这是一场可怕的噩梦:有一天,您打开网站,发现自己已被黑客攻击。如果您正在运行一个简单的个人博客,这可能只是一个烦人的事件。如果您托管客户的网站,您的一天可能会变得艰难且充满压力。如果您正在运营一个高销量的电子商务网站,它可能会引发恐慌。无论情况如何,您都不会使用快乐的表情符号来分享新闻。因此,您需要一个策略来防止攻击发生。
您来对地方了。在这个由两部分组成的迷你系列中,我将向您展示如何使您的WordPress项目尽可能安全。
WordPress安全性简介
您认为WordPress安全吗?如果您不这样做也没关系,因为很多人认为WordPress是一个不安全的内容管理系统,但事实与事实相去甚远……至少在今天是这样。
MicrosoftWindows、Android、GoogleChrome和WordPress有什么共同点?它们都是非常流行的软件,人们总是会发现其中的安全漏洞。尽管它们都定期修补错误和安全缺陷,但存在安全漏洞是否会使它们不安全?
如果您有不同的想法,我很抱歉,但事实并非如此。频繁的补丁并不一定意味着某个软件针对安全威胁的编码很差。开发者和黑客之间的猫捉老鼠的游戏永远会继续下去,黑客永远会找到破解软件的方法。如果软件像WordPress一样是可扩展的,那么黑客入侵的机会也会增加。
这里重要的是响应能力和先发制人,而这正是WordPress所擅长的。你必须等待几天才能让GoogleChrome堵塞安全漏洞,甚至需要等待几周微软才能发布安全修复程序,但庞大的WordPress开发者社区将能够在2019年年底之前修复零日安全漏洞。第一天。另外,有一整个团队致力于保护WordPress核心,所以我们在这方面也有很好的把握。就主题和插件而言,发现错误和缺陷可能会更容易一些,并且可能需要更多时间来修复它们,但社区得到了开发人员的支持。
然而,没有什么是百分百安全的。我们生活在科学家即将破解我们大脑密码的时代!没有什么是难以理解的,显然包括我们的大脑,WordPress也不例外。但100%的安全性是不可能的,并不意味着我们不应该追求99.999%的安全性。
提高WordPress的安全性
根据个人经验和进一步的研究,我整理了一些您应该采取的安全措施(如果您还没有采取的话)。话不多说,让我们现在就来了解一下他们吧!
保护.htaccess文件
让我们从简单的开始。
如果您的WordPress网站托管在由Apache提供支持的网络服务器中,并且您在设置中启用了“漂亮的永久链接”,WordPress将生成一个名为.htaccess的文件来存储基本信息WordPress永久链接说明。如果您不启用漂亮的永久链接,核心将不会生成.htaccess文件,但我将要展示的提示仍然适用-您只需要自己创建该文件。
Nano-tip:如果您要自己创建.htaccess文件,但很难创建一个没有任何名称但带有.htaccess扩展名的文件,只需上传一个空文件即可使用任何名称(例如Untitled.txt)并在FTP客户端中更改名称和扩展名。
我首先想到的是保护htaccess文件。这是我将向您展示的提示和技巧中最容易做的事情。您所要做的就是将以下行添加到文件中:
