大多数网站迟早会遇到某种安全问题。用户可能将他们的帐户信息留在了他们不应该的地方,攻击者可能会以您的网站为目标,或者插件可能会导致安全漏洞。无论具体问题是什么,网站安全审计都是在造成重大损害之前发现这些类型问题的最佳方法。
完整的安全审核可能需要一些时间才能完成,因为它通常涉及多个步骤。例如,您需要确保 WordPress 及其所有组件都是最新的,并且您的备份系统运行正常。但是,从长远来看,这项投资可以获得显着回报,保护您和您的网站访问者。
为什么对您的网站进行定期安全审核很重要
许多人不会过多关注网站安全,直到它直接影响它。换句话说,如果您的网站存在安全漏洞,您知道在此之前的某个时刻您已经失误了。
完整的网站安全审计的全部意义在于,它使您能够审查您的政策并加强它们,从而减少出现任何问题的可能性。通过定期执行这些审核,您不太可能错过任何明显的安全问题,这有助于确保您的用户数据得到妥善保护。
最好每年至少执行一次此操作,但如果您的网站很大或包含特别敏感的信息(例如付款明细),您可能希望更频繁地执行此操作。
如何进行网站安全审计(七个步骤)
完整的安全审计应该包括几个步骤,因为您将从上到下评估您的网站。让我们按顺序完成最重要的任务。
1.检查是否有任何 WordPress 核心、插件、主题或 PHP 更新
过时的软件是网站安全问题的主要原因之一。软件变得越旧,攻击者就越有可能发现漏洞和漏洞,他们可以利用这些漏洞和漏洞来访问您的网站并造成严重破坏。
这就是为什么 WordPress 如此坚持提示您使用其最新版本并更新您网站上安装的所有插件和主题的原因。您等待更新站点组件的时间越长,风险就越大。
这也适用于您服务器的 PHP 版本,即 WordPress 所基于的语言。最新版本的 PHP 更安全、更快速,因此值得尽可能更新到最新版本。
2.管理备份和备份工具
除了更新您网站的组件之外,您可以做的最重要的事情就是确保网站安全,以便经常备份其数据。这意味着创建所有文件和站点数据库的完整备份,并在多个位置保留副本。
为获得最佳设置,我们建议您使用经常备份您网站的托管服务提供商。除此之外,您还应该设置自己的独立备份解决方案。如果您正在寻找一款出色的备份插件,我们推荐 UpdraftPlus:
使用 UpdraftPlus,您可以自由地创建手动备份并自动执行该过程。这样,您就可以自由地专注于其他事情。
3.评估您的用户名、密码和数据库名称
大多数人都不擅长选择安全凭证。在最坏的情况下,您将在多个帐户中重复使用相同的用户名和密码。这意味着如果有一个数据泄露,就会危及所有数据。
首先,如果您的 WordPress 帐户使用默认用户名(例如 admin),则需要立即更改它。再次确保设置一个长而安全的密码:
理想情况下,您将使用 Keeper 或 Dashlane 等密码管理器来帮助您生成唯一、安全的密码并跟踪它们。您还应该坚持让您的合作者也这样做,并且如果可能的话,也为普通用户强制使用安全密码。
同样,为您的 WordPress 数据库使用默认前缀可以让用户更容易识别并尝试访问它。因此,继续将它从 wp_ 更改为不易猜到的内容。
4.从您的服务器中删除未使用的插件、主题和文件
我们大多数人安装的插件和主题比我们最终使用的要多。另外,当我们用完一个插件后,我们常常会忘记卸载它。问题是,有时这些旧的插件和主题文件会在您的网站上打开安全漏洞,即使它们已被禁用。
这一步非常简单 - 查看您的主题和插件选项卡并考虑您真正需要的那些。如果有任何你已经禁用了一段时间,然后继续删除它们:
卸载这些主题和插件后,您可能需要确保它们不会留下任何文件。
5.评估您的暴力攻击预防方法
您的 WordPress 登录页面是抵御攻击的第一道防线,因此您必须确保它免受暴力攻击。有几种方法可以做到这一点,包括:
- 实施双因素身份验证 (2FA)
- 在设定的时间段内限制来自单个 IP 的登录尝试
- 将哪些 IP 可以访问仪表板列入白名单
- 更改默认的 WordPress 登录 URL
这可能涉及相当多的工作。但是,您只需要实施一次这些安全措施,在下一次安全审计之前就可以忘记它们。
6.注销或删除非活动用户
如果您和我们一样,可以避免从许多网站注销,这样您下次访问时就不必经历输入凭据的麻烦.但是,这种不便是为了确保在您丢失设备时没有其他人可以使用您的帐户而付出的小代价。
防止这种情况发生的最简单方法是将 WordPress 配置为在一段时间后自动注销闲置用户。这样一来,没有人可以使用他们的帐户尝试访问您的网站。您可以使用免费的 Inactive Logout 插件进行设置:
7.查找并消除漏洞
最后但同样重要的是,您可以使用许多有用的工具来扫描您的网站并查找(甚至修补)漏洞。当然,我们谈论的是 WordPress 安全插件。
使用 WordPress 安全插件可以让您定期扫描漏洞和受感染的文件,从而帮助您保护您的网站。
有很多选项可供选择,但如果您想要快速推荐,Sucuri 绝对不会出错。它提供了大量选项,同时保持用户友好:
Wordfence 是另一个不错的选择 - 您可以在此处查看 Wordfence 和 Sucuri 之间的区别。
除了安全工具,我们还建议设置一个 WordPress 活动日志插件。例如,WP Security Audit Log 可帮助您跟踪网站上发生的每一件小事。这包括用户登录、页面更改、文件修改等:
将安全和审计日志插件与我们上面介绍的所有措施相结合,您的网站应该像军事基地一样安全。
结论
例如,如果您遇到安全漏洞或您的网站出现故障,只需确保您的备份系统正常工作就可以为您省去很多麻烦。
一个完整的安全审计涉及很多步骤。但是,一些最重要的过程涉及更新您网站的所有组件,确保您的登录页面得到妥善保护,并实施强密码做法。
以几个小时的代价,您可以更有效地保护您的站点及其用户。
您对如何对您的网站进行全面的安全审计有任何疑问吗?我们在下面的评论部分讨论它们!
