共计 1931 个字符,预计需要花费 5 分钟才能阅读完成。
对于每一个站长来说,网站运营的安全性稳定性是非常重要的。对 WordPress 网站我们应该如何设置提高网站的安全性呢?
WordPress 站长圈就和大家分享一些可以提高 WordPress 网站安全性的建议
1. 选择品牌云服务器,确保服务器的稳定安全
WordPress 站长圈不建议大家在一些免费主机或者不知名的服务商那里搭建自己正式运营的网站,一般稳定性和安全性都比较差。建议通过官方渠道选择腾讯、阿里这类大品牌的服务器,它们都有自己的备份机制服务器数据安全性有保障, 管理后台都有系统安全风险漏洞检测及自动修复或修复方法建议(需及时修复),一般服务器未到期不使用都可以退回余下部分费用,各方面服务也比较完善。不要为了节省一点小钱,为自己网站留下大的隐患,一份价钱一分货,大品牌的平均运营成本绝对比那些不知名的服务商低,他们便宜是有便宜的原因。
2. 使用 WordPress 官方最新版本
WordPress 下载安装一定不要随意从不知名的第三方网站下载,建议到 WordPress 官网或者宝塔面板一键安装。尽可能将 WordPress 升级到最新版,及时修补程序漏洞,包括 WordPress 核心源码、WordPress 主题以及 WordPress 插件。
3. 使用正版 WordPress 主题,WordPress 插件尽量从官方下载
一些免费版的主题一般都很少更新维护,安全性可靠性可想而知。对于一些破解版的主题,除去版权问题不说,大部分破解版主题都会存在后门,使用后会存在很大的隐患,特别是对于一些使用在线付费功能的用户。破解版主题也很难跟上官方正版的更新,也会存在一些漏洞,bug 等问题,对于一些破解不完善的还会存在各种功能上的缺陷。
WordPress 插件可以从插件官网下载或者 WordPress 网站后台插件平台下载,不建议随意从一些不知名的网站下载安装使用,以免插件被人恶意修改。
4. 安装 WordPress 时,修改数据库默认前缀 wp_
大部站长安装 WordPress 都没有修改数据库前缀,其实修改数据库默认前缀可以防止 sql 注入攻击。如果你已经安装且没有修改,可以选择不修改或者使用插件来修改,建议修改前一定要对数据库进行备份。参考插件:Change Table Prefix,可至 WordPress 官网下载上传安装或者 WordPress 网站后台插件平台搜下下载安装,也可使用其他同类插件。
5. 修改默认管理员用户名
每个黑客都知道 WordPress 的管理员用户是 admin,具有管理员权限,会攻击这个用户。当我们在安装 WordPress 程序的时候,建议将修改默认的 admin 账号为其他名称,防止黑客暴力破解后台密码。如果你目前使用的是 admin 这个管理员账户,你可以新建一个用户设置为管理员权限,然后删除 admin 帐号,这样就能避免黑客猜测管理员的用户名。
另外注意你发布文章的时候会显示你的用户名称,我们需要设置一个账号昵称,并在用户管理将显示改为昵称。
6. 使用复杂密码
不管是网站后台管理员账号密码,还是自己的 QQ 号,其他网站登陆账号密码都建议设置复杂度高一点的密码。切勿随意设置一些简单的密码比如 123456,888888 等,这类密码很容易被破解。密码建议设置 8 位以上,包含大小写字母,数字,特殊符合,比如 W52p.qo21。
7. 安装 WordPress 安全插件
WordPress 安全插件可以防病毒,拦截攻击,和扫描恶意软件。推荐插件:Wordfence,后台插件搜索安装即可。
8. 服务器及宝塔面板的安全设置
我们可以设置服务器的安全,那些端口以及那些 IP 可以访问,宝塔面板也可以设置端口访问权限。宝塔自带的有或防火墙,另外可以安装免费的 Nginx 免费防火墙有更多的防护功能可以使用。如果我们的网站仅对国内用户服务,可以设置禁止国外 ip 访问,可以阻止大部分的垃圾留言及攻击。
9. 使用 ssl 证书,强制 https
参考本站教程设置开启 https,如果你使用一般的 http,你的密码可能会被人用抓包嗅探软件截取到。
如何申请免费 ssl 证书,宝塔面板怎么开启设置网站 https,WordPress 网站的 https 配置
10. 网站自动备份
网站定时自动备份非常重要,除了不仅可以防止网站故障导致的问题,还可以防止自己误操作导致的网站问题。
宝塔面板自带的有网站及数据库备份工具,根据网站更新设置备份频率时间,可设置每天备份,和每星期备份。
宝塔面板备份教程参考本站其他文章。
至于网络上说隐藏版本号,修改后台访问地址等,本站就没有分享了,因为设置起来比较麻烦,而且你更新程序主题,有些内容都要重新设置。大家根据自己需要设置即可,不是大型的网站,也没有必要做到那么高级别的安全性,连访问的人都没有几个,按照以上设置防护下就可以了。
