48 Cara Membuat Laman WordPress Selamat

Takeaways Key

Kemas kini secara teratur: Simpan WordPress, tema, dan plugin yang dikemas kini untuk melindungi daripada kelemahan.
Kata Laluan dan Nama Pengguna yang kuat: Elakkan nama pengguna lalai dan buat kata laluan yang kompleks untuk meningkatkan keselamatan log masuk.
Menggunakan plugin keselamatan: Pasang plugin keselamatan yang bereputasi seperti Wordfence atau IThemes Security untuk meningkatkan pertahanan.
Melaksanakan penyulitan SSL: Gunakan SSL untuk mendapatkan pemindahan data di laman web anda, meningkatkan kedudukan keselamatan dan SEO.
Hosting Matters: Pilih penyedia hosting yang mengutamakan keselamatan dengan ciri -ciri seperti sandaran biasa dan perlindungan firewall lanjutan.
sandaran kerap: Secara kerap menyandarkan laman WordPress anda untuk pulih dengan cepat dari sebarang pelanggaran keselamatan yang berpotensi.

Artikel ini adalah sebahagian daripada siri yang dibuat dengan kerjasama SiteGround. Terima kasih kerana menyokong rakan kongsi yang membuat SitePoint mungkin.

penggodam. Kelemahan. Kekerasan. Perisian hasad. Penafian perkhidmatan. Man-in-the-Middle. Phishing. Semua perkataan yang menakutkan. Kami hidup dalam dunia dalam talian yang berbahaya!

Adakah laman web anda telah digodam? Saya ada, dan kita tidak bersendirian. Pada tahun 2012 lebih daripada 70% tapak WordPress terdedah kepada serangan, dan tidak banyak berubah sejak itu. Apa yang telah anda lakukan untuk melindungi memastikan anda mempunyai laman web WordPress yang selamat?

Dalam artikel ini, kami telah mengumpulkan tip keselamatan dari artikel SitePoint sebelumnya, pengalaman kami sendiri, dan dari seluruh web, dan menganjurkannya dengan cara yang saya harap anda dapati berguna dan mudah difahami. Dan yang paling penting, mudah bertindak.

Plugin Keselamatan WordPress All-In-One berguna (dan kami akan menutupnya dalam artikel seterusnya), tetapi keselamatan memerlukan lebih daripada sekadar memasang plugin dan berjalan pergi. Ia memerlukan strategi yang teliti dan kewaspadaan yang berterusan. Jadilah proaktif, tidak reaktif. Dalam erti kata lain, jangan menganggap laman web anda adalah selamat bekerja pelan keselamatan

sebelum anda digodam!

yang dikatakan, tidak ada keselamatan 100%. Apa yang boleh anda capai adalah pengurangan risiko, dan mencari keseimbangan (untuk anda) antara keselamatan dan kemudahan.

Keselamatan bukan mengenai sistem yang sempurna. Perkara sedemikian mungkin tidak praktikal, atau mustahil untuk mencari dan/atau mengekalkan. Apa keselamatan walaupun pengurangan risiko, bukan penghapusan risiko. Ini mengenai menggunakan semua kawalan yang sesuai untuk anda, dengan sebab itu, yang membolehkan anda memperbaiki postur keseluruhan anda yang mengurangkan kemungkinan menjadikan diri anda sasaran, kemudiannya digodam. " - codex.wordpress.org

di mana anda harus menumpukan perhatian anda? Dalam artikel tahun lepas, WP White Security melaporkan statistik berikut mengenai laman web yang digodam:

• 41% digodam melalui kelemahan keselamatan pada platform hosting mereka
• 29% digodam melalui isu keselamatan dalam tema WordPress yang mereka gunakan
• 22% digodam melalui isu keselamatan dalam plugin WordPress yang mereka gunakan
• 8% digodam kerana mereka mempunyai kata laluan yang lemah

di mana lubang berada dalam pertahanan anda. Ingatlah semasa anda membuat strategi keselamatan anda.

OK. Dengan semua itu, berikut adalah 40 cara anda boleh memastikan laman web WordPress anda selamat. Pilih yang masuk akal untuk anda dan laman web anda.

selamat WordPress

1. Simpan WordPress terkini

terbaru WordPress kemungkinan besar lebih selamat daripada yang terakhir, dan mempunyai kelemahan yang kurang. Oleh itu, pastikan ia adalah operasi satu klik. Pastikan anda menyandarkan laman web anda terlebih dahulu!

kemas kini WordPress jarang menyebabkan masalah, tetapi jika anda ingin berhati -hati, kemas kini pada pelayan ujian terlebih dahulu. Atau, jika anda hanya ingin WordPress ke Auto-Update sendiri, gunakan kod berikut ke fail WP-Config.php anda:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

Jika anda tidak mahu mengemas kini WordPress anda secara manual, pertimbangkan penyedia hosting seperti SiteGround rakan kongsi kami, yang mempunyai alat auto-update khas yang tersedia pada semua rancangan.

2. Sandarkan laman web anda dengan kerap

Pastikan anda membuat sandaran biasa laman WordPress anda. Sandaran data dan fail WordPress boleh memainkan peranan penting dalam kecemasan. Jika semuanya gagal, anda tidak perlu bermula dari awal!

Jadualkan sandaran anda supaya anda tidak akan melupakannya, dan lakukan ujian memulihkan dari semasa ke semasa.

Bacaan Lanjut:

5 plugin WordPress untuk sandaran dan migrasi

• plugin sandaran WordPress terbaik berbanding
• bagaimana untuk membuat sandaran secara manual laman web WordPress anda
• Senarai Semak Penyelenggaraan WordPress biasa anda
3. Dayakan SSL untuk Keselamatan Data WordPress

Dayakan SSL untuk mengamankan laman WordPress anda. Lapisan Sockets Secure menyulitkan semua maklumat yang dihantar ke dan dari laman web anda, memastikan ia secara peribadi dan menghalang serangan lelaki-dalam-pertengahan di mana pihak ketiga mendengar atau mengubah komunikasi antara klien dan pelayan. Sebagai bonus ia juga boleh meningkatkan Google PageRank anda.

Alamat tapak yang disahkan SSL akan bermula dengan HTTPS, sementara tapak yang tidak disahkan SSL akan bermula dengan HTTP. Adalah lebih baik untuk mengaktifkan HTTPS sebelum memasang WordPress, tetapi mungkin untuk mengemas kini tetapan WordPress anda jika anda menambahnya kemudian. Penyedia hosting seperti SiteGround menawarkan sijil SSL percuma.

Bacaan Lanjut:

WordPress selamat dengan ssl

• 4. Selamat wp-config.php

mengunci WP-config.php-satu lokasi tunggal yang mengandungi banyak data kritikal mengenai pangkalan data, nama pengguna, dan kata laluan anda. Hanya anda harus mempunyai akses.

Untuk menafikan akses ke fail ini, anda harus menambah kod di bawah di bahagian atas fail .htaccess:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

5. Pindahkan wp-config.php

Pindahkan fail WP-Config.php ke dalam folder di atas pemasangan WordPress anda. Ini akan menjadikannya tidak dapat diakses oleh sesiapa yang menggunakan penyemak imbas, yang bermaksud keropok mempunyai peluang yang kurang untuk mencarinya.

Bacaan Lanjut:

Petua Keselamatan WordPress yang paling mudah!

6. Sembunyikan Nombor Versi WordPress

Beberapa versi WordPress telah mengetahui kelemahan. Seseorang yang biasa dengan kelemahan tersebut dapat menemui versi yang anda gunakan kerana ia ditunjukkan di kepala HTML setiap halaman.

Keluarkan maklumat tersebut dengan menambahkan baris berikut ke Fail Functions.php tema anda:

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

anda juga harus mengeluarkan fail readme.html, yang juga mengandungi nombor versi WordPress.

7. Keluarkan rujukan WordPress dari tema anda

seseorang hanya akan cuba menggodam WordPress jika mereka tahu anda menggunakannya. Jadi simpan rahsia! Keluarkan semua rujukan kepada WordPress dari fail tema anda.

Cari dan padamkan rujukan dari header.php yang kelihatan seperti ini:

remove_action('wp_head', 'wp_generator');

8. Lumpuhkan pelaporan ralat php

penggodam boleh menggunakan mesej ralat untuk kelebihan mereka. Sebagai contoh, ralat dari tema atau plugin mungkin memaparkan laluan pelayan anda.

Untuk melumpuhkan pelaporan ralat, tambahkan kod berikut ke fail WP-config.php anda:

<meta name="generator" content="WordPress" />

9. Tukar kekunci rahsia lalai

Apabila anda memasang WordPress, empat kunci rahsia ditulis ke fail WP-Config.php anda. Mereka meningkatkan penyulitan maklumat yang disimpan dalam kuki pengguna dan menjadikannya lebih sukar untuk memecahkan kata laluan anda.

Gunakan Penjana Kod Rahsia WordPress untuk mendapatkan beberapa kunci baru, dan salinnya ke dalam fail WP-Config.php anda.

selamat tema dan plugin anda

51% tapak yang digodam adalah kerana isu keselamatan dengan tema dan plugin. Beri pertimbangan khusus ke bahagian ini!

10. Pastikan tema dan plugin anda terkini

Jangan hanya mengemas kini WordPress, pastikan tema dan plugin anda juga terkini. Setiap satu adalah pintu belakang yang berpotensi ke laman web anda, dan setiap versi baru mungkin mempunyai kelemahan yang kurang.

11. Pilih tema dan plugin yang diselenggarakan secara aktif dan kerap dikemas kini

Jika terdapat kelemahan keselamatan yang terdapat dalam tema atau plugin, anda ingin ditangani secepat mungkin. Itu tidak akan berlaku dengan tema atau plugin yang tidak lagi dikekalkan. Sekiranya mungkin, pastikan tema dan plugin yang anda gunakan diselenggarakan secara aktif.

Bacaan Lanjut:

bagaimana melindungi diri anda dari plugin WordPress Rogue

12. Padam tema dan plugin yang anda tidak gunakan

Jika setiap tema dan plugin adalah pintu belakang yang berpotensi, mengurangkan risiko sebanyak mungkin. Jika anda tidak menggunakannya, keluarkannya. Plugin yang menyahaktifkan tidak mencukupi -klik "Padam"!

13. Hadkan akses ke direktori plugin anda

Hadkan akses ke Direktori Plugin WordPress anda: www.your-domain.com/wp-content/plugins/. Jika tidak, seseorang yang melayari folder dapat melihat plugin mana yang anda gunakan, meneroka mereka untuk kelemahan yang berpotensi.

menafikan akses dengan memuat naik fail index.html kosong ke direktori. Sebagai alternatif tambahkan baris berikut pada permulaan dalam fail .htaccess anda dalam folder root:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

14. Hilangkan plugin dan editor tema

Terdapat plugin terbina dalam dan editor tema di papan pemuka WordPress. Editor ini boleh digunakan untuk menurunkan seluruh laman web anda jika salah satu akaun pengguna anda digodam.

Jika anda tidak kerap menggunakan editor, lebih baik untuk melumpuhkannya. Masukkan berikut ke dalam fail WP-Config.php anda:

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

selamat log masuk anda

8% tapak yang digodam disebabkan oleh kata laluan yang lemah. Berikut adalah beberapa teknik untuk meningkatkan keselamatan prosedur log masuk anda.

15. Tukar nama pengguna admin

Elakkan menggunakan nama pengguna admin lalai, atau nama yang jelas seperti 'pentadbir', nama laman web anda, atau nama anda sendiri. Mereka terlalu mudah untuk meneka, dan akaun pentadbir yang digodam lebih berbahaya daripada akaun pengarang.

Pilih nama pengguna admin yang sesuai apabila anda menetapkan WordPress. Jika laman web anda sudah menggunakan "admin", kemudian buat pengguna admin baru, kemudian padamkan yang lama, atau gunakan plugin seperti pemuat nama pengguna.

16. Gunakan kata laluan yang selamat

Pilih kata laluan kompleks yang terdiri daripada huruf, nombor dan aksara. Berikut adalah beberapa petunjuk:

• Jangan pilih kata laluan yang serupa dengan nama pengguna anda.
• Jangan pilih kata laluan yang serupa dengan nama laman web anda.
• Jangan pilih kata laluan yang merupakan perkataan biasa dengan beberapa perubahan mudah.
• Elakkan kata -kata kamus.
• Pertimbangkan menggunakan rentetan aksara rawak.
• Pertimbangkan menggunakan alat pengurusan kata laluan yang baik untuk menjana dengan selamat, menyimpan kata laluan yang kompleks.

Berikut adalah beberapa alat yang boleh menghasilkan kata laluan yang selamat untuk anda:

• Penjana Kata Laluan fonetik
• Penjana Kata Laluan Norton
• Generator Kata Laluan Kuat

Akhirnya, pastikan anda tidak menggunakan kata laluan yang sama seperti yang anda gunakan di tempat lain. Semua kata laluan mestilah unik.

17. Memaksa semua pengguna untuk mempunyai kata laluan yang kuat

Tidak baik jika anda menggunakan kata laluan yang kuat, tetapi seluruh pasukan tidak begitu rajin. Anda tidak mahu sebarang pautan lemah dalam rantai.

anda boleh memastikan semua orang menggunakan kata laluan yang kuat dengan menggunakan plugin seperti kata laluan kuat kuasa.

18. Tukar kata laluan anda dengan kerap

Semakin lama anda menggunakan kata laluan yang sama, lebih banyak masa anda memberi penggodam untuk memecahkannya. Memendekkan tingkap peluang!

Tukar kata laluan anda sekurang -kurangnya beberapa kali setahun. Dan menggalakkan pengguna anda yang lain untuk melakukan perkara yang sama.

19. Gunakan Pengesahan 2-Faktor (2FA)

Pengesahan dua faktor (2FA) meningkatkan keselamatan semasa log masuk dengan memerlukan kod unik sebagai tambahan kepada nama pengguna dan kata laluan. Kod ini dijana untuk penggunaan satu kali dengan aplikasi, atau dan dihantar ke peranti/telefon pintar melalui SMS.

Bacaan Lanjut:

pengesahan 2-langkah untuk WordPress menggunakan Google Authenticator

20. Hadkan percubaan masuk

Beri penggodam kurang peluang untuk meneka kata laluan anda, dan melindungi tapak anda dari serangan kekerasan, dengan mengehadkan bilangan percubaan log masuk yang mungkin. Ini secara automatik akan menyekat skrin log masuk selepas bilangan percubaan yang boleh dikonfigurasikan, dan memberitahu pentadbir melalui e -mel.

anda boleh mengehadkan percubaan log masuk dengan menggunakan salah satu plugin ini:

Percubaan Masuk Had WP
Login Lockdown

21. Gunakan captcha atau recaptcha pada skrin log masuk anda

Selain nama pengguna dan kata laluan, gunakan Captcha atau Recaptcha pada skrin log masuk anda. Pengguna diminta memasukkan apa yang mereka lihat dalam imej sebagai teks, yang merupakan cara yang berguna untuk menghentikan botnets daripada cuba log masuk oleh kekerasan.

Bacaan Lanjut:

tidak ada integrasi Captcha Recaptcha dengan WordPress

22. Tambahkan soalan keselamatan ke skrin log masuk anda

Menambah soalan keselamatan ke skrin log masuk WordPress anda menjadikannya lebih sukar bagi seseorang untuk mendapatkan akses yang tidak dibenarkan. Anda boleh melakukan ini dengan memasang plugin Soalan Keselamatan WP.

23. Secara automatik log keluar pengguna idle

Pengguna kadang -kadang boleh mengembara dari skrin apabila mereka dilog masuk, menimbulkan risiko keselamatan -seseorang boleh merampas sesi mereka, menukar kata laluan, atau membuat perubahan pada akaun mereka.

anda secara automatik boleh log pengguna Inaktif secara automatik dengan plugin Logout Pengguna Idle.

24. Menetapkan pengguna peranan terendah yang mungkin

Pengguna adalah titik paling lemah dari mana -mana sistem. Titik lemah itu paling berbahaya apabila mereka mempunyai keistimewaan pentadbir.

beberapa sebenarnya memerlukan akses pentadbiran. WordPress menawarkan pelbagai peranan alternatif untuk dipilih:

editor: Seseorang yang boleh menerbitkan dan mengurus jawatan mereka sendiri dan orang lain

Pengarang: Seseorang yang boleh menerbitkan dan menguruskan jawatan mereka sendiri
Penyumbang: Seseorang yang boleh menulis dan menguruskan jawatan mereka sendiri tetapi tidak dapat menerbitkannya.
• 25. Gunakan SSL paksa untuk log masuk

paksa SSL adalah perubahan yang agak mudah yang boleh membuat perbezaan yang besar. Walaupun anda tidak menyulitkan seluruh laman web anda, pastikan pengguna anda mempunyai halaman log masuk yang selamat. Anda memerlukan sijil SSL terkini untuk memastikan ini.

26. Keluarkan mesej ralat dari halaman log masuk anda

Dengan setiap percubaan log masuk yang gagal, mesej ralat pada halaman log masuk anda boleh memberi petunjuk penggodam. Keluarkannya dengan menambahkan baris kod berikut dalam fungsi tema anda.php Fail:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

27. Tukar URL Log Masuk WordPress anda

Mengetahui bahawa URL Admin WordPress adalah WP-Admin, mana-mana penggodam dengan mudah boleh memulakan dengan menyerang kekerasan. Kurangkan risiko diserang dengan mengubah URL supaya penggodam tidak akan dapat menemuinya.

WPS Hide Login adalah plugin paling mudah untuk mencapai itu.

28. Sembunyikan nama pengguna pengarang

untuk log masuk ke WordPress anda memerlukan nama pengguna dan kata laluan. Secara lalai, WordPress memudahkan untuk mengetahui nama pengguna penulis anda. Menurut Dreamhost, adalah idea yang baik untuk menyembunyikan nama pengguna penulis untuk memastikan anda tidak membuat pekerjaan penggodam lebih mudah.

untuk melakukan itu, menyalin dan tampal yang berikut ke dalam fail functions.php anda:

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

29. Kata Laluan Melindungi WP-Login.php

ini untuk pengguna lanjutan. Anda boleh memberikan satu lagi lapisan keselamatan dengan memerlukan log masuk sebelah pelayan sebelum skrin log masuk WordPress dipaparkan.

Ketahui lebih lanjut di sini:

• Mencegah serangan kekerasan terhadap laman web WordPress

30. Lindungi Direktori WP-Admin

Jika hanya anda (atau penulis anda, tetapi bukan ahli atau pembaca) perlu log masuk, kemudian menyekat akses ke fail / WP-Admin / Folder atau WP-Login.php.

Jika anda hanya log masuk dari komputer rumah anda, hadkan skrin log masuk ke komputer itu sahaja. Dapatkan alamat IP rumah anda (menggunakan whatismyip.com atau serupa) dan tambahkan baris ini ke fail .htaccess dalam folder admin WordPress anda (menggantikan xx.xxx.xxx.xxx dengan alamat IP anda):

remove_action('wp_head', 'wp_generator');

Untuk membenarkan akses kepada pelbagai komputer (pejabat/rumah/komputer riba atau user1/user2/user3), tambahkan lagi Pernyataan dari xx.xxx.xxx.xxx pada baris baru.

31. Lumpuhkan XML-RPC

XML-RPC membolehkan pengguna menyambung ke WordPress dari jauh melalui pelanggan blog, dan digunakan untuk trackbacks dan pingbacks. Ia telah diaktifkan secara lalai sejak WordPress 3.5.

Malangnya, penggodam boleh menggunakannya untuk serangan DDOS, jadi jika anda tidak menggunakan ciri-ciri tersebut, pertimbangkan untuk melumpuhkan XML-RPC.

Ini boleh dilakukan dengan salah satu plugin berikut:

Lumpuhkan xml-rpc pingback
Lumpuhkan xml-rpc

selamatkan pangkalan data & fail WordPress anda

32. Gunakan nama pangkalan data MySQL yang kuat

Elakkan menamakan pangkalan data anda "WordPress" dengan ID pengguna "pengguna" dan kata laluan "kata laluan." Anda hanya menetapkan pangkalan data sekali, jadi menjadikannya kompleks seperti yang anda suka. Jika anda melupakannya, anda boleh menyemak butiran dalam wp-config.php.

33. Tetapkan kata laluan yang kuat untuk pangkalan data anda

Gunakan kata laluan yang kuat untuk WordPress untuk mengakses pangkalan data. Lihat petunjuk kata laluan kami di #16 di atas.

34. Tukar awalan jadual pangkalan data WordPress

Apabila anda memasang WordPress, jadual menggunakan awalan jadual seperti WP_ secara lalai. Mengetahui ini, penggodam dengan alat automatik boleh menyelesaikan struktur pangkalan data anda. Tukar awalan supaya menjadi lebih sukar untuk menjalankan pertanyaan suntikan SQL dan serangan lain.

35. Gunakan sftp untuk menyambung ke pelayan anda

Gunakan sambungan SFTP (selamat FTP) apabila menyambung ke pelayan anda. Ini memastikan komunikasi antara mesin anda dan pelayan dilindungi. Kebanyakan tuan rumah, seperti SiteGround, menawarkan SFTP.

Bacaan Lanjut:

Penjelasan Protokol FTP dan SFTP

36. Hadkan Kebenaran Fail

melindungi keselamatan laman web anda dengan menetapkan kebenaran fail anda kepada minimum:

Tetapkan nilai CHMOD kepada 755 untuk folder. Hanya pemilik yang akan mempunyai kebenaran menulis, dan yang lain akan membaca dan melaksanakan kebenaran.

• Tetapkan nilai CHMOD kepada 644 untuk fail. Pemilik mempunyai kebenaran membaca dan menulis, dan yang lain hanya boleh membaca fail.
37. Pantau untuk perisian hasad

Jika pelanggaran berlaku, anda tidak mahu melayani malware kepada pelawat anda yang tidak menyedari. Anda memerlukan penyelesaian di tempat yang akan mengimbas secara teratur untuk fail yang dijangkiti.

Terdapat beberapa penyelesaian pengimbasan sisi pelayan, termasuk Sucuri. Sesetengah penyedia hosting, seperti SiteGround, memaklumkannya dari kotak.

Pilih penyedia hosting yang selamat

41% tapak yang digodam adalah kerana kelemahan keselamatan pada platform hosting. Oleh itu, berhati -hati apabila memilih atau menukar penyedia hosting yuour.

38. Pilih pelan hosting terbaik yang anda mampu

Laman WordPress anda hanya selamat sebagai akaun hosting anda. Sekiranya ia menjalankan versi lama PHP yang terdedah, tidak akan menjadi masalah apa yang anda lakukan untuk menjamin WordPress.

Adalah penting bahawa anda memilih penyedia hosting yang mengutamakan keselamatan. Beberapa ciri yang perlu anda cari ialah:

Sokongan untuk versi PHP dan MySQL terkini

• Pengasingan Akaun
• Firewall Aplikasi Web
• sistem pengesan pencerobohan
• kemas kini dan patch proaktif
• Pemantauan Pelayan Cepat
• sandaran harian
SiteGround, penyedia hosting pilihan kami, menyediakan semua itu dan banyak lagi.

Bacaan Lanjut:

Panduan Terbaik untuk Memilih Penyedia Hosting

• 39. Ambil kesempatan daripada penyelesaian keselamatan penyedia hosting anda

Beberapa syarikat kini menawarkan hosting WordPress yang selamat dan selamat dengan penyelesaian keselamatan yang sangat baik, seperti WP Engine, SiteGround dan Media Temple. Mereka menghabiskan masa, usaha dan kepakaran mengkonfigurasi alat mereka untuk keberkesanan maksimum.

Sebagai contoh, enjin WP secara automatik akan mengemas kini WordPress dan plugin utama, dan melumpuhkan plugin yang diketahui menyebabkan masalah prestasi dan keselamatan. Mereka menyediakan firewall dan konfigurasi berasaskan perkakasan untuk memastikan serangan penafian perkhidmatan (DDOS) yang diedarkan tidak membawa tapak anda ke bawah.

SiteGround menyediakan kemas kini automatik untuk teras dan plugin WordPress, pengasingan akaun Ch-Root yang cekap untuk semua akaun pada pelayan bersama, dan sistem canggih yang menghalang bot dan penyerang yang berniat jahat.

Plugin Keselamatan

40. Pasang plugin keselamatan yang baik

Kami telah memberi tumpuan kepada plugin yang sangat tinggi yang meliputi pelbagai ciri keselamatan, bukannya satu-trik. Jika penyedia hosting anda tidak mempunyai penyelesaian keselamatan yang komprehensif, memasang salah satu daripada ini akan menjadi langkah pertama yang hebat dalam strategi keselamatan anda.

Adakah kita terlepas plugin keselamatan kegemaran anda? Beritahu kami dalam komen.

41. Wordfence

Kos: percuma, premium dari $ 99/tahun
Pemasangan Aktif: 2 juta
Penilaian: 4.8 daripada 5 bintang (3,048 ulasan)

Keselamatan Wordfence adalah 100% sumber percuma dan terbuka. Kami juga menawarkan kunci API premium yang memberi anda sokongan premium, penyekatan negara, imbasan yang dijadualkan, pengauditan kata laluan, kemas kini masa nyata ke suapan pertahanan ancaman, pengesahan dua faktor, dan kami juga menyemak sama ada alamat IP laman web anda sedang digunakan untuk Spamvertize.

Wordfence termasuk ciri -ciri keselamatan ini:

firewall. WAF dengan peraturan firewall yang dikemas kini secara automatik yang menghalang ancaman keselamatan WordPress biasa.
Ciri -ciri menyekat. Menyekat masa nyata penyerang yang diketahui dan rangkaian berniat jahat dan ancaman keselamatan lain.
Keselamatan log masuk. Pengesahan dua faktor, kata laluan yang kuat, keselamatan untuk mengunci serangan kekerasan.
Pengimbasan keselamatan. Mengimbas fail teras, tema dan plugin untuk malware dan backdoors, dan cek untuk fail yang telah diubah.
pemantauan. Memantau lalu lintas dalam masa nyata termasuk bot dan DNS terbalik, monitor untuk perubahan DNS dan ruang cakera.

42. Semua dalam satu WP Security & Firewall

Kos: Percuma
Pemasangan Aktif: 500,000
Penilaian: 4.8 daripada 5 bintang (669 ulasan)

Plugin keselamatan yang komprehensif, mudah digunakan, stabil dan disokong dengan baik ... ia mengurangkan risiko keselamatan dengan memeriksa kelemahan, dan dengan melaksanakan dan menguatkuasakan amalan dan teknik keselamatan WordPress yang disyorkan.

semua dalam satu WP Security & Firewall termasuk ciri -ciri keselamatan ini:

• Keselamatan Akaun Pengguna. Tukar nama pengguna admin lalai, periksa nama paparan pengguna yang sama dengan nama pengguna, alat kekuatan kata laluan, hentikan penghitungan pengguna.
• Keselamatan Log Masuk Pengguna. Login Login (Perlindungan Kekuatan Brute), log keluar pengguna inctive, melihat percubaan masuk gagal, alamat IP putih, lihat siapa yang log masuk, Captcha.
• Keselamatan Pendaftaran Pengguna. Dayakan Kelulusan Manual, Captcha, Honeypot.
• Keselamatan pangkalan data. Tetapkan awalan WP lalai, jadilah sandaran automatik.
• Keselamatan sistem fail. Kenal pasti dan menetapkan kebenaran yang tidak selamat, melumpuhkan penyuntingan fail dari admin WP, memantau log sistem.
• HTACCESS dan WP-CONFIG.PHP Backup Fail and Restore. Sandarkan mudah, pulihkan dan ubah suai fail penting ini.
• Fungsi Blacklist. Pengguna larangan berdasarkan alamat IP atau julat, atau dengan menentukan ejen pengguna.
• firewall. Tambah perlindungan firewall melalui htaccess, peraturan firewall yang menghentikan skrip berniat jahat.
• Log masuk kekerasan dan pencegahan serangan. Pencegahan log masuk berasaskan cookie, Captcha pada borang log masuk, menamakan semula URL bentuk log masuk, honeypot.
• Whois Lookup. Dapatkan butiran lengkap mengenai tuan rumah yang mencurigakan.
• pengimbas keselamatan. Makluman perubahan fail, imbasan jadual pangkalan data untuk rentetan yang mencurigakan.
• Komen keselamatan spam. Blok alamat IP spammer, tambahkan Captcha ke borang komen.
• perlindungan salinan teks front-end. Melumpuhkan klik kanan, pemilihan teks dan pilihan salinan.

43. Keselamatan Ithemes

• Kos: Percuma, Pro: 2 tapak $ 80/tahun, 10 tapak $ 100/tahun, tapak tanpa had $ 150/tahun, emas $ 297 seumur hidup.
• sebelum ini dipanggil keselamatan wp yang lebih baik
• Pemasangan Aktif: 800,000
• Penilaian: 4.7 daripada 5 bintang (3,812 ulasan)

Ithemes Security Pro mengambil tekaan daripada keselamatan WordPress. Anda tidak sepatutnya menjadi profesional keselamatan untuk menggunakan plugin keselamatan, jadi Ithemes Security Pro memudahkan untuk menjamin & melindungi laman web WordPress anda.

Versi percuma memberi anda perlindungan, tetapi versi Pro termasuk ciri -ciri keselamatan ini:

• Pengesahan dua faktor. "Gunakan aplikasi mudah alih seperti Google Authenticator atau Authy untuk menghasilkan kod atau mempunyai kod yang dihasilkan melalui e -mel kepada anda."
• Kekunci Garam & Keselamatan WordPress. "Plugin Keselamatan Ithemes membuat mengemas kini kekunci WordPress dan garam anda mudah."
• penjadualan imbasan malware. "Adakah laman web anda diimbas untuk perisian hasad secara automatik setiap hari. Sekiranya masalah dijumpai, e -mel dihantar dengan butiran. "
• Keselamatan Kata Laluan. "Menjana kata laluan yang kuat dari skrin profil anda."
• tamat tempoh kata laluan. "Tetapkan umur kata laluan maksimum dan paksa pengguna untuk memilih kata laluan baru. Anda juga boleh memaksa semua pengguna untuk memilih kata laluan baru dengan segera (jika diperlukan). "
• Google Recaptcha. "Lindungi laman web anda daripada spammer."
• Pembalakan Tindakan Pengguna. "Jejak apabila pengguna mengedit kandungan, log masuk atau logout."
• tetapan import/eksport. "Menjimatkan masa menubuhkan banyak laman web WordPress."
• widget papan dashboard. "Menguruskan tugas penting seperti larangan pengguna dan imbasan sistem dari papan pemuka WordPress."
• Perbandingan fail dalam talian. "Apabila perubahan fail dikesan, ia akan mengimbas asal -usul fail untuk menentukan sama ada perubahan itu berniat jahat atau tidak. Pada masa ini hanya berfungsi di WordPress Core tetapi plugin dan tema akan datang. "
• peningkatan keistimewaan sementara. "Beri kontraktor atau orang lain admin sementara atau akses editor ke laman web anda yang akan menetapkan semula secara automatik."
• Integrasi WP-CLI. "Menguruskan keselamatan laman web anda dari baris arahan."

44. Keselamatan Sucuri

• kos: percuma, asas $ 199/tahun, pro $ 299/tahun, perniagaan $ 499/tahun
• Pemasangan Aktif: 300,000
• Penilaian: 4.6 daripada 5 bintang (260 ulasan)

Kami menyimpan laman web anda selamat dan bebas hack! Platform Sucuri adalah suite alat yang direka untuk keselamatan laman web yang lengkap. Tanpa kos tambahan atau yuran tersembunyi, platform Sucuri adalah berpatutan, mudah digunakan, dan disokong oleh pasukan profesional yang anda pelupusan.

Sucuri membentuk sebahagian daripada penyelesaian keselamatan banyak penyedia hosting yang berkualiti, termasuk SiteGround. Ia adalah alat yang berharga untuk SiteGround untuk melindungi tapak pelanggannya dari perisian hasad, kerana ia mengimbas setiap pautan yang boleh diakses dari laman web laman web setiap hari. Ia termasuk ciri -ciri keselamatan ini:

• Bersihkan dan membaiki laman web yang digodam. "Pasukan tindak balas insiden keselamatan profesional tersedia 24/7/365."
• serangan dan pencegahan hack. "Penyelesaian WAF/IPS berasaskan awan yang direka untuk menghentikan hacks dan serangan."
• Pemantauan berterusan. "Pemantauan berterusan dan memberi amaran kepada sebarang isu berkaitan keselamatan."

Plugin Keselamatan WordPress Percuma termasuk ciri -ciri ini:

• Pembalakan Audit Aktiviti Keselamatan
• Pemantauan Integriti Fail
• Pengimbasan malware jauh
• Pemantauan Blacklist
• Pengerasan keselamatan yang berkesan
• Tindakan Keselamatan Post-Hack
• Pemberitahuan Keselamatan

45. Jetpack, yang kini termasuk VaultPress

• kos: percuma, peribadi ($ 39/tahun), premium ($ 99/tahun), profesional ($ 299/tahun)
• Pemasangan Aktif: 3 juta
• Penilaian: 4.1 daripada 5 bintang (1,330 ulasan)

Jetpack (oleh Automattic, yang membawa anda WordPress) lebih daripada sekadar keselamatan. Ia pada dasarnya membawa ciri -ciri WordPress.com kepada yang lain, yang menarik. Untuk keselamatan dan sandaran rancangan berbayar termasuk VaultPress.

VaultPress adalah sandaran masa nyata dan perkhidmatan pengimbasan keselamatan yang direka dan dibina oleh Automattic, syarikat yang sama yang beroperasi (dan menyokong!) Jutaan laman web di WordPress.com.

VaultPress kini dikuasakan oleh Jetpack dan dengan mudah menyokong setiap jawatan, komen, fail media, semakan, dan penetapan papan pemuka di laman web anda ke pelayan kami. Dengan VaultPress anda dilindungi daripada penggodam, perisian hasad, kerosakan yang tidak disengajakan, dan gangguan tuan rumah.

VaultPress termasuk ciri -ciri keselamatan ini:

• Backups. "Sandaran automatik harian atau masa nyata yang disimpan di dalam peti besi digital di luar tapak kami, dioptimumkan untuk WordPress dan lebih baik daripada tuan rumah anda."
• mengembalikan. "Walaupun pada saat -saat yang paling tertekan, kami mempunyai punggung anda. Pulihkan kehadiran seluruh dalam talian anda dengan cepat dan mudah tanpa memerlukan tuan rumah anda. "
• Pengimbasan fail. "Secara automatik mengesan dan menghapuskan virus, perisian hasad, dan masalah keselamatan yang boleh dieksploitasi yang mungkin bersembunyi di laman web anda."
• Pembaikan fail automatik. "Betulkan virus yang dikesan, perisian hasad, dan ancaman berbahaya yang lain dengan satu klik."
• pertahanan spam. "Lindungi Reputasi SEO, pembaca, dan jenama anda dengan secara automatik menyekat semua spammer."

46. Keselamatan peluru

• Kos: Percuma, Pro $ 59.95 (Pembelian Satu Masa)
• Pemasangan Aktif: 100,000
• Penilaian: 4.7 daripada 5 bintang (302 ulasan)

Bulletproof Security Pro mempunyai rekod prestasi yang menakjubkan. BPS Pro telah tersedia secara terbuka selama 5 tahun dan dipasang di lebih dari 30,000 laman web di seluruh dunia. Tidak satu daripada 30,000 laman web dalam 5 tahun telah digodam.

Jaminan laman web percuma Hack 100%. Jika laman web anda digodam selepas memasang BPS Pro, kami akan membersihkan laman web anda secara percuma. Kami dapat dengan mudah menawarkan perjanjian yang hebat kerana laman web anda tidak akan digodam jika anda mempunyai BPS Pro dipasang.

Versi percuma termasuk ciri keselamatan ini:

• Wizard persediaan satu klik
• .htaccess Laman web Perlindungan Keselamatan (Firewalls)
• Folder Plugin Tersembunyi / Fail Cron (HPF)
• Log Masuk Keselamatan & Pemantauan
• Logout Sesi Idle (ISL)
• Expiration Cookie Auth (ACE)
• db sandaran: penuh/separa, manual/dijadualkan, e -mel/zip, cron memadam sandaran lama, pembalakan
• db meja awalan changer
• Pembalakan Keselamatan
• pembalakan ralat http

Versi Pro menambah ciri -ciri ini:

• sistem pengesanan & pencegahan pencerobohan autorestore (ARQ IDPS)
• Sistem Pengesanan & Pencegahan Pencerobohan Kuarantin (ARQ IDPS)
• monitor fail masa nyata (IDPS)
• sistem pengesanan pencerobohan monitor db (IDS)
• alat diff diff: Alat perbandingan data
• status & info db
• Plugin Firewall (IP Firewall): Alamat Whitelisting & IP Automatik Mengemas kini dalam Masa Nyata
• JTC Anti-SPAM/Anti-Hacker
• memuat naik folder anti-exploit Guard (UAEG)
• Keselamatan laman web php.ini custom
• f-lock: baca hanya mengunci fail
• Opsyen Pembalakan Tambahan
• S-Monitor: Pemantauan & Makluman Teras
• alat pro: 16 mini-plugin

47. Secupress

• Kos: percuma, 1 tapak $ 57.60/tahun, 3 tapak $ 144/tahun, 10 tapak $ 288/tahun, tapak tanpa had $ 479/tahun
• Pemasangan Aktif: 5,000
• Penilaian: 4.8 daripada 5 bintang (19 ulasan)

Lindungi WordPress anda dengan imbasan malware, blok bot & IPS yang mencurigakan. Dapatkan Toolkit Keselamatan WordPress lengkap secara percuma atau sebagai plugin pro.

Jika anda proaktif, plugin keselamatan WordPress percuma kami adalah pilihan yang hebat! Tiada masa untuk mengaktifkan imbasan mingguan? Kemudian Secupress Pro adalah cara untuk pergi. Plugin kami menjaga segala -galanya dengan tugas automatik.

Secupress termasuk ciri -ciri ini:

• Anti Brute Force Login
• disekat IPS
• firewall
• Makluman Keselamatan
• imbasan malware (pro)
• negara blok oleh geolokasi
• Perlindungan kekunci keselamatan
• Lawatan Blok dari Bad Bots
• Pengesanan Plugin & Tema yang terdedah (Pro)
• Laporan Keselamatan dalam Format PDF (Pro)

48. Keselamatan Ninja

• Kos: Tapak Tunggal $ 29 (kemas kini/sokongan 1 tahun), Multi Site $ 79 (kemas kini/sokongan 1 tahun), Forever Unlimited $ 199
• Pemasangan Aktif: 6,000
• Penilaian: 5 daripada 5 bintang (6 ulasan)

Keselamatan Ninja membantu beribu -ribu untuk tetap selamat dan mencegah downtime kerana masalah keselamatan. 50 ujian akan memberikan gambaran menyeluruh mengenai keselamatan laman web anda.

Versi percuma membolehkan anda mencapai yang berikut:

• Melakukan 50 ujian keselamatan termasuk serangan kekerasan.
• periksa laman web anda untuk kelemahan dan lubang keselamatan.
• mengambil langkah pencegahan terhadap serangan.
• mencegah serangan eksploitasi 0 hari.
• Gunakan coretan kod termasuk untuk pembetulan cepat.
• serangan kekerasan pada akaun pengguna untuk menguji kekuatan kata laluan.
• banyak ujian parameter pemasangan.
• Kebenaran fail.
• versi bersembunyi.
• ujian mengeksploitasi 0 hari.
• ujian mod debug dan auto-update.
• ujian konfigurasi pangkalan data.
• Apache dan ujian berkaitan PHP
• ujian pilihan WP.

anda boleh lebih banyak perlindungan menggunakan modul pro ini:

• Pengimbas teras. "Mudah memantau keadaan fail teras WP anda. Mempunyai pandangan yang jelas mengenai fail yang diubah suai tetapi tidak boleh dan pulihkannya dengan satu klik. "
pengimbas malware. "Algoritma pengimbasan malware yang kuat akan memeriksa semua tema, plugin, fail yang dimuat naik dan jadual pilihan untuk kandungan yang mencurigakan."
Auto Fixer. "Jika anda tidak suka membuat sandaran, mengedit fail, mengacaukan kod dan mendapatkan tangan anda kotor - keselamatan Ninja Pro akan melakukan segala -galanya untuk anda. Betulkan masalah keselamatan dengan satu klik. "
Peristiwa Logger. "Memantau, menjejaki dan log lebih daripada 50 acara di laman web ini dengan terperinci. Dari Tindakan Pengguna, untuk menyiarkan suntingan dan perubahan widget - Peristiwa Logger melihat segala -galanya. "
pengimbas yang dijadualkan. "Mempunyai keselamatan ninja melakukan imbasan automatik, berkala laman web anda, termasuk imbasan fail teras. Sekiranya terdapat sebarang perubahan, anda akan diberitahu melalui e -mel. "

soalan yang sering ditanya mengenai keselamatan tapak WordPress

Apakah amalan terbaik untuk mengamankan laman WordPress saya? plugin keselamatan yang boleh dipercayai. Secara kerap menyandarkan laman web anda juga penting supaya anda dapat memulihkannya sekiranya berlaku pelanggaran keselamatan. Di samping itu, pertimbangkan untuk menggunakan penyedia hosting yang selamat yang menawarkan ciri -ciri seperti sijil SSL, firewall, dan imbasan tapak biasa. melibatkan beberapa langkah. Pertama, pastikan anda mempunyai kata laluan yang kuat dan unik untuk akaun Admin WordPress anda. Kedua, pastikan teras WordPress, plugin, dan tema anda dikemas kini ke versi terkini kerana mereka sering memasukkan patch keselamatan. Pasang plugin keselamatan yang boleh memantau tapak anda untuk sebarang aktiviti yang mencurigakan dan menyekat sebarang ancaman yang berpotensi. Akhir sekali, gunakan penyedia hosting selamat yang menawarkan ciri keselamatan maju.

Apakah peranan penyedia hosting dalam keselamatan WordPress?

Penyedia hosting memainkan peranan penting dalam keselamatan WordPress. Penyedia hosting yang baik akan menawarkan ciri -ciri seperti sandaran biasa, firewall, pengimbasan malware, dan penyingkiran, sijil SSL, dan perlindungan terhadap serangan DDoS. Mereka juga memastikan bahawa pelayan mereka sentiasa dikemas kini dengan patch keselamatan terkini.

Bagaimana saya dapat memastikan bahawa plugin WordPress saya selamat? Sumber yang bereputasi seperti repositori plugin WordPress. Sentiasa pastikan plugin anda dikemas kini ke versi terkini, kerana kemas kini sering termasuk patch keselamatan. Padam mana -mana plugin yang anda tidak gunakan, kerana mereka masih boleh menimbulkan risiko keselamatan.

Apakah sijil SSL dan mengapa penting untuk keselamatan WordPress? Layer) Sijil adalah sijil digital yang menyediakan sambungan selamat antara laman web dan pelayar pelawat. Adalah penting untuk keselamatan WordPress kerana ia menyulitkan data yang dipindahkan antara pengguna dan laman web, menghalang penggodam daripada memintas dan menyalahgunakannya. Google juga meletakkan laman web dengan sijil SSL yang lebih tinggi dalam hasil carian mereka.

Bagaimana saya boleh mengehadkan percubaan masuk di laman WordPress saya? Plugin yang menawarkan ciri ini. Ini membantu mengelakkan serangan kekerasan, di mana penggodam cuba mendapatkan akses ke laman web anda dengan meneka kata laluan anda. Selalunya anda mengemas kini laman web anda. Jika anda mengemas kini laman web anda setiap hari, maka sandaran harian disyorkan. Walau bagaimanapun, jika anda hanya membuat perubahan pada laman web anda sekali seminggu, maka sandaran mingguan sepatutnya mencukupi. Backup biasa memastikan bahawa anda dapat dengan cepat memulihkan laman web anda sekiranya berlaku pelanggaran keselamatan.

dan mengawal trafik rangkaian masuk dan keluar berdasarkan peraturan keselamatan yang telah ditetapkan. Ia bertindak sebagai penghalang antara rangkaian yang dipercayai dan rangkaian yang tidak dipercayai. Ia dapat melindungi tapak WordPress anda dengan menyekat lalu lintas yang berniat jahat dan menghalang akses yang tidak dibenarkan ke laman web anda. Boleh dilakukan dengan menggunakan plugin keselamatan yang menawarkan pengimbasan malware dan penyingkiran. Jika laman web anda dijangkiti dengan perisian hasad, plugin akan memberitahu anda dan sering memberikan langkah -langkah untuk membuangnya.

Apakah tanda -tanda bahawa laman web WordPress saya telah digodam? T membuat, laman web yang perlahan atau tidak responsif, dan pemberitahuan dari hos web anda atau Google mengenai aktiviti berniat jahat di laman web anda. Jika anda melihat mana -mana tanda -tanda ini, ambil tindakan segera untuk memastikan laman web anda.

Atas ialah kandungan terperinci 48 Cara Membuat Laman WordPress Selamat. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!