如何确保网站安全?
在服务器层面保护网站
在服务器层面确保网站安全,可以通过为服务器安装防火墙来实现。
以宝塔面板为例,我们可以安装第三方免费防火墙来确保服务器安全,从而在源头上保护了网站免受攻击。
打开宝塔面板 – 软件商店 – 第三方应用,搜索免费防火墙,安装“Nginx免费防火墙”。
安装“Nginx免费防火墙后”,它默认会自动开启。
点击设置,你可以在它的首页看到它帮你拦截了哪些访问,以及对应的拦截次数。
安装后记得在全局配置中关闭“禁止海外访问”。
在站点设置中取消勾选POST,如果不取消勾线,有时候在WP后台上传文件或者修改内容会被防火墙封禁。
如果网站配置了CDN还要勾选CDN。
如果你在使用上遇到了问题,也可以在该防火墙的宝塔论坛上查看有没有对应解决办法。
在CDN层面确保流量安全
很多CDN也都有防护功能的,比如DDos防护、WAF防火墙、机器人拦截、访问限制等。
属于在流量传输阶段就确保了安全。
在CDN的选择上,Well还是推荐Cloudflare,就是因为它有免费方案,而且免费方案也好用。
如果你网站后期需求增多,也可以考虑升级付费方案或更换其他付费CDN。
首先在为WordPress配置Cloudflare的时候就开启DNS的代理模式,让Cloudflare帮你隐藏服务器IP信息。
并设置SSL加密模式为“完全(严格)”。
开启加密模式为“完全(严格)”前,需要为网站部署SSL证书或者使用CF的源服务器证书。
上面讲的Cloudflare的这两个设置已经很大程度上的减少了被攻击的风险,因为你的网站请求都先经过Cloudflare代理,CloudFlare再去请求你的源服务器。
如果还不放心,可以开启自动程序拦截。
需要注意的是,开启自动程序拦截会稍微降低一点网站速度,因为会生成并加载对应的脚本,这个要自己权衡。
还可以在WAF – 自定义规则里自定义限制规则,屏蔽一些地区、机器人、高风险请求。
也可以再WAF – 工具里屏蔽一些恶意访问IP。
在网站层面确保请求和内部文件安全
其实上面两种方式保护网站就已经很安全了,但如果你还是不放心,可以在WP后台安装防火墙类安全插件,比如Wordfence Security。
Wordfence是WP比较流行的一款安全插件,它的免费版功能包含了:
- WAF,基础版的 Web 应用防火墙,能够帮助拦截并防止恶意流量和攻击,如 SQL 注入、跨站脚本(XSS)等
- 登录安全,限制每个 IP 地址的登录尝试次数,防止暴力破解
- 文件扫描,会定期扫描网站文件,查找恶意代码、病毒、后门程序等。检测网站文件的完整性,检查文件是否有被篡改的迹象
- 流量监控,你可以通过流量分析,发现潜在的攻击或异常活动
- IP黑名单,可以将恶意的 IP 地址列入黑名单,阻止这些 IP 地址访问网站
具体操作请查考Wordfence教程。
以上就是保护网站安全的3种方法,你可以按需选择适合自己的方法,也可以结合使用。
Well的建议是可以结合CloudFlare和Nginx免费防火墙一起使用。
最后Well提醒你,不管用了多么安全的防护措施,也一定要时常备份网站,这样即使网站出现问题也不会有多大损失。
