搜索内容:
时间:2020-02-11
编辑:网站制作公司
5176
0
出于某种原因,WordPress被称为最佳博客平台。我敢肯定,每个人都知道它是一个了不起的CMS平台,该平台上包含许多特性和功能。WordPress的优点之一是它拥有大量的插件和资源,可帮助增强任何网站的功能。
WordPress花了十年的时间才成为世界上最受欢迎的Web内容管理系统。据估计,有22%的新站点(总共约6000万个站点)由WordPress驱动。CNN,eBay,福布斯和索尼只是维护WordPress网站的一些领先品牌。东莞手机网站制作:CMS每月产生超过40亿的页面浏览量和近4000万的帖子。根据网站监控服务Pingdom的说法,WordPress是世界排名前100位博客的首选博客系统。
这些数字一定会让您对WordPress对使用网络空间的企业和个人的巨大影响有一个了解。
即使随着WordPress的发展,由该系统支持的网站和博客也已成为黑客的最爱目标。最重要的是,必须认真考虑WordPress的安全性。如果您不了解安全风险和缓解因素/控制措施,可以将风险降低到可接受的水平,请继续阅读。
为了了解如何保护WordPress网站免受恶意攻击,您首先需要了解系统中的漏洞。关于可能会受到攻击的WordPress网站/博客的可能的想法,可以为最终的对策做好准备。这些是在WordPress支持的网站上最常见的攻击:
如果您的网站是暴力攻击的受害者,那么马上就可以假设您的用户名和密码凭据不符合要求。基本上,这种类型的攻击涉及尝试猜测您的用户名和密码。因此,如果您仍然使用默认的“ admin”用户名或弱密码,那么您将向攻击者发出公开邀请。请记住,一次失败的尝试不会停止暴力攻击。攻击者坚持不懈,努力使自己变得更好。持续尝试渗透到您的站点可能会导致性能问题,因为它们会占用大量服务器内存。
您如何预防呢?您可以采取的基本预防措施包括不继续使用“ admin”用户名。创建具有管理员权限的唯一且难以猜测的用户。如果您的名字叫Jennifer或Tim(在博客上公开显示),请不要使用您的用户名。那将使任何人都太容易猜测。设置高强度密码有多么重要,这一点不能被强调。一个好的字母将具有大小写字母,字符和数字。复杂密码的示例是B5l(78)O12g9或IlOve&28BlOg。以下是创建密码的一些注意事项:
不要像456789这样按顺序使用字符串
不要签约您的域名,用户名或公司名称;还要避免这些名称的排列
不要创建仅字母或仅数字密码
不要创建短密码,即少于8个字符
避免使用字典中的单词作为密码
切勿使用与您的用户名相同的密码!
您也可以考虑为WordPress安装登录限制器。这基本上是隔离或阻止正在尝试且无法完成高于特定阈值速率的登录请求的用户名/ IP地址。例如,可以限制每5分钟10次尝试登录的超时时间为1小时。这样的限制将阻止和挫败黑客,因为他们将无法尝试足够的变体来获得非法访问。
跨站点脚本缩写为XSS,允许攻击者将客户端脚本注入其他用户正在查看的网页中。攻击者可能利用此漏洞来规避访问控制。
在脚本注入中,攻击者会寻找您网站的输入元素之一(例如名称,搜索或联系方式),并注入恶意的JavaScript或PHP命令。这种攻击可以通过多种方式危害您的WordPress网站。攻击者可能会进入您的数据库,插入数据并使您的访客可见。他们可能会窃取敏感的客户或财务信息,通过访问和劫持会话信息(站点与用户之间的通信)来冒充用户,甚至关闭整个站点。
您如何预防呢?您可以采取多种措施来对抗跨站点注入。文件验证,数据验证和输出清理是一些技术。由于这些内容涉及一定的技术背景,因此最好对它们进行查找并完全理解它们,以便成功应用。
听到关于旧WordPress版本的攻击的消息并不少见。如果您使用的是2.8.3之后的WordPress版本,则表示安全。但是,建议您升级到最新版本(3.5.1),其中包括许多可使站点安全的修复程序。过时的插件极易受到攻击-如果您一直在阻止更新到较新版本,那么该是时候做对了。
防止黑客入侵的好方法是使用具有良好评级,大量下载和活跃作者支持的高质量插件。可靠的作者将解决安全问题,并相应地更新其插件。
WordPress网站/博客所有者可以采取一些预防措施来增强安全性。您可以在这里投资。
必须进行一项基本的技术更新,以防止黑客识别系统漏洞。东莞手机网站制作:在很多地方,黑客都可以发现漏洞并计划攻击。全面的技术更新将包括恶意软件检查,笔记本电脑密码更新和防病毒更新。另外,请确保您的操作系统,ISP和路由器具有适当的防火墙。
使用插件甚至手动备份整个数据库非常重要。您可以从一些执行自动全站点备份的出色插件中进行选择,例如BackUpBuddy(按年订阅,并且是还原WordPress网站的最简单选项),VaultPress(按月订阅)和WordPress Backup to Dropbox(免费和高级) 。
如前所述,不要担心更新插件或WordPress网站,因为它会破坏您的网站。这方面的一些最佳做法包括(a)通过每天或每周安排备份来确保备份是最新的(b)尽早更新WordPress,插件或主题-甚至要注意较小的更新因为它们将包含关键的安全修复程序,并且(c)用于主要的WordPress,主题或插件更新,所以请稍等片刻,直到开发人员对更新进行了实时测试。如果您还安装了另一台WordPress,则可以尝试复制您的网站并先对其进行更新,以确定是否可以对实时网站进行同样的操作。
注意:您可以关注有关WordPress开发的最新修补程序/补丁的新闻。
最好投资购买优质的托管服务。精通WordPress的提供商将能够更轻松地处理权限和安装,并且服务的变化对您来说显而易见。与知道WordPress的可靠服务合作可以为网站/博客安全做出自己的贡献。以下是一些选项:
Bluehost:Bluehost是一个流行的选择,它提供共享和升级的共享主机,并在一台服务器上增加了资源并减少了用户。
Dreamhost:主动检测黑客
WP Engine:如果您需要顶级的WordPress安全性,那么这是一个不错的选择。从常规安全扫描到日常备份,它可以帮助您轻松便捷地解决安全问题。
有相当多的免费和付费安全插件可以监视和保护您的WordPress网站。一个免费的安全插件– Wordfence –提供多个监视级别,也可以作为高级计划使用。您还可以探索Bulletproof Security(有限监视),Sucuri(恶意软件清除),WordPress Firewall 2和VaultPress。WP安全扫描也是一个很好的安全解决方案。该插件扫描您的博客中的漏洞,并向您报告恶意代码。
新的WordPress网站更容易受到攻击,因为它们拥有所有关键安全修复程序的可能性大大降低。已经看到黑客可以利用这一点。您可以通过删除页脚中的文本链接“由WordPress提供支持”,删除首页上的默认帖子并向您的网站中添加尽可能多的帖子来避免将WordPress网站显示为新手。存在一段时间。
如前所述,重要的是更改默认的管理员登录名并设置一个强密码。在检查密码强度的工具中有不错的选择。您可以浏览的内容包括密码表(AskTheGeek),密码查看(LBW-SOFT)和密码检查器(Microsoft)。
作为一种警告措施,可以防止访问者浏览整个目录。黑客可以研究目录结构来识别安全漏洞。要禁用目录浏览,可以在WordPress博客目录的.htaccess中添加以下内容:
# disable directory browsing Options All – Indexes
注意:.htaccess是Apache使用的文件,用于定义您网站的访问规则
确保管理员文件受到足够的保护;只有您和少数博客作者才能访问它们。.htaccess是一种限制访问的方法。根据您是静态IP地址还是多用户博客,您可以仅限制从定义数量的IP访问。有关如何进行相同的逐步说明的更多信息,请查阅Apache的文档。
作为负责任的WordPress网站/博客所有者,您有责任主动解决安全问题。有多种方法可以做到这一点。通过CMS后端下载新的WordPress软件更新。执行此操作时,还要验证新版本与Web服务器的MySQL和PHP版本的兼容性。如果您发现任何违规或错误,可以将其报告给WordPress社区。
垃圾邮件发送者和黑客一样麻烦。WordPress网站所有者将为此提供担保。值得庆幸的是,您可以通过多种方式来打击垃圾邮件。这里有一些:
读者发表的中等评论。机器人程序将被审核,但手动评论可被列入黑名单或标记为垃圾邮件。启用“评论作者必须具有先前批准的评论”。这意味着来自受信任读者的评论将自动获得批准。
注意仪表板上的IP地址,以阻止可疑的垃圾邮件程序。您可以阻止一个或多个IP地址来解决垃圾邮件。
安装反垃圾邮件插件也是打击垃圾邮件的一种方法。可以很好地完成这项工作的三个流行插件是Quiz,Akismet和Simple Trackback Validation。
如果您有时间和意愿,请根据其出现频率定期删除所有垃圾评论。
无法预测您的WordPress网站何时可能成为恶意元素的目标。东莞手机网站制作:如果-尽管您已尽力而为-您的网站遭到入侵,请不要惊慌。通知您的主机,让您的粉丝和读者(通过Twitter或Facebook)了解这些信息,实施必要的修复,更改密码,重要的是,记下为防止攻击而应该采取的措施。这将帮助您增强将来的站点安全性。另外,请记住,这还不是世界末日–您可以根据被攻击的类型和程度,快速启动并运行被黑客入侵的WordPress网站。
3
s后返回登录
3
s后返回登录
