显的单词不要和任何人分享你的登录信息你的密码要主要包括大小写和位数来增加复杂程度不要在任何地方写下或者存储你的登录信息使用 密码管理器变更你的登录地址将默认登录网址从标准格式 yourdomain.com/wp-admin变更是两个好主意。这是因为黑客也知道这个缺省登录网址,所以不变更它会有被暴力破解的风险。
为避免这种情况,能将登录网址变更为不同的网址。使用开放源码应用程序比如 GPLv2 许可证的 WPS Hide Login能更加安全可信、快速和轻松的自定义登录地址。
应用双因素认证为了提供更多的为保护,阻止未授权的登录和暴力破解,你应该添加双因素认证。这意味着即使有人 确实得到了你的登录信息,但他们还须要两个直接发送到你的手机上的校正码,来获得对你的 WordPress 中文网站管理的权限。
添加双因素认证是非常容易的,只须要加装另两个应用程序,在 WordPress 应用程序目录搜索 “two-factor authentication” ,然后选择你要的应用程序。其中两个选择是 Two Factor,这是两个流行的 GPLv2 许可证的插件,已经有超过 10000 次加装。
限制登录尝试为了应对暴力破解,加装两个应用程序来限制登录尝试,并设置你允许猜测的次数。
6、禁用文件编辑机能
这不是两个适合新手的关键步骤,除非你是个自信的程序员,不要尝试它。并且一定要先存储你的中文网站。
那就是说,如果你真的想为保护你的 WordPress 中文网站,禁用文件编辑机能 是两个关键的措施 。如果你不隐藏你的文件,它意味着任何人从管理后台都能编辑你的主题和应用程序标识符,如果侵略者进入,那就危险了。
为了拒绝未授权的出访,转到你的 .htaccess文件并输入:
或者,要从你的 WordPress 管理后台直接删掉主题和应用程序的编辑选项,能添加编辑你的 wp-config.php文件:
define( DISALLOW_FILE_EDIT, true );保存并重新加载这个文件,应用程序和主题编辑器将会从你的 WordPress 管理后台菜单中消失,阻止任何人编辑你的主题或者应用程序标识符,主要包括你自己。如果你须要恢复出访你的主题和应用程序标识符,只须要删掉你添加在 wp-config.php文件中的标识符即可。
不论你阻止未授权的出访,还是完全禁用文件编辑机能,采行行动为保护你中文网站标识符是很关键的。否则,不受欢迎的出访者编辑你的文件并添加新标识符是很容
隐藏文件更容易的方式是利用安全可信应用程序来为你服务,比如 Sucuri 。
WordPress 安全可信概要
WordPress 是两个优秀的开放源码平台,新手和开发人员都应该享受它,而不用担心成为反击的受害者。遗憾的是,那些威胁不会很快消失,所以保持中文网站的安全可信至关关键。
利用以上措施,你能创建两个更加健壮、更安全可信的为保护水平的 WordPress 站点,并给自己带来更好的使用体验。
保持安全可信是两个持续的任务,而不是一次性的检查清单,所以一定要定期重温那些关键步骤,并在建立和使用你的CMS时保持警惕。
via: https://opensource.com/article/20/4/wordpress-security
作者:Lucy Carney选题:lujun9972译者:hwlife校对:wxy
本文由 LCTT原创编译,Linux中国荣誉推出
