WordPress是一种频繁的黑客目标。黑客瞄准主题,核心WordPress文件,插件甚至登录页面。这些是采取的步骤,如果它仍然应该发生这种情况,可以不太可能被攻击并且能够更容易地恢复。
如何黑客攻击WordPress
Web上的所有网站都在不断攻击,无论是PHPBB论坛还是WordPress网站,所有网站都被黑客探测。黑客扫描数千页或尝试每天尝试登录数百次,这并不罕见。
,这只是一个黑客。网站在几个黑客的同时受到了攻击。
通常这不是一个试图破解你的人。黑客采用自动化软件来爬网以探测网中的特定弱点ite。
这些自动化软件程序被称为机器人。我称他们为黑客机器人才能将它们与刮刀机器人区分开来(试图复制内容的软件)。
以下
使用防火墙保护您的WordPress网站
防火墙是一种软件阻止入侵者的程序。在我看来,最好的WordPress防火墙是一个名为Wordfence的插件。
Wordfence所做的是检查网站访客的行为是否与滥用机器人的行为匹配。如果机器人打破了某些规则,那么在短时间内询问太多网页,那么Wordfence将自动阻止机器人。
Wordfence也被编程为允许像Google等合法机器人和网站上的Bing。 。
有先进的FE让发布者看到什么机器人攻击网站并查看来自亚马逊Web服务或Bluehost的Bot Bot的Bot的攻击位置的攻击网站。 Wordfence提供了发布者通过IP地址,整个IP地址范围或甚至通过机器人使用的假浏览器用户代理来阻止Bot的能力。
关于用户代理(UA)
下面的广告传票读数a ON(Windows 10,Mac OS X)。例如,这是Mac OS X计算机上的Safari 11浏览器的用户代理字符串:
Mozilla / 5.0(Macintosh;英特尔Mac OS x 10_11_6)AppleWebkit / 605.1.15(如壁虎)版本/ 11.1.2 Safari / 605.1.15
机器人使用很多不同的用户代理程序才能愚弄网站和潜入。例如,有些BOTS假装在Windows XP上是浏览器。 WIN XP上的实际用户数量接近于零,我可以使用Wordfence创建规则来阻止所有用户代理与Windows XP为操作系统和通过那个规则,我可以阻止数千个坏机器人,无论他们来自哪里或IP地址。
错误的机器人有时会通过改变另一个用户代理来响应,因此通过组合这些规则来响应出版商可以阻止封锁广泛的坏黑客机器人的机会。
,这是Wordfence的免费版本。
付费版本可以阻止整个CO病房。因此,如果您没有来自某些国家的合法网站访问者,您可以阻止来自这些国家的每个访客。
狼人防御攻击
另外,Wordfence的付费版本将保护您预先从许多受损主题和插件修复之前。
一旦Wordfence研究人员知道一个利用,他们将更新防火墙的高级版本,以便为这些漏洞提供保护,有时几周漏洞利用由受损主题或插件开发人员修复。
网站安全硬化
另一种提供额外的保护层的免费插件被称为sucuri安全。 Sucuri(由Godaddy拥有)有助于硬化WordPress SE威胁阻止糟糕的机器人利用某些类型的攻击。它还具有恶意软件扫描功能,查看所有文件,以查看是否已被更改。
Sucuri读数将在每次某人登录您的网站时提醒您,帮助发布者识别黑客是否正在记录。在。Sucuri也可以提醒发布者如果更改文件,则为黑客执行的东西。
这些是Sucuri的自由版本的功能:
“安全活动审核文件Integrity ControlleMote Malware ScanningBlacklist监控过度安全硬化Post-Hack Security ActionSecurity通知“Sucuri的付费版本包括一个网站防火墙。
对您网站的限制登录
Wordfence是能够o在WordPress登录页面中反复填充用户名和密码的块。
但是如果您想专注于限制这些登录,则有一个插件调用,限制登录尝试重新加载,允许发布者自动阻止所有黑客输入一定数量的失败名称和密码组合。例如,在三次尝试猜测密码之后,您可以将其设置为阻止黑客。
这些是登录拦截器的功能:
广告联接键读数以下“限制登录时重试尝试(每个IP)。这是完全可自定义的。在登录页面上的剩余重试或锁定时间内完全可自定义.. Optional Logging和可选的电子邮件通知。它可以对白名单/黑名单IP和使用Rnames.Sucuri网站防火墙兼容性.XMLRPC网关保护.Woocommerce登录页面保护。与额外的MU Settings.gdpr兼容的网站兼容性。随着这个功能打开,所有记录的IP都会被混淆(MD5散列).Custom IP Origins支持(CloudFlare,SucuRI等)“”限制登录重新加载插件“提供了一种快速的方法来关闭正在尝试的黑客机器人猜测密码。
备份您的WordPress站点
自动创建您网站的每日备份是很重要的。任何灾难性的事件都可以通过备份从备份恢复。
有许多备份解决方案,但我发现的那个是非常有用的,称为UPDRAFTPLUS WordPress Backup插件。 UPDRAFTPLUS超过两百万使用rs,它是一个很好的选择。
它可以配置为每天发送备份或将它们发送到Dropbox等云存储位置。
我曾经意外地删除了所有主题布局文件从一个网站,完全删除了网站的外观。但我能够通过使用UPDRAFTPLUS备份来恢复该网站。这很容易做到,我非常感谢。读下方
更新所有主题和插件
始终更新所有主题和插件是很重要的。 WordPress提供了一种方法来自动更新所有插件,这对于不登录并经常进行更新的发布商或业务方便。
通过启用autoupdate功能,可以确保发布者最多日期软件回覆。具有过时插件是被黑客攻击的主要原因之一。
有理由不启用自动更新功能,但否定往往很少发生。例如,更新的插件可能与其他插件不兼容。
广告联系读数下面
,但对于不频繁地改变的网站,Autoupdate功能可能是启用的好处。
废弃插件
关于废弃插件的最终警告。在他们被开发人员放弃后,一些插件可以继续工作年。可能发生的是,这些旧插件可能包含漏洞。但是因为他们被遗弃了,它永远不会得到修复。
另一个问题是黑客有时会买老插件并使用恶意软件和病毒更新它们。 检查所有WordPress插件,以确保它们没有被遗弃,并且似乎在相当频繁的基础上更新。
保护您的WordPress网站从黑客
这些插件的自由版本提供了非凡的保护量,并且高级版本提供了更多的保护。
有许多安全型插件,其中一些安全型是本身包含漏洞。 Wordfence和SucuRi是我看来的WordPress安全性的最佳选择。
在下面
引用
Wordfence Security
https:// wordress.org/plugins/wordfence/
https://wordpress.org/plugins/sucuri-scanner/
限制登录尝试重新加载
https://wordpress.org/plugins/limit-login-attempts-reloaded/
UpdraftPlus
https://wordpress.org/plugins/updraftplus/