告诉客户关于 WordPress 安全性的 5 件事
已发表: 2021-02-05构建和保护 WordPress 网站始终是一项挑战。 开发人员非常注意编写可靠的代码并实现安全插件等功能,以减轻不可避免的攻击。
即便如此,我们还没有走出困境。 套用一句老话:网站的安全取决于其最薄弱的环节。 除了潜在的代码漏洞之外,最薄弱的环节往往是不知情的用户。 一个没有过错的人做出了一个错误的选择,使他们的网站容易受到攻击。
用另一个陈词滥调:最好的防守就是好的进攻。 在这种情况下,这意味着在向客户传授安全最佳实践方面要积极主动。 有些东西(如强密码)是通用的,而另一些则更特定于 WordPress 本身。 这就是我们今天的重点。
有了这个,让我们回顾一下您的客户需要了解的有关 WordPress 安全性的五件事。
不要在没有咨询专业人士的情况下安装 WordPress 插件
我们明白了:安装插件的诱惑是真实的。 毕竟,只需点击几下即可。
但风险也是真实存在的。 WordPress 插件在质量和安全性方面差异很大。 在官方存储库中找到一年或更长时间未更新的插件并不少见。 也许它是无害的; 也许不是。
因此,网页设计师应鼓励客户在安装插件之前进行快速咨询。 提议查看并查看详细信息。 这一步可以防止有关安全性和站点稳定性的噩梦场景。
有几个好处。 首先,这可以让您了解网站的动态。 此外,它还允许您将客户指向好的、有信誉的插件的方向。 更不用说这会训练客户在点击之前进行思考。 这对每个人都有好处。
创建新的用户帐户,而不是共享一个
许多组织有不止一个人需要访问 WordPress 仪表板。 这些用户经常共享一个帐户。
从表面上看,这似乎是一个简单的信任问题。 这肯定是其中的一个因素。 如果团队成员离开组织,如果密码未更改,他们仍有可能访问。 恶意的人可能会造成一些损害。
这里另一个真正的问题是设备安全性。 例如,如果您有五个人共享一个 WordPress 管理员帐户,那么只需要他们的一个设备即可被利用。 例如,一个用户 PC 上的键盘记录器可能会破坏该帐户。
因此,建议每个用户都有自己的帐户。 这在 WordPress 中很容易做到,我们甚至可以创建自定义用户角色来限制某人可以做什么和不能做什么。
使 WordPress 核心、插件和主题保持最新
理想情况下,您的客户将与您签订合同以处理软件更新。 但如果他们是承担责任的人,那么他们非常认真地对待这个问题是很重要的。
作为一名开发人员,没有什么比对受损网站进行故障排除更令人恼火的了,只是登录 WordPress 并发现有几个版本已经过时。 这类似于 24/7 全天候敞开您家的前门。 当有人进来拿走你的新电视时,你不应该太惊讶。
保持 WordPress 核心、插件和主题更新的重要性怎么强调都不为过。 知道它仍然可能超出某些客户的舒适度。 没关系。 他们可以雇用您来处理它,或者至少在可能的情况下启用自动更新。
无论更新是如何实施的,都必须注意它们。 虽然它不能保证安全性,但它比替代方案要好得多。
两因素身份验证可以产生很大的不同
向 WordPress 添加双重身份验证非常简单。 但只有利益相关者真正使用它才值得。
确实,这不是很方便。 必须验证电子邮件、短信或检查移动应用程序才能登录可能是一个很大的痛苦。 但是这个额外的步骤是至关重要的。 它在恶意行为者和访问您网站的后端之间设置了巨大的障碍。
而且用户体验实际上正在变得更好。 一些实现现在将设备识别与 2FA 结合起来。 这意味着,只要识别出用户的设备,就无需在指定的时间内验证登录。
此外,2FA 已成为许多地方的标准。 一些网上银行应用程序不会让您在没有它的情况下登录。 您的网站也没有理由不利用这项技术。
今天安全的东西明天可能不会
无论它在哪个平台上运行,网站都不是一劳永逸的事情。 它需要经常(如果不是持续)关注——安全起着重要作用。
网络在不断发展。 新技术很快就会过时。 曾经被认为是安全最佳实践的东西有时可以被证明并非如此。
正因为如此,网站安全是一个真正没有尽头的挑战。 对于小型和大型组织来说,这是一场日常战斗。
结果是网站需要与时俱进。 对于 WordPress,这可能意味着用更好的东西替换旧的安全插件。 或者取消废弃的主题和插件来收紧事情。 它还可能需要更改主机或服务器环境。
重要的是要了解,仅仅因为您今天投资了安全性并不意味着您明天不必再这样做。
立即教育客户以获得更安全的 WordPress 网站
我们的客户经常依靠我们提供一些知识以及杀手级网站。 安全可能只是我们可以教育他们的最重要的主题。
从一开始就努力这样做可以带来长期的红利。 了解如何确保其 WordPress 网站安全的客户不太可能犯这些关键错误之一。 仅此一项可能就是清理被黑网站和顺利航行之间的区别。