第一个问题是 WordPress 更新,这既是优点也是缺点。
这是一个优势,因为一个团队(包括用户社区和核心 WordPress 团队)可确保 CMS 的正确运行、安全性和定期更新。因此,安全漏洞很快就能被检测到并消除。
然而,缺点是,在许多 摩洛哥电话区号 情况下,不知情的用户不会更新其 WordPress 网站的基本软件,即 CMS 本身。
造成这种情况的原因可能是无知、懒惰或由于所使用的模板或插件不兼容而无法更新(稍后会详细介绍)。
通过使用更新,我们显着提高了 WordPress 的安全性。通过跳过它们,我们的网站更容易受到攻击。
因此,我建议使用一种能够实现安全版本自动后台更新的机制。但是,请记住,仅当您 100% 确定 WordPress 更新不会影响您正在使用的主题和插件时才使用它。
因为我们正在讨论模板的主题......
WordPress 主题更新
凭借十几年为客户工作的经验,我一只手就能数出负责模板更新的基于 WordPress 的网站的数量。
造成这种状况的原因也是多方面的。
大多数情况下,就像更新 WordPress 本身一样,用户并没有意识到需要进行此类更新。
然而,这通常是由于创建网站的模板是所谓的模板而引起的问题。从网上下载现成的。许多使用此类模板创建的网站都存在相同的问题 - 它们包含经过修改的模块(例如,使代码适应用户的要求)。不正确的修改(不使用所谓的子主题)意味着更新此类模板会消除对其所做的任何更改。
另一个问题是每次更新时都会在 WordPress 中保留预安装的模板(例如 TwentyTwenty 等)。由于它们存在于每个 WordPress 安装中,因此它们是第一个攻击目标。
因此,如果我们使用预装的基本模板之一,我们绝对应该确保更新它,这也将增强安全性。此外,我们应该删除所有不使用的模板。
现成模板的另一个问题是它们附带的插件 - 通常没有许可证,这使更新过程变得非常复杂。
插件更新
插件是 WordPress 的另一个很棒的部分,但它们也是一个真正的麻烦。
在我看来,我们应该尽可能少地使用它们。为什么?
毫无疑问,WordPress 插件的优势在于其数量和多样性。您可以轻松找到数十个可增强 WordPress 功能的插件。但这真的是一个很好的解决方案吗?
安装的每个附加插件都是潜在的问题包。值得检查该插件的作者是公司还是拥有少量投资组合的个人。公司规模越大,或者特定作者创建的插件数量越多(例如,我们可以使用作者的网站进行检查),他们投入足够时间来保护插件的确定性就越大。
插件可能会带来与以下相关的问题:
插件的主要问题是:
安全漏洞 - 每个插件都是另一个潜在的攻击源,
缺乏支持和更新 - 作者经常放弃插件的开发,这使得它们与新版本的 WordPress 不兼容,并且随着时间的推移越来越容易受到攻击。这可能会有效阻止更新 WordPress 系统和主题的能力。
来自非官方来源的插件和主题的安全性也是一个有争议的问题。始终使用官方存储库或依赖插件创建者的官方网站。
这就是为什么使用尽可能少的附加插件如此重要,并且我们使用的插件应由其创建者定期更新。过时的插件会显着降低网站的安全性。
WordPress 默认 - wp_ 前缀,隐藏 WordPress 版本,admin 作为主管理员帐户和密码
在构建网站时,许多人会犯一些基本的安装错误,从而危及我们 WordPress 网站的安全。
第一个是为数据库表保留预定义的前缀。黑客非常清楚,大多数 WordPress 安装都会在 MySQL 数据库中包含带有 wp_ 前缀的表,因此他们知道 MySQL 数据库的完整结构。
另一个导致我们的 WordPress 网站安全性降低的严重错误是易于访问的密码,通过暴力攻击可以轻松破解该密码,而不会出现任何重大问题。设置管理员登录名,例如“admin”或“administrator”,有助于未经授权访问整个网站。
安全性的一个重要方面是管理面板的登录地址。我们可以通过过滤IP地址或者改变IP地址来保护它。这将使 WordPress 管理面板仅对选定的 IP 地址和知道确切 URL 地址的人可用。
在 WordPress 网站的源代码中隐藏版本也会使潜在攻击者的处境变得更加困难。
阻止创建 WordPress 用户帐户的能力也是一个好主意。不幸的是,这个选项在商店里是不可能的。
您可以在我们的博客上了解如何改进和保护您的 WordPress 网站(以及更多内容):有关如何保护 WordPress 免受病毒侵害的 12 个提示?