亚博yabo88app 下载安全101:保护你的网站

Securing你自托管WordPress亚博yabo88app 下载网站是最关键的方面之一启动博客或者把它发展到下一个层次。随着你的网站越来越受欢迎,吸引了新的读者,对于黑客和不怀好意的人来说,它成为了一个更具吸引力的目标。

虽然在确保网站安全方面没有什么灵丹妙药,有几件事可以做到不太可能你的会妥协。

常识

安全的密码
第一,最常识性的方法来保护你的网站是有一个强大的,hard-to-guess密码。这意味着你的另一半,最好的朋友,恶意入侵者也不应该能够猜到它是什么。

这个理想密码至少8个字符长,包含一个或多个大写字母,小写字母,特殊字符(* & $ #),数量。你的密码有多安全?

糟糕的密码格式包括你的名字,你孩子的名字,你的宠物的名字(s),或者名字和数字的组合对你的生活有意义。约翰·史密斯的密码不应该是约翰史密斯1965,为例。这不仅容易猜测;这对a来说很简单蛮力攻击者破译密码。

使Word亚博yabo88app 下载Press和插件保持最新
运行过时的WordPress是让你的网站被黑的最好方法之一。亚博yabo88app 下载当发现并修补安全漏洞时,更新被推给网站所有者,他们被鼓励升级他们的网站。黑客很可能已经意识到了这个漏洞,但是那些不容易安装的软件比扫描你的WordPress版本中的漏洞要容易得多。亚博yabo88app 下载

最重要的专家Wor亚博yabo88app 下载dPress致力于维护平台的安全。他(对像你我这样的人)的咨询是每小时250美元,保持你的安装是最新的,就像应用他个人建议的更新到你的网站一旦他们可用。

有节制的使用插件
当涉及到插件编码时,几乎没有质量控制,当然,这也不妨碍官方的安全审计。这意味着,您添加到站点的每个插件都增加了站点被破坏的可能性。

当评估插件时,问问自己以下问题可能会有所帮助:

  1. 这是我绝对需要的吗?它能帮助我达到我的网站目标吗?
  2. 其他人对这个插件还有什么反馈?它通常是积极的还是消极的?
  3. 其他很多用户已经在他们的网站上安装了这个插件了吗?

使用信誉良好的web主机
您的站点应该是亚博yabo88app 下载 就像你的车应该由合格的机械师来维修一样。你不会把你的交通工具托付给一个名声不好的人,那么,为什么要接受比最好的虚拟主机还要差的东西呢?

有几个最近 事件受欢迎的主机托管公司在哪里成了受害者有针对性的 攻击这危及了数千名用户的网站。你有责任调查你的网站所在公司的声誉。你可以运行简单的谷歌搜索,问问周围的人(尤其是你那些精通技术的朋友)。看看谁在主持你欣赏的行业领袖和企业的网站。

更容易

另一种确保最小化出错或错误机会的方法是完全管理托管。托管为您的项目提供了比传统计划多得多的关怀和支持。一些以可靠的托管支持而闻名的托管提供商是谢斯塔媒体的寺庙。已经说过,你正在寻找一个略高的溢价来支付这个额外津贴。

一般的家务

更改表前缀
当WordPr亚博yabo88app 下载ess网站第一次安装时,它将使用WPI存储在MySQL数据库中的所有记录前面的前缀,除非更改了。因为黑客们做出了(正确的)假设,大多数人忽略了改变这一点,使用自动脚本执行恶意任务的攻击将期望此数据库表命名约定。

数据库表前缀可以在wp-config.php文件:

$table_prefix='wp_uu';

下面是一个例子,通过改变默认的数据库前缀,我们可以让默认的WordPress安装更加安全:亚博yabo88app 下载

美元table_prefix =“s3cur3pr3f1x_”;

一个不同的方法将用于更改活动网站的数据库表前缀。

对文件和文件夹设置正确的权限
权限的概念适用于WordPress站点,访问权限必须显式地授予WordPre亚博yabo88app 下载ss安装中的某些文件和文件夹,以便站点正常运行。这些设置决定谁可以阅读,写,修改服务器上的文件和文件夹。

一般来说,正确的权限设置是644对文件和755用于文件夹或目录。可以使用大多数FTP客户端(如FileZilla)验证和更改权限。

Web服务器必须具有访问和运行某些文件的权限,这与访问者必须设置权限的方式相同,以便他们能够查看站点上的图像和其他媒体。出于同样的原因,我们不希望Harry Hacker能够在任何情况下查看您的配置文件的内容。

合理的备份策略
保护站点的一部分意味着您已经为最坏的情况做好了准备。因为我们知道没有办法保证我们的网站会被破坏,我们还应该包括一层安全性和保险,其中包括合理的备份策略。有许多有用的插件可以自动安排数据库或者你的整个网站

使用密钥
为了提高储存在WordPress数据库中的密码的安全性,亚博yabo88app 下载你应该确保你的wp-config.php文件具有唯一值,替换默认存在的默认密钥文本。下面是这部分在更改之前的样子:

define('auth_key',定义('SECURE_AUTH_KEY');'在此处输入您的唯一短语');define('logged_in_key','在此处输入您的独特短语');define('nonce_key',“把你独特的短语放在这里”);

下面是在wordpress的secure中获取的唯一密钥替换默认文本后该部分的外观亚博yabo88app 下载密钥生成器

define('auth_key',‘*:f2 * X;y@&w美元Pqz { ^]8 v1.i } * _MyX ? DXyVy * P { Cy { 0 nofuc0i:wT(P10Ng > 3 = + _ ');定义(“SECURE_AUTH_KEY”,' 7 b } T IsGq # { = + -seQI * f + 06 ^ gyJVzAY ~ v < + P -结束!Hg | VI]} Vq ^ ? JgNd:7 = < | j ');定义(“LOGGED_IN_KEY”,'年= - > yG8UnLKN1t # 'Rfws&(GLoGvVFl3 3美元o)4 j + % = R&vRUJQTnzU = D4w / 1 g1yu ');定义(“NONCE_KEY”,'j+o0g?FXO4UJI!UgpXSkh,{!#yfs%-+hvp$ph[*cpmvnl+c:!* * s={u?F}’;

最佳实践

自己编写基本插件功能代码
许多Wor亚博yabo88app 下载dPress用户惊讶地发现,许多流行插件提供的许多功能都可以添加到他们的站点中不使用插件。显示最近的文章,最近的评论,以及你网站侧边栏的相关文章,插件绝对不是必需的。

当你想给你的网站添加一些自定义功能时,谷歌“[你想做的]没有插件”开始研究另一种方法。结果通常会出现在您添加到您的代码中的几行代码中显然也文件(或custom_functions.php如果你在使用论文的主题,当然)。使用更少的插件,您的站点将更快、更安全。

删除管理帐户
在WordPress中为您创建的默认帐户被调用亚博yabo88app 下载管理员。如果有人想侵入你的网站,能够准确地猜测你的用户名将他们的工作减半。以下是要做的:

  1. 创建一个新用户用管理员权限
  2. 注销,然后使用您创建的新用户重新登录到WordPress亚博yabo88app 下载
  3. 删除管理用户帐户
  4. 当它要求您处理属于管理员的帖子时,选择您创建的用户

安全插件

开发了一些非常有用的插件,将WordPress的安全性提升到了一个新的水平。亚博yabo88app 下载没有特定的顺序,这里有六个方面需要考虑:

  1. ServerBuddy-检查主机质量,安全问题,和更多。
  2. 限制登录尝试-限制登录尝试的次数。
  3. wp安全扫描-扫描你的WordPres亚博yabo88app 下载s安装的安全漏洞。
  4. 登录封锁——记录IP地址以及每次登录失败的时间戳。
  5. 亚博yabo88app 下载WordPress利用扫描仪——搜索文件,发布和评论任何可疑的东西。
  6. 更好的WP安全-删除WordPress的典型漏洞并亚博yabo88app 下载添加安全措施。

先进的实践

. htaccess
在这种背景下,这个. htaccessfile是一个配置文件,它允许我们向站点添加额外的安全层。它是一个“隐藏”文件(由名称前面的“。”证明),这意味着您需要启用FTP客户端中隐藏文件的查看功能。注意,这种方法假定您的站点运行在ApacheWeb服务器上。

其中最全面的一套. htaccess易腐出版社的杰夫·斯塔尔根据几个月的研究,数据,和测试。它被称为4 g黑名单并保护您的网站免受各种恶意攻击。当结合这三个提示从谷歌自己的马特卡茨,你几乎是防弹的. htaccess安全的方法。

从头部删除Wo亚博yabo88app 下载rdPress和主题版本
亚博yabo88app 下载WordPress包括在你的网站上运行的软件版本,可以通过查看站点的源代码看到。这条线是这样的:

             
            

这样做的问题是WordPress的特定版本经常存在固有的安全漏洞,亚博yabo88app 下载这意味着你可能在广播你不想被黑客掌握的信息。最好的删除方法是使用下面的代码片段,哪些应该添加到您的显然也文件:

函数将_version_从_head()返回'';添加_filter('u generator',“remove_version_from_head”);

强制SSL登录和管理
为了加强安全,登录和管理站点时,您与服务器之间的加密连接,将下面的行添加到您的wp-config.php文件:

定义(“FORCE_SSL_ADMIN”,真正的);

移动wp-config文件
亚博yabo88app 下载WordPress 2.6提供了移动你的WP Login文件的级别高于其默认驻留的级别。将文件移动到您的/WP包括/文件夹是指文件从该目录的只读权限。

可以通过向文件中添加以下指令来阻止对该文件的访问. htaccess文件:

            
             命令拒绝,允许所有人拒绝
            

总结

了解WordPress的工亚博yabo88app 下载作原理是找到我们可以降低风险的领域的第一步。WordPress的抄本上有一篇很好的文章讨论了WordPress的加固亚博yabo88app 下载(使其更安全)。实现这篇文章中一半的建议会让你的网站比绝大多数WordPress网站更安全。亚博yabo88app 下载祝你好运!

威利·杰克逊(Willie Jackson)是一名市场营销人员和网站性能工程师,他有着强烈的自我意识,与不可能的事情有着微妙的关系。