5个提升wordpress安全性的方法
随着wordpress主题功能的完善和普及,越来越多的网站选择wordpress搭建,虽然wordpress自身程序代码已经足够安全放心,但还是会有一些wordpress被人黑掉,下面是我们蓝鲨网络根据多年经验总结的5个提升wordpress安全性的方法建议
1.不要随意从非官方下载主题和插件
很多人喜欢从网上搜索一些破解的主题和插件,有一些原本是付费主题和插件,被人免费放到网站供人下载,虽然不是所有的都会有问题,但还是要留意主题和插件的来源网站是否放心,很多网站为了宣传自己的网站会将主题资源修改添加进去自己的广告代码,还有一些干脆留一个后门,方便改日登录破坏。
如果是插件建议直接在wordpress后台的插件库里搜索和安装
2.定期更新密码
不要使用简单易猜的密码,可以使用wordpress自己生成的密码,那个密码一般人都记不住,并且定期更换密码。服务器空间管理、ftp等账号密码也定期更换
3.更新wordpress和插件主题版本
wordpress会定期推出新版本,其中部分更新就是针对安全打的补丁,及时更新会让你的wordpress更加安全。
wordpress更新又分手动更新和自动更新。
手动更新就是指你去后台手动点击更新,将wordpress更新到最新的版本,这种更新都是跨版本,也可以叫大更新,比如从wp 4.8更新到wp4.9,在更新之前要确认你使用的主题和插件是否支持最新的版本,通过我们几年观察,这种大版本更新通常会造成主题插件不兼容,导致一些功能损坏或网站发生故障。
我们建议在wordpress有新版推出的时候不要第一时间去手动更新,待确认完全兼容匹配后再更新,或者不更新,即使不手动更新,wordpress也会自动更新。
自动更新是wordpress自动去更新,不需要人为参与,这种更新通常都是针对一些安全漏洞做的补丁维护,也称小更新,比如从4.9更新至4.9.1,4.9.2等等,不论怎么更新,前面两位数都是4.9。这种更新不会有特别大的变动,通常也不会造成主题插件不匹配的问题。
主题更新一般是将新版本的主题文件覆盖就可以。
免费的插件一般都可以在后台直接点击更新升级,部分付费插件不能直接更新,需要跟主题一样手动去覆盖。
4.定期备份你的网站
再好的防范也有疏漏意外的情况发生,如果平时定期备份网站,当网站发生故障的时候可以及时用备份的数据来恢复网站。
网站备份分两部分,数据库和网站文件。
数据库就是你平时录入网站的数据,比如页面文字,产品数据,主题设置参数等等,这些数据都保存在数据库种。
网站文件就是指网站的程序文件、主题文件、插件文件以及你上传的图片等一个个真实存在的文件。
备份需要同时备份这两部分,只有完整备份文件和数据库,才能在有问题的情况下完整恢复网站。
5.选一个安全好用的服务器空间
选一个安全可靠的服务器十分重要,不仅对网站的在线率有帮助,而且好的服务器空间自身就可以帮你抵挡过滤一部分攻击,有些空间商比如bluehost在发现你的网站有恶意木马的时候会直接给你封停掉一些出网端口,这样可以让一些远程类的木马无法执行,并且后台也有直接扫描检查。而且像bluehost和siteground使用的cpanel面板都可以方便的帮助你去备份网站文件和数据库。
一个好的服务器并不会100%让你的网站被黑,但是相对那种一年不到100块什么程序都支持的全能型空间要好很多,关于如何选择wordpress服务器可以看看我们之前写的一篇文章《如何选择wordpress服务器空间》
总结
从最近几年我们蓝鲨网络处理一些被黑的网站来看,最常见的原因是密码管理不善,有的人密码设置的很简单,比如123456,admin,admin888等等,密码给过一些修改网站的人也没有及时修改。
其次是从网上下载了一些收费插件的破解版,这些插件自身来路不明,被人植入了恶意代码,一旦运行到自己网站里木马也就激活了。
还有一种就是服务器的问题,程序、主题、插件都没问题、密码很复杂,并定期修改,只是服务器不怎么样,空间商都是一些不知名的个人搞的空间。
有人说还可以安装wordpress安全防护类的插件,这种插件我们一般都是等网站被黑之后才会安装观察一段时间,一旦正常我们就会停掉。因为这种插件通常会做很多限制,如果设置不好会影响网站的正常功能使用。而且也会额外消耗一部分资源。