如何确保网站安全?
在服务器层面保护网站
在服务器层面确保网站安全,可以通过为服务器安装防火墙来实现。
以宝塔面板为例,我们可以安装第三方免费防火墙来确保服务器安全,从而在源头上保护了网站免受攻击。
打开宝塔面板 – 软件商店 – 第三方应用,搜索免费防火墙,安装“Nginx免费防火墙”。
安装“Nginx免费防火墙后”,它默认会自动开启。
点击设置,你可以在它的首页看到它帮你拦截了哪些访问,以及对应的拦截次数。
安装后记得在全局配置中关闭“禁止海外访问”。
在站点设置中取消勾选POST,如果不取消勾线,有时候在WP后台上传文件或者修改内容会被防火墙封禁。
如果网站配置了CDN还要勾选CDN。
如果你在使用上遇到了问题,也可以在该防火墙的宝塔论坛上查看有没有对应解决办法。
在CDN层面确保流量安全
很多CDN也都有防护功能的,比如DDos防护、WAF防火墙、机器人拦截、访问限制等。
属于在流量传输阶段就确保了安全。
在CDN的选择上,Well还是推荐Cloudflare,就是因为它有免费方案,而且免费方案也好用。具体请看Well写的Cloudflare CDN教程。
如果你网站后期需求增多,也可以考虑升级付费方案或更换其他付费CDN。
首先在为WordPress配置Cloudflare的时候就开启DNS的代理模式(开启代理才算使用Cloudflare CDN),用户访问你的服务器都通过Cloudflare,不直接连接你的源服务器,让Cloudflare帮你隐藏服务器IP信息。
并设置SSL加密模式为“完全(严格)”。
PS:开启加密模式为“完全(严格)”前,需要为网站部署SSL证书或者使用CF的源服务器证书。
上面讲的Cloudflare的这两个设置已经很大程度上的减少了被攻击的风险,之后有用户访问你的网站时,请求都先经过Cloudflare代理,优先加载已缓存到Cloudflare CDN节点里的你网站的静态资源,或者经过Cloudflare请求你的源服务器。
如果还不放心,可以开启自动程序拦截。
需要注意的是,开启自动程序拦截会稍微降低一点网站速度,因为会生成并加载对应的脚本,这个要自己权衡。
还可以在WAF – 自定义规则里自定义限制规则,屏蔽一些地区、机器人、高风险请求。
也可以再在WAF – 工具里屏蔽一些恶意访问IP。
在网站层面确保请求和内部文件安全
其实上面两种方式保护网站就已经很安全了,但如果你还是不放心,可以在WP后台安装防火墙类安全插件,比如Wordfence Security。
Wordfence是WP比较流行的一款安全插件,它的免费版功能包含了:
- WAF,基础版的 Web 应用防火墙,能够帮助拦截并防止恶意流量和攻击,如 SQL 注入、跨站脚本(XSS)等
- 登录安全,限制每个 IP 地址的登录尝试次数,防止暴力破解
- 文件扫描,会定期扫描网站文件,查找恶意代码、病毒、后门程序等。检测网站文件的完整性,检查文件是否有被篡改的迹象
- 流量监控,你可以通过流量分析,发现潜在的攻击或异常活动
- IP黑名单,可以将恶意的 IP 地址列入黑名单,阻止这些 IP 地址访问网站
具体操作请参考Wordfence教程。
以上就是保护网站安全的3种方法,你可以按需选择适合自己的方法,也可以结合使用。
Well的建议是可以结合CloudFlare和Nginx免费防火墙一起使用。
最后Well提醒你,不管用了多么安全的防护措施,也一定要时常备份网站,这样即使网站出现问题也不会有多大损失。
- 域名购买教程,网站域名注册
- Vultr服务器购买教程,高性价比VPS服务器
- VPS服务器安装宝塔面板教程,使用SSH工具连接服务器
- 阿里云域名解析教程,解析主域名和WWW子域名
- 宝塔面板部署WordPress教程,步骤简单易懂
- 宝塔面板安装SSL证书,WordPress网站安装免费SSL证书
- WordPress基础设置,新建网站后的必做设置
- WordPress主题安装教程,选择轻量级WP主题
- 如何确定网站主色调?3个步骤确定WordPress网站主色调
- Elementor使用教程,使用Elementor制作网站首页
- 使用Elementor Pro制作网站页眉页脚(Header&Footer)
- ACF教程,管理B2B网站产品的终极方案,完全代替WooCommerce
- WordPress速度优化教程,谷歌测速100分
- Rank Math使用教程,强大的SEO插件助你获取自然流量
- 注册Google Analytics账号,并带你了解GA操作界面
- Google Search Console使用教程,必不可少的站长工具GSC
- 宝塔面板如何备份网站?2种方法按需选择
- 如何确保网站安全?3种方法避免WordPress网站遭受攻击
