如何确保网站安全?
在服务器层面保护网站
在伺服器層面確保網站安全,可以透過為伺服器安裝防火牆來實現。
以寶塔面板為例,我們可以安裝第三方免費防火牆來確保伺服器安全,從而在來源上保護了網站免受攻擊。
開啟寶塔面板– 軟體商店– 第三方應用,搜尋免費防火牆,安裝「Nginx免費防火牆」。
安裝“Nginx免費防火牆後”,它預設會自動開啟。
點擊設置,你可以在它的首頁看到它幫你攔截了哪些訪問,以及對應的攔截次數。
安裝後記得在全域設定中關閉「禁止海外存取」。
在站點設定中取消勾選POST,如果不取消勾線,有時候在WP後台上傳檔案或修改內容會被防火牆封鎖。
如果網站配置了CDN還要勾選CDN。
如果你在使用上遇到了問題,也可以在該防火牆的寶塔論壇上查看有沒有對應解決方案。
在CDN层面确保流量安全
很多CDN也都有防護功能的,像是DDos防護、WAF防火牆、機器人攔截、存取限制等。
屬於在流量傳輸階段就確保了安全。
在CDN的選擇上,Well還是推薦Cloudflare,就是因為它有免費方案,而且免費方案也好用。具體請看Well寫的Cloudflare CDN教學。
如果你網站後期需求增多,也可以考慮升級付費方案或更換其他付費CDN。
首先在設定WordPressCloudflare的時候就開啟DNS的代理模式(開啟代理才算使用Cloudflare CDN),使用者造訪你的伺服器都透過Cloudflare,不直接連接你的來源伺服器,讓Cloudflare幫你隱藏伺服器IP資訊。
並設定SSL加密模式為「完全(嚴格)」。
PS:開啟加密模式為「完全(嚴格)」前,需為網站部署SSL憑證或使用CF的來源伺服器憑證。
上面講的Cloudflare的這兩個設定已經很大程度的減少了被攻擊的風險,之後有用戶訪問你的網站時,請求都先經過Cloudflare代理,優先加載已緩存到Cloudflare CDN節點裡的你網站的靜態資源,或者經過Cloudflare請求你的源伺服器。
如果還不放心,可以開啟自動程式攔截。
要注意的是,開啟自動程式攔截會稍微降低一點網站速度,因為會產生並載入對應的腳本,這個要自己權衡。
還可以在WAF – 自訂規則裡自訂限制規則,封鎖一些地區、機器人、高風險請求。
也可以再在WAF – 工具裡屏蔽一些惡意存取IP。
在网站层面确保请求和内部文件安全
其實上面兩種方式保護網站就已經很安全了,但如果你還是不放心,可以在WP後台安裝防火牆類安全插件,例如Wordfence安全。
Wordfence是WP比較受歡迎的安全插件,它的免費版功能包含了:
- WAF,基礎版的Web 應用防火牆,能夠協助攔截並防止惡意流量和攻擊,如SQL 注入、跨站腳本(XSS)等
- 登入安全,限制每個IP 位址的登入嘗試次數,防止暴力破解
- 文件掃描,會定期掃描網站文件,尋找惡意程式碼、病毒、後門程式等。偵測網站文件的完整性,檢查文件是否有被竄改的跡象
- 流量監控,你可以透過流量分析,發現潛在的攻擊或異常活動
- IP黑名單,可以將惡意的IP 位址列入黑名單,阻止這些IP 位址存取網站
具體操作請參考Wordfence教學課程。
以上就是保護網站安全的3種方法,你可以按需選擇適合自己的方法,也可以結合使用。
Well的建議是可以結合CloudFlare和Nginx免費防火牆一起使用。
最後Well提醒你,不管用了多麼安全的防護措施,也一定要時常備份網站,這樣即使網站出現問題也不會有多大損失。
- 網域購買教學課程,網站網域註冊
- Vultr伺服器購買教程,高性價比VPS伺服器
- VPS伺服器安裝寶塔面板教學課程,使用SSH工具連接伺服器
- 阿里雲網域解析教程
- 寶塔面板部署WordPress教程,步驟簡單易懂
- 寶塔面板安裝SSL證書,網站安裝免費SSL證書
- WordPress基礎設置,新網站後的必做設置
- WordPress主題安裝教程,選擇輕量級WP主題
- 如何決定網站主色調? 3個步驟確定WordPress網站主色調
- Elementor使用教程,使用Elementor製作網站首頁
- 使用Elementor Pro製作網站頁眉頁腳(Header&Footer)
- ACF教程,管理B2B網站產品的終極方案,完全取代WooCommerce
- WordPress速度優化教程,Google測速100分
- Rank Math使用教程,強大的SEO插件助你獲取自然流量
- 註冊Google Analytics帳號,並帶你了解GA操作介面
- Google Search Console使用教程,必不可少的站長工具GSC
- 寶塔面板如何備份網站? 2種方法按需選擇
- 如何確保網站安全? 3種方法避免WordPress網站遭受攻擊
ZH_TW 
ZH_CN