Web安全已发展成为我们面临的最重要的问题之一–就设计和开发而言。使用开放源码内容管理系统(如WordPress)的我们承受着更大的压力来加强安全性。不幸的事实是,随着时间的流逝,任务只会变得越来越困难。
WordPress本身就是一系列自动攻击的目标。僵尸程序正在尝试进行暴力登录,脚本和数据库注入以及大量其他恶意活动。但是,尽管预防机器人攻击至关重要,但它们远非唯一需要处理的威胁。
确实,我们还需要涵盖其他基础。除了自动威胁之外,改变人类行为可能是确保WordPress网站安全的更为重要的一步。考虑到这一点,我们现在可以做以下五件事来提高安全性。
1.培训用户最佳实践
设计师的职位描述通常包括培训客户。但是,尽管我们倾向于关注内容管理的基础知识,但这也是讨论安全性的绝佳机会。我知道,这听起来像是一个潜在的复杂讨论-但这不是必须的。
用户真正需要了解的是在线安全的基本知识。这意味着:
- 使用难以破解的复杂密码。
- 仅向需要的人提供后端访问。
- 保持核心软件,插件和主题为最新(如果这样做是他们的责任)。
- 不要在没有风险的情况下安装插件。
- 更好的是,将插件决策留给专业人员。
这些项目适用于WordPress,但也可以更广泛地应用。这样做的目的是让用户考虑自己在做什么,以防止任何不必要的风险。
2.仔细选择插件并保持警惕
如果您花费足够的时间来构建WordPress网站,您会发现并非所有插件都是平等创建的。因为任何人都可以(至少可以想象)编写插件,所以质量可能会有很大差异。因此,在安装插件之前进行一些研究很重要。查看更新的频率,支持论坛以及使用次数(如果有)。这将使您至少对所有工作原理有所了解。
但是,一旦您决定使用插件,就不能保证从这里开始顺畅运行。而是将您安装的每个插件都视为其自身的持续维护问题。插件可能会过时或被废弃,因为作者不再有时间或兴趣来维护它们。我们还看到了在不经意间将插件出售给有恶意意图的人的地方。
为了应对这些可能性,值得紧跟一切。这意味着了解您正在使用的插件,及时了解新版本,并通常关注与WordPress有关的新闻。
最后,花一些时间例行审核维护的站点。降低风险的一种简单方法是简单地删除所有无效或不再需要的插件。这本身将有助于减少潜在的问题。
3.利用SSL
过去,SSL仅用于电子商务网站或处理敏感信息的网站。如今,它已成为标准。最近,浏览器和搜索引擎都认为警告用户仍然运行在http上的站点足够重要。
作为设计师,我们遇到的问题是,尽管很容易将SSL添加到WordPress网站,但在获得证书方面,我们并不总是决策者。在这种情况下,我们必须提倡使用SSL并教育客户有关为什么不再将其视为可选的原因。
如果幸运的话,我们的虚拟主机可以通过Let’s Encrypt之类的服务提供对免费证书的访问。如果不是这样,那么至少要由我们来争取低成本的替代方案。
4.伸出援助之手
我们人类无法每天都在监视我们的网站。但是,有一些工具可以24/7随时注意。Wordfence或iThemes Security等安全插件是不错的选择,因为它们会寻找可疑的代码和行为。
例如,这些类型的插件可以限制登录尝试失败,阻止执行恶意代码并在软件过时时提醒您。高级版本增加了诸如国家封锁和两因素验证之类的好处。
这些插件的价值在于它们可以处理机器人和人类常见的威胁。它们不会使您的网站100%防弹,但是它们提供了额外的保护层。更重要的是,它们可以为您提供可操作的信息,从而使网站更安全。
5.关闭不需要的功能
全新安装的WordPress带有许多内置功能。但是您很有可能不会利用每一个功能。因此,将它们保持打开状态没有意义。
评论将是这里最大的罪魁祸首。并非所有站点都需要启用它们,而那些站点应该使用大量垃圾邮件防护。如果您正在构建的网站不需要此功能,请使用WordPress中的“讨论”设置将其禁用。
除此之外,请查看您可能没有使用的其他功能,例如REST API,Gravatars和XML-RPC作为可能要关闭的功能。
对我们自身安全的威胁
可能对WordPress网站安全的最大威胁不是任何特定的自动攻击,而是我们自己的行为。因此,通过更改操作,我们可以使我们的网站更难以妥协。
最重要的是,这些步骤似乎有一个共同的线索–积极主动。通过共享知识,研究我们使用的软件的背景以及在出现问题之前实施安全实践,我们正在采用安全第一的思维方式。虽然这不能使我们阻止所有可能的威胁,但它使我们处于战斗的最佳位置。
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.yuankufang.com",如遇到无法解压的请联系管理员!
源库坊 » 5个更安全的WordPress网站的提示
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 提示下载完但解压或打开不了?
- 找不到素材资源介绍文章里的示例图片?
- 源库坊