如何防止你的外贸网站被黑客黑掉?最流行的WordPress网站安全插件推荐(自己亲身经历分享)

全世界的网站无时不刻都在受到网络黑客的攻击,只是你没有意识到而已。看完本文以后你会明白网站安全是有多么的重要。

自己网站被黑的亲身经历

我2013年有了一个自己的外贸B2B网站。当时自己对建站还不了解,是朋友用一个免费的WordPress主题搭建的,2013年的时候响应式网站还不是那么主流。当时就每周写一两篇产品产品介绍,加上产品相关的新闻,写了一年多网站有了200多个页面的内容。网站Alexa排名一度最高达到全球100k以内。

虽然当时只是写写文章,注册了几十个化工B2B平台发布产品信息,没有额外做外链。当时却可以依靠SEO关键词自然流量,每天平均可以收获四五个高质量的询盘。通过AHREFS查询,可以看到网站有将近6K的关键词有自然排名。但所有的这些好的表现,都因为去年网站被黑掉,被人挂了黑链,流量而一落千丈。虽然后来我紧急调整了,但还是影响巨大。

用site命令查看网站收录,排在前面的全是被挂的垃圾页面:

为什么网站会被黑?

在上篇2020年公众号计划里我提到,WordPress 是世界上最热门的建站程序(市场占有率高达35%以上,而且还在增长)。但也因为这样知名,也引起了骇客的关注。

最近我从Yoast SEO插件,更换到了2019年最好的SEO插件Rank Math。Rank Math有很多功能,其中就有一个404 monitor,它会监测并记录网站所有用户打开的错误链接记录。下面图片是2月22日一天我的网站打不开的链接:

有些页面的确是之前存在的,现在打不开了,那要去做301跳转。

但绝大部分,99%以上的404页面都是机器爬虫访问的。比如上图中的wp-demo.php文件,custom.min.js文件等,一个正常的真实访客不可能去访问这些前端看不到的页面。

很多Wordpress网站可能使用的是网上的免费版本,可能很久都没有更新,存在安全漏洞,这些黑客就抓住这些漏洞的插件或者主题,进行暴力查询和破解了。

那么面对如此猖獗,而且防不胜防的网络安全问题,我们该如何应对?

我在这里推荐几款最流行的Wordpress安全插件,大家可以根据喜好选择试用。

WordPress安全插件推荐

Wordfence Security插件

Wordfence是WordPress用户安装量最多的安全插件,超过了300万的有效安装量,全五星级好评。

Wordfence有2大特色:防火墙功能和恶意代码扫描功能。

防火墙功能:

  • 识别并阻止恶意流量
  • 恶意IP屏蔽(Real-Time IP Blacklist)
  • 暴力登录保护(Brute Force Protection)

安全扫描功能:

  • 恶意软件扫描程序检查核心文件,WordPress主题和插件是否存在恶意软件,错误的URL,后门,SEO垃圾邮件,恶意重定向和代码注入。
  • 文件防篡改:将您的核心文件,主题和插件与WordPress.org存储库中的内容进行比较,检查其完整性并向您报告任何更改。
  • 修复篡改文件:通过使用原始版本覆盖已更改的文件来修复它们。在Wordfence界面中删除所有不容易包含的文件。

我的网站就是通过Wordfence扫描功能,发现了好几个核心文件被加入了恶意代码,删掉了后再检测网站就恢复正常了。

Wordfence插件还有一个比较好的功能是登录安全设置(Login Security):

双因素身份验证(2FA,Two-factor authentication)。简单来说,就类似密码登录加上邮件验证同时满足,才能登录WordPress网站后台。即使登录密码泄露了,被破解了,没有邮件验证也登不上去。

iThemes Security

90万激活安装量,4星半评分。

由于插件漏洞、弱密码和过时的软件,WordPress站点很容易成为攻击目标。iThemes Security (之前叫做Better WP Security,收购而来) 提供超过30种方法来保护WordPress站点。但有一半的功能都是要收费才能使用。

iThemes Security免费的特色功能如下:

  • 暴力攻击保护(Network Brute Force Protection)

保护登录密码尝试次数

  • 404页面检测(404 detection)
  • 文件更改检测(File Change Detection)
  • 离开模式(比如你要出差一周,可以设置这个时间段不能登录后台,这样比较人性化)

Network Brute Force Protection

如果黑客只要有足够的时间,去尝试不同的密码组合,最终他们会破解你的网站后台。这种攻击方式就叫做暴力攻击。WordPress非常容易受到这种攻击,因为默认情况下,系统不在乎用户尝试登录多少次。它总是让你再试一次。启用登录限制将禁止主机用户在达到指定的错误登录阈值后再次尝试登录。

与此同时,我在这也再推荐2个非常实用的插件,防止登录插件,和隐藏登录地址插件。

WPS Hide Login

50万人安装,5星好评。

隐藏后台登录地址,黑客们也不好暴力破解了。

但自己得把修改后的url记好,否则也难找到。

修改WordPress后台登录地址,隐藏默认的wp-admin登陆URL路径。原先的登录后台访问后网站会提示网址不存在,为404错误。

可以自定义成我们自己想要的URL,把/wp-admin改成/denglu 或者其他我们容易记住,或者有特殊意义的组合。

Limit Login Attempts Reloaded

一百万安装量,五星好评。

插件特色:

  • 可以根据登录的IP限制登录重试次数,完全可定制化。
  • 限制以相同方式使用授权cookie登录的尝试次数。
  • 通知用户登录页面上剩余的重试或锁定时间。
  • 可选的日志记录和可选的电子邮件通知。
  • 可以白名单/黑名单IP和用户名。
  • Sucuri网站防火墙兼容性。
  • XMLRPC网关保护。
  • Woomerce登录页面保护。
  • 多站点兼容额外的MU设置。
  • 符合GDPR。启用此功能后,所有记录的IP都会被混淆(md5散列)。

我们再来总结一下,如何更好的保障我们的WordPress网站更安全:

  1. 及时更新网站到最新版本,并删除不用的过时的主题和插件
  2. 使用安全更高的密码,字幕,数字,符号都一起使用,并且启用邮件验证,双重保险
  3. 安装安全插件,防止暴力登录破解
  4. 隐藏,更换登录后台地址
  5. 设置登录密码尝试次数限制

即使你以上五个方面都做的很安全了,但黑客还是有很大的机会攻破你的网站。很多黑客不是使用你的用户名和密码登录后台。而是直接黑进你的服务器,通过ftp直接挂黑链,或者修改程序文件。选择一家靠谱的服务器供应商非常重要,而且不要泄露你的ftp信息。

Related posts