4个影响wordpress安全的事实
WordPress目前正在推动整个互联网的28%以及世界上使用最多的CMS。这使得WordPress网站成为了那些没有良好意图的人们的热门话题。
根据WordPress开发者和及相关专家的说法:
一些试图找到利益的黑客,一些是好的,一些是病态的,数量巨大。而且由于WordPress的普及,这些漏洞很快就被发现,利用和/或公开。
关于一个新的WordPress网站安全,你应该知道4个不容置疑的事实。
默认的WordPress文件很容易受到攻击
由于wordpress是一个开源的系统,每个文件都是公开的。每天接受很多黑客的检查和扫描(虽然相对于其它系统,wordpress依然很坚挺),不过一些公开的文件及信息改动会更好:
大家都知道`wp-login.php`文件是大多数网站的登录表单。所以这是暴力攻击者的直接切入点。他们(机器人)不必四处寻找你的登录表单。
这意味着机器人可以反复攻击WordPress登录页面,只要他们喜欢。或者直到他们访问您的网站。
同样的情况是网站数据库:默认的wp_前缀。具体来说,存储在数据库中的所有项目将以该单个前缀开始。这个过于着名的因素可能会帮助攻击者和黑客对你的数据库做一些令人讨厌的事情。最值得注意的是一种被称为SQL注入的攻击,黑客可以创建一个单独的管理员用户,完全访问整个WordPress网站。
这就是为什么不改动文件(和文件夹)可能会损害WordPress的安装,但这是可以很容易地改善的:
重命名你的数据库前缀和移动你的WP登录文件,基本上是一次性的过程。一旦完成,他们就完成了。这不是一直在运行的东西。
修改登录表单可以借助安全插件:安全和隐藏wp的插件Hide My WP汉化版
修改表单前缀可以借助插件:Rename DB Table Prefix
不更新WordPress核心文件,主题和插件
当WordPress团队发布一个新版本时,它充满了安全补丁。许多人并不即时更新。黑客知道这一点,并积极寻求这些WordPress的网站。
如果你不保持你的WordPress更新,基本上给黑客免费搭车。他们所要做的就是发现你使用的是旧版本,并且可以直接利用已知的漏洞。事实上,有些工具实际上是为他们做的。我可以做到,你可以做到,他们正在做。
插件和主题为WordPress网站添加了许多额外的功能和功能。与WordPress团队一起,插件和主题开发人员也会修补安全漏洞,并定期发布更新。
确保你的插件,你的主题和你的WordPress都是最新的。这可能是最大的因素,以及有良好的安全插件,以保护您免受主要形式的攻击。
你的WordPress的核心文件,你的主题和插件,即使他们是自定义编码,应始终保持更新到最新版本。
此外,你不应该忘记摆脱不使用的插件,主题文件和非活动用户。那些通常被遗忘的东西,悄悄地在你的WordPress安装中运行,但是它们可以为那些正在寻求伤害的人提供一种途径。
您当前主机商可能缺乏安全性
当涉及到您的网站安全时,您的主机服务提供商是一个关键的角色。今天有丰富的WordPress优化的主机服务提供商,你应该检查,因为他们有WordPress的网站的额外安全层,并确保您自己的网站保持更新。
有的WordPress主机已经有了自己的步骤,如果他们登录失败的次数过多,他们会阻止用户。他们知道人们攻击你的WordPress站点的主要方式,并防止它。他们已经在保护你,这是防守上的一个额外的步骤,他们也迫使你更新插件和主题,如果你不这样做,这是一个非常大的风险领域。
如果您没有使用任何安全插件,则会威胁到您的网站安全
WordPress 的仓库中有超过52.3K的可用插件。如果您想使用免费的安全插件,有3个插件可以极大地提高您网站的安全性:iThemes Security,Wordfence和Sucuri Scanner。
iThemes Security,Wordfence和Sucuri安全是三个主要的插件,如果设置正确,将确保平均WordPress网站可以防止99%的攻击。
这些插件和服务可以帮助解决上述所有问题。这包括更改数据库前缀和保护您的核心WordPress文件。他们不会加慢您的网站,他们不会干扰您的业务。但是正确设置它们对于某些人来说可能是困难的,这就是为什么你可能要考虑聘请一个专业人员来为你做这个。