WordPress是世界上最受欢迎的建站程序之一,因为它具有强大的功能和安全的代码库。但是,这不能保护WordPress或任何其他软件免受Internet上常见的恶意DDoS攻击。
DDoS攻击会使网站变慢,最终使用户无法访问它们。这些攻击可以同时针对大型和小型网站。
您可能想知道使用WordPress搭建的小型企业网站如何在资源有限的情况下阻止此类DDoS攻击?
在这篇教程中,我们将向您展示如何有效地阻止和应对WordPress的DDoS攻击。我们的目标是帮助您了解如何针对DDoS攻击(如专业人士)管理网站安全。
什么是DDoS攻击?
DDoS攻击是分布式拒绝服务攻击的缩写,是一种网络攻击,它使用受感染的计算机和设备从WordPress托管服务器发送或请求数据。这些请求的目的是减慢目标服务器的速度,并最终使其崩溃。
DDoS攻击是DoS(拒绝服务)攻击的演变形式。与DoS攻击不同,它们利用分布在不同区域的多个受感染的计算机或服务器。
这些受感染的计算机形成一个网络,称为僵尸网络。每台受影响的机器都充当机器人,并对目标系统或服务器上发起攻击。
这样一来,他们就可以在一段时间内不被注意,并在被阻止之前造成最大的损害。
即使是最大的互联网公司也容易受到DDoS攻击。
在2018年,流行的代码托管平台GitHub见证了大规模的DDoS攻击,每秒向其服务器发送1.3 TB的流量。
您可能还记得2016年臭名昭著的DYN(DNS服务提供商)攻击。该攻击影响了许多流行的网站,例如亚马逊、Netflix、PayPal、Visa、AirBnB、《纽约时报》、Reddit和数千个其他网站,因此受到了全球新闻的报道。
为什么会发生DDoS攻击?
DDoS攻击背后有多种动机。以下是一些常见的问题:
精于技术的人无聊而又喜欢冒险
试图提出政治观点的人和团体
针对特定国家或地区的网站和服务的组
针对特定企业或服务提供商的有针对性的攻击,对其造成金钱伤害
勒索并收取赎金
蛮力攻击和DDoS攻击有什么区别?
蛮力攻击通常试图通过猜测密码或尝试随机组合来侵入系统,以获得对系统的未授权访问。
DDoS攻击纯粹是用来使目标系统崩溃,使其无法访问或使其速度变慢。
DDoS攻击可能造成什么损失?
DDoS攻击会使网站无法访问或降低性能。这可能会导致不良的用户体验、业务损失,并且有效的DDoS阻止成本可能高达数万人民币。
以下是这些费用的明细:
网站无法访问导致业务损失
回答服务中断相关查询的客户支持成本
通过雇用安全服务或支持来减轻攻击的成本
最大的代价是不良的用户体验和品牌声誉
如何停止和应对WordPress的DDoS攻击
DDoS攻击可以巧妙地掩饰并且难以处理。但是,通过一些基本的安全操作,您可以防止并轻松阻止DDoS攻击影响WordPress网站。
您需要采取以下步骤来防止和阻止WordPress网站上的DDoS攻击。
删除DDoS /蛮力攻击隐患
关于WordPress的最好的事情是它具有高度的灵活性。WordPress允许第三方插件和工具集成到您的网站并添加新功能。
为此,WordPress使程序员可以使用多种API。这些API是第三方WordPress插件和服务可以与WordPress交互的方法。
但是,在DDoS攻击期间,也可以通过发送大量请求来利用其中一些API。您可以安全地禁用它们以减少这些请求。
在WordPress中禁用XML RPC
XML-RPC允许第三方应用程序与您的WordPress网站进行交互。例如,您需要XML-RPC才能在移动设备上使用WordPress应用程序。
如果您像绝大多数不使用移动应用程序的用户一样,则可以通过将以下代码添加到网站的.htaccess文件中来禁用XML-RPC 。
Apache环境:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>
Nginx环境:
location ~* /xmlrpc.php$ { allow 172.0.1.1; deny all; }
在WordPress中禁用REST API
WordPress JSON REST API允许插件和工具访问WordPress数据,更新内容,甚至删除它们。如果您的网站没有使用 JSON REST API,您可以考虑禁用它。
要在WordPress中禁用REST API,您需要做的就是安装并激活Disable WP Rest API插件。该插件开箱即用,它将仅对所有未登录用户禁用REST API。
激活WAF(网站应用防火墙)
禁用诸如REST API和XML-RPC之类的攻击媒介,对于DDoS攻击的保护有限。您的网站仍然容易受到普通HTTP请求的攻击。
尽管您可以通过尝试捕获不良的机器IP并手动阻止它们来缓解小型DOS攻击,但是这种方法在处理大型DDoS攻击时并不是很有效。
阻止可疑请求的最简单方法是激活网站应用程序防火墙。
网站应用程序防火墙充当您的网站和所有传入流量之间的代理。它使用智能算法捕获所有可疑请求,并在它们到达您的网站服务器之前将其阻止。
如果是外贸网站,我们建议使用Sucuri,因为它是最好的WordPress安全插件和网站防火墙之一。它在DNS级别上运行,这意味着他们可以在向您的网站发出请求之前捕获DDoS攻击。 Sucuri的价格从每月20美元起(每年支付)。
或者,您也可以使用Cloudflare。但是,Cloudflare的免费服务仅提供有限的DDoS保护。您至少需要注册他们的业务计划才能获得第7层DDoS防护,每月费用约为200美元。
如果是国内网站,适当地采用国内CDN服务,也是可以一定程度上减轻对服务器的影响。如果网站业务比较大,DDoS攻击严重掉影响了网站的访问和收益,那您可以考虑采用高防服务器或者高防IP服务,国内大厂的比如阿里云、腾讯云等都提供这方面的服务,不过费用比较高。
注意:在DDoS攻击期间,在应用程序级别运行的网站应用程序防火墙(WAF)的效率较低。一旦流量到达您的Web服务器,它们就会阻止流量,因此它仍然会影响您的整体网站性能。所以,通常我们需要通过服务器端的防火墙或高防IP应对。
找出是蛮力攻击还是DDoS攻击
蛮力攻击和DDoS攻击都大量使用服务器资源,这意味着它们的症状看起来非常相似。您的网站会变慢,并且可能会崩溃。
您只需查看Sucuri插件的登录报告,就可以轻松找到是蛮力攻击还是DDoS攻击。
只需安装并激活免费的Sucuri插件,然后转到Sucuri安全性»上次登录页面。
如果看到大量随机登录请求,则表明您的wp-admin受到了蛮力攻击。为了缓解这种情况,您可以查看有关如何阻止WordPress中的暴力攻击的指南。
DDoS攻击期间要做的事情
即使您具有Web应用程序防火墙和其他保护措施,也可能发生DDoS攻击。诸如CloudFlare和Sucuri之类的公司会定期处理这些攻击,并且大多数时候您永远不会听说它,因为它们可以轻松地缓解它。
但是,在某些情况下,当这些攻击很大时,它仍然会影响您。在这种情况下,最好做好准备,以减轻DDoS攻击期间和之后可能出现的问题。
您可以采取以下措施来最大程度地减少DDoS攻击的影响。
1.提醒您的团队成员
如果您有团队,则需要将此问题告知同事。这将帮助他们为客户支持查询做准备,寻找可能的问题,并在攻击期间或之后提供帮助。
2.告知客户不便之处
DDoS攻击可能会影响您网站上的用户体验。如果您经营WooCommerce商店,那么您的客户可能无法下订单或登录其帐户。
您可以通过社交媒体帐户宣布您的网站存在技术问题,并且一切将很快恢复正常。
如果攻击很大,那么您还可以使用电子邮件营销服务与客户进行交流,并要求他们关注您的社交媒体更新。
如果您有VIP客户,那么您可能希望使用商务电话服务拨打单个电话,并让他们知道您如何恢复服务。
在艰难时期的沟通对保持品牌声誉具有重大影响。
3.联系托管和安全支持
与您的WordPress托管提供商联系。您可能正在目睹的攻击可能是针对他们的系统的较大攻击的一部分。在这种情况下,他们将能够为您提供有关情况的最新更新。
请与您的防火墙服务联系,并让他们知道您的网站受到DDoS攻击。他们也许能够更快地缓解这种情况,并可以为您提供更多信息。
在Sucuri之类的防火墙提供程序中,您还可以将设置设置为严格模式,这有助于阻止许多请求并使普通用户可以访问您的网站。
确保您的WordPress网站安全
WordPress开箱即用非常安全。但是,作为世界上最受欢迎的建站程序,它经常成为黑客的目标。
幸运的是,您可以在网站上应用许多最佳安全实践,以使其更加安全。
我们希望本文能帮助您学习如何防止和阻止对WordPress的DDoS攻击。
...
WordPress在网络上的统治地位是有代价的。作为最受欢迎的CMS,它也成为黑客最赚钱的目标。在2019年,Sucuri清理的94%被黑客入侵的网站都在WordPress上运行。其他CMS平台甚至都没有达到两位数。
这个高数字并不意味着WordPress容易受到攻击。实际上,WordPress安全团队在修补漏洞方面做得很好。但是可以安装以自定义WordPress的成千上万的插件和主题为潜在的黑客打开了新的途径,更不用说那些未更新(或者在某些情况下无法更新)的旧站点。
因此,任何WordPress网站所有者都必须首先考虑安全威胁。由于黑客一直在寻找新的漏洞,因此不断出现新的威胁。为了保护您的网站安全,我们将看一下2020年需要关注的主要WordPress安全威胁。
为了获得更好的主意,我们将深入研究Sucuri的《2019年网站威胁研究报告》中的发现。我们的恶意软件研究和补救团队于2019年从客户那里收集了这些数据,以更全面地了解趋势威胁。
SEO垃圾邮件占上风
当涉及到网站攻击时,SEO垃圾邮件仍然是黑客最受欢迎的方法。该技术涉及将关键字和内容注入受损的网站,以利用其良好信誉。此外,SEO垃圾邮件注入可能会将访问者重定向到欺诈页面。
在2019年期间,我们的团队发现,有62%的网站在清理过程中发生了SEO垃圾邮件感染,比我们在2018年发现的51.3%有所增加。最受欢迎的感染类型是将数据库感染到带有不需要内容的网站。我们经常发现不止一种感染,我们的SEO垃圾邮件案件平均有12种不同的感染。
尚未解决的SEO垃圾邮件黑客行为会严重损害网站的声誉,并最终导致主要搜索引擎将其列入黑名单。因此,对于WordPress所有者而言,明智的做法是在2020年使SEO垃圾邮件攻击成为首要考虑。毕竟,这是针对最受欢迎的CMS选择的最流行的攻击形式。
后门略有下降-但仍然是一个问题
更糟糕的是,由于后门的存在,导致2019年SEO垃圾邮件再感染的发生率达到了15%。所以网站后门是第二大威胁。
黑客安装后门以确保他们可以重新获得对受损环境的访问权限。这是他们能够回到未被发现的犯罪现场的方式。虽然我们在2019年清理的被黑网站中发现了47%,但实际上比2018年的68%有所下降。
通常在WordPress核心、插件或主题更新期间删除后门。与其他类型的恶意软件相比,查找和删除数据库后门也更加容易。但是,仅仅因为它们处于下降状态并不意味着它们不是问题。
网站感染变得越来越普遍
去年,我们的网站安全专家团队发现,感染SEO垃圾邮件和通用恶意软件的网站感染网站的次数最多。
但是对于WordPress用户而言,2019年最值得注意的再感染之一是WP-VCD感染。在这些情况下,受影响部位的平均再感染率为40%。我们的小组清理了5,000多个受WP-VCD感染的网站,发现留下一个受感染的文件可能会导致再次感染。
许多此类病毒的初始感染都是WordPress主题或插件的盗版或破解版本,因此请确保仅使用官方WordPress信息库中的合法插件,以避免这种安全问题。
发现核心WordPress文件在感染时容易受到攻击
在2019年,我们发现客户的CMS应用中有56%在感染时已过时。从我们之前的分析以来,这个数字没有改变。但是,WordPress用户显然非常擅长于更新其CMS,因为我们发现49%的WordPress安装已过时。这远远低于其他流行的CMS应用程序。
为什么WordPress比竞争对手低很多?好吧,我们的研究发现,与不包含自动更新功能的软件相比,3.7版中引入的自动后台更新为用户提供了优势。
而WordPress 5.5或将带来插件和主题自动更新功能,将为WordPress带来更好的安全优势。
update_option()导致了更多高严重性漏洞
我们在2019年看到的最常见的漏洞利用之一是针对WordPress update_option()函数的攻击的增加。合法地用于更新选项数据库表中的任何条目。但是,如果权限配置不正确,则攻击者可以获得管理员访问权限或注入数据。
不幸的是,有几个插件将允许管理员用户编辑update_option()。虽然这本身不是问题,但缺乏安全检查可使攻击者更改这些值。这为攻击者提供了在WordPress上编辑内部选项的可能性。
为避免这些问题,请始终更新插件、主题和其他第三方组件。最新的安全补丁对于保护您的WordPress环境免受漏洞至关重要。
自2018年以来,加密矿威胁显着下降
对于WordPress网站所有者来说,一个积极的方面是,加密采矿正变得越来越少。2019年,共有9个新的加密矿工域被列入黑名单,低于2018年的100个。这很可能是由于加密货币价格下降所致。此外,市场上最受欢迎的基于浏览器的JavaScript矿工之一CoinHive于2019年初关闭。
但是,加密矿还没有完全消失。我们仍然可以看到属于较旧感染的检测程序-大多数与CoinHive有关。在2019年,我们的签名在受感染的网站上检测到大约50,000个注入的加密矿工。
2020年防止WordPress网站被黑客入侵
在保护您的WordPress网站时,就像古老的谚语所说:“一分预防胜过一磅治疗。” 您将希望尽快采用可靠的安全计划。由于大多数常见攻击都是自动进行的,因此您不能假定您的网站不会成为目标。
密码强度
使用强密码。诸如LastPass、1Password或KeePass之类的密码管理器将使此操作变得更加容易。这些工具将生成并存储复杂的唯一密码。它消除了为每个帐户创建和记住密码的猜测工作。
另外,对所有用户启用双因素身份验证(2FA),限制允许的登录尝试次数,并使用预登录CAPTCHA保护您的站点免受合法帐户的未经授权的登录。
您还应该定期审核主题和插件。检查并确保您使用的所有主题插件都已更新,并删除所有过期或不再使用的插件。
另一个好的做法是管理您的用户帐户。替换您的WordPress安装的默认管理员帐户。使用管理员帐户的唯一用户名,可以使攻击者更加难以猜测自己进入网站的方式。
实行最小特权原则也将有所帮助。WordPress包括管理员、作者、编辑、贡献者和订阅者的内置角色。按照预期的方式使用这些角色,以便仅在需要的时间范围内授予需要它的用户访问权限。
2020年WordPress安全性总结
尽管这些做法将有助于在2020年保护WordPress网站的安全,但并不能保证。对于更强大的安全解决方案,您将需要引入一些第三方安全工具。
Sucuri为所有预算的WordPress用户提供网站安全解决方案。我们的免费WordPress安全插件可以处理基本的扫描和监控,以帮助您改善安全状况。我们还为大型网站和代理机构提供了Web应用程序防火墙和平台计划。
网站安全是您始终必须维护的东西,否则可能会遭受灾难性的黑客攻击。通过这些技巧,您的安全状况将得到改善–但是总会有更多的学习空间。
...
通过Google搜索网站访问的时候,会跳转到其他网站;直接通过网址访问网站的时候,不会跳转,隐蔽性极强
网站根目录的index.php和wp-config.php文件被插入 @include 代码加载恶意文件
网站很多目录会多出一些随机命名的php文件以及 .ico 文件
网站主题或插件会被插入恶意代码,并且带有特征码 Array();global
倡萌在大概2年前就遇到过这类木马,如果想彻底清理是非常麻烦的,但凡一个恶意的文件未清理干净,都可能触发再次感染,因为攻击者会不定时访问他投放的恶意文件(通过远程直接访问或服务器定时任务触发),如果这个恶意文件存在,就会再次执行。
以下分享一下清理该类木马的操作步骤。由于木马文件很多,靠人工是很难找到所有恶意文件的,所以要求通过ssh登录服务器去执行操作命令批量查找,也就是说,如果你的是一般的虚拟主机,通常没有ssh操作权限,无法按照本文命令执行。
首先,通过SSH登录服务器,或咨询你的主机商。
第1步:删除所有可疑的 ico 文件
#查找ico格式的文件 find . -name '*.ico'
进入到网站所在的根目录,执行上面的命令,就看已查找到所有 ico 格式的文件,这些文件的名称一般是随机的,或者带有点号.开头的,删除它们!
第2步:检查包含特征码 Array();global 的所有文件
#检查所有php文件是否包含木马的特征码 Array();global find . -type f -name '*.php' | xargs grep -l " *Array();global*"
攻击者一般会在主题或插件的某些文件插入上面的恶意代码,通过上面的命令可以找到包含这个特征码的文件,然后下载它们,并删除整段恶意代码。注意不要删除这些文件,因为文件包含了正常功能的代码。
第3步:查找通过 @includes 引入恶意文件的代码
攻击者一般会在网站根目录的index.php和wp-config.php文件被插入 @include 代码加载恶意文件,所以我们要先删除这两个文件开头的 @include 部分的代码。
然后可以通过下面的命令去查找包含了 @include 的php文件,逐一检查确认是否有问题。
#检查所有php文件是否包含@includes find . -type f -name '*.php' | xargs grep -l " *@include*"
第4步:查找更多可疑的PHP文件
如果你的网站有访问日志,通过日志去查找上面找到的包含恶意代码的php文件,就会发现还有很多其他恶意文件,如下图所示:
通过分析,发现这些恶意文件的名称都是8位数随机字母命名的,所以我们可以通过下面的命令,找到所有8位字母命名的php文件,只要名称不是规则的英文单词,就下载下来检查,通常都是木马文件。
#检索出所有8位字符命名的php文件,随机命名的文件极为可疑文件 find . -type f | egrep './[a-z]{8}\.php'
第5步:检查静态文件(images、css、js)等目录的php文件
通常来说,这些静态文件所在的目录是不会有php文件的,即使有,也可能是一个空白的或者只有一两句话的index.php文件。通过下面的命令,我们可以找到这些目录中包含的所有php文件。
#检查静态文件所在目录是否有php文件,查看文件大小判断是否可疑 find . -name '*.php' -exec ls -l {} \; | grep "uploads" find . -name '*.php' -exec ls -l {} \; | grep "images" find . -name '*.php' -exec ls -l {} \; | grep "css" find . -name '*.php' -exec ls -l {} \; | grep "js" find . -name '*.php' -exec ls -l {} \; | grep "assets" find . -name '*.php' -exec ls -l {} \; | grep "javascript"
然后看下文件的大小,通常小于100字节的index.php都是正常的,大于100字节的就可疑了,下载它们进行检查。
第6步:检查服务器的定时任务
正如前文提到的,有时候攻击者会在服务器添加定时任务来执行恶意文件。我们可以通过下面的命令查看和修改服务器的定时任务:
#查看服务器定时计划是否有异常 crontab -l #编辑定时任务 crontab -e
第7步:更新WordPress核心、主题和插件
由于我们不知道通过上面的步骤能否彻彻底底删除所有恶意文件,所以,建议大家手动更新WordPress核心、主题和插件,
第8步:修改一切账号密码
我们不清楚攻击者是否收集了我们的账号信息,所以建议修改所有账号密码:
主机商网站登录密码
服务器SSH密码、FTP密码
网站mysql密码、phpMyAdmin密码
网站管理员密码等等
第9步:安装一个WordPress安全插件
安全无小事,我们到目前为止,仍然不知道攻击者利用了什么漏洞进行挂马,所以建议大家安装一个WordPress安全防护插件来增加一些保护。
...
由于新版的 Microsoft Edge 浏览器市场占有率迅速提升,引起微软的必应 Bing 搜索引擎使用量增加,为了更多的收录、展示 WordPress 站点内容,应当第一时间将网址提交到 Bing Webmaster。
所以今天给大家带来一款插件 Bing URL Submissions Plugin,它可以将 WordPress 网站中的 URL 自动提交到 Bing 索引。
插件相关链接
Microsoft Bing Webmaster Tools 官方地址:https://www.bing.com/webmasters
Bing URL Submissions Plugin 插件地址:https://wordpress.org/plugins/bing-webmaster-tools/
插件使用教程
直接在添加插件页面搜索关键词Bing URL Submissions即可添加安装,然后启用它!
设置页面非常简单,填写好 API 秘钥,点击Start using plugin按钮!
如何获取 Bing Webmaster API 秘钥
登陆 Microsoft Bing Webmaster Tools 官方网站(可设置中文界面),右上角设置→API 访问→API 秘钥。
由于一个账号只有一个 API 秘钥,所以你如果添加多个站点,可以通用。
安装启用并配置运行该插件后,该插件会检测 WordPress 站点中的页面、文章的创建或更新,并自动在后台提交 URL,以确保网站页面始终在 Bing 索引中保持最新。
...
图像对于吸引和保持读者的兴趣非常重要。但是,它们也是网络上加载速度最慢的元素之一。加载缓慢可能会导致访问者放弃您的网站,因此解决图片加载慢的问题尤为重要!
如果您想要一个更轻、更快的网站,那么图像优化是一个不错的起点。通过优化,您可以继续以美观、高质量的视觉效果吸引观众的注意力,而不会显着增加页面加载时间。
在本文中,我们将分享通过图像优化来提高网站性能的一些方法。让我们开始吧!
图像优化及其重要性
图像优化就是在减少图像文件的大小和保持可接受的质量水平之间取得平衡。这样可以减少页面加载时间,而不会因模糊或像素化的视觉效果而对访问者体验造成负面影响。
访客关心页面加载需要多长时间。研究表明,有40%的人放弃了耗时超过三秒钟的网站。通过优化图像,可以避免流量损失。
页面加载时间也会影响转化次数和收入。研究表明,如果您的网站每天的收入为100,000美元,那么延迟一秒钟可能会导致您每年损失250万美元的收入。
此外,Google使用页面速度作为排名因素。通过缩短网站的加载时间,您可以提高搜索引擎排名并增加自然流量。
通过减小图片的大小,通常可以帮助Google更快地对其进行抓取和编制索引。这可以帮助您开始从Google图片搜索吸引流量。对于时间敏感的视觉效果(例如与时事或快速销售相关的视觉效果),这一点尤其重要。
最后但并非最不重要的一点是,图像优化可以减少网站备份的大小。这可以使处理过程更快,并且生成的文件更小。根据您的托管服务提供商和计划,这甚至可能阻止您超过分配的存储空间并产生额外费用。
如何设置性能基准
在进行任何类型的优化之前,有助于确定性能基准。通过前后测试您的网站,您可以确定所有图像优化工作的切实利益。
每个站点都是唯一的,因此某些优化技术可能会产生比其他更好的结果。为了确定那些可以为您的网站带来最佳结果的方法,您可能希望在实施每种策略之后进行性能测试。然后,您可以将性能最强的技术置于未来工作的核心。
您可以使用Google PageSpeed Insights、Pingdom或GTmetrix之类的工具来衡量网站的性能。对于评估每种优化技术对您的网站的影响以及跟踪网站的性能随时间变化的情况而言,这是无价的。
加快网站图片加载速度的建议
创建性能基准后,就该开始着手进行改进了。以下是优化图像并减少页面加载时间的6种方法。
1.选择正确的文件格式
在开始优化图像之前,重要的是要确保使用最合适的图像文件格式。您可以使用几种方法,包括一些其他选项,例如JPEG XR和WebP。
尽管这些可以显着提高图像加载速度,但并非所有浏览器都支持它们。为了确保您的网站可访问,通常需要避免使用更特殊的格式。
JPEG或JPG图像可以同时使用有损和无损优化。这通常使其成为具有多种颜色的图像的最佳文件格式。您还可以调整质量水平。这可以帮助您在显示清晰,清晰的图像和减小文件大小之间取得最重要的平衡。
同时,PNG文件可产生更高质量的图像,但尺寸更大。您可能可以将简单图像格式化为PNG,而文件大小不会失控。但是,您通常会希望避免使用PNG以获得更复杂的视觉效果。
2.使用图像压缩工具
压缩可以通过删除或分组文件的某些部分来减小图像的大小。这种压缩可以是“无损”或“有损”的。
无损压缩会减小文件的大小,而不会影响质量。有损压缩通常可以节省更多大小,但是它涉及丢弃文件的某些部分。这会影响图像的质量。
通常,我们建议对照片等高质量的视觉效果进行无损压缩。对于更简单的图像,您可能希望选择有损压缩,以对性能产生更大的影响。
您可以使用多种压缩工具,包括免费的TinyPNG服务。TinyPNG使用有损压缩并有选择地减少图像中的颜色数量。尽管名称如此,TinyPNG可以同时压缩JPG和PNG。
还有一个TinyPNG插件,可以自动压缩您上传到WordPress的所有图像。它也可以优化任何以前上传的文件。如果您的站点已经具有大量视觉效果,这将很有用,并且手动压缩每个图像也不可行。
替代的图像优化插件包括Optimole,Imagify和Smush Pro。
3.启用浏览器缓存
浏览器无需每次都直接从服务器下载图像,而是可以将这些文件本地存储在访问者的计算机上。这种缓存会大大降低后续访问时的页面加载速度。
您可以使用WordPress缓存插件(例如W3 Total Cache 或WP Super Cache)启用浏览器缓存:
或者,您可以通过编辑站点的.htaccess文件来启用浏览器缓存。这是一个重要的文件,因此,只有在您愿意编辑代码的情况下,我们才建议您使用此方法。
如果确实要编辑.htaccess文件,首先创建备份是明智的 。这样可以确保您在遇到任何问题时都可以进行恢复。
4. 禁止图片盗链
使用其他网站上的图片时,最好先下载该图片,然后再将其上传到您自己的服务器上。但是,这并非总是会发生,因为某些网站犯有“热链接”的问题。
当第三方链接到服务器上托管的图片时,就会发生热链接。每当对方的网站加载此图像时,它都会占用您的带宽。
热链接可能会降低您网站的性能,甚至无法为您提供任何页面浏览量。根据您的托管服务提供商,热链接甚至可能会产生额外费用。
为防止其他站点占用您的带宽,您可以使用插件来禁用热链接,例如All In One WP Security&Firewall。激活插件后,您可以通过导航到WP Security>防火墙> Prevent Hotlinks来找到此功能 。
如果你使用阿里云OSS或CDN,或其他第三方存储服务,这些平台一般都是有相关的设置选项的,可以查看并开启。你也可以百度一下“禁止图片盗链”看看更多相关的教程。
5. 使用延迟加载
延迟加载也称为惰性加载,即在长网页中延迟加载图像。用户滚动到它们之前,视口外的图像不会加载。这与图像预加载相反,在长网页上使用延迟加载将使网页加载更快。在某些情况下,它还可以帮助减少服务器负载。
延迟加载有什么好处:
首先它能提升用户的体验,试想一下,如果打开页面的时候就将页面上所有的图片全部获取加载,如果图片数量较大,对于用户来说简直就是灾难,会出现卡顿现象,影响用户体验。
有选择性地请求图片,这样能明显减少了服务器的压力和流量,也能够减小浏览器的负担。
6.考虑使用内容分发网络(CDN)
当您选择为您的网站主机和计划,你可能不得不选择一个数据中心位置的选项。例如,您的网站可能实际位于国外的服务器上。
当数据必须经过更长的距离时,会导致延迟。通常,距离越远,网站加载所需的时间就越长。如果您的主机服务器位于国外,那么国内的访问者通常比国外的访问者经历更长的加载时间。
内容分发网络(CDN)可以通过地理距离缩短延迟造成的。通过CDN提供优化的图像,您可以大大减少页面加载时间。
CDN是位于世界各地的服务器网络。这些服务器有时称为存在点(POP)托管并提供站点静态内容(包括图像)的副本。
每当有人访问您的站点时,CDN都会使用地理位置路由来检测用户请求的来源。然后,访问者可以从物理上最接近图像的数据中心加载图像。
CDN提供程序很多,但是受欢迎的选择包括Sucuri,KeyCDN和Cloudflare。还值得检查您现有的托管服务提供商的服务,因为他们很多都会提供CDN。比如阿里云就有自己的CDN服务。
购买CDN服务之后,您可以使用WordPress插件集成网络,比如W3 Total Cache、LiteSpeed Cache 或 CDN Enabler。
结论
这些精美的高分辨率图像可能会吸引读者的兴趣,但同时也会减慢您的网站速度。通过优化图像,您可以在创建吸引人的,引人注目的内容与提供高性能网站之间取得平衡。
为了加快图像的加载速度,我们建议以下操作:
选择正确的文件格式
使用压缩工具或插件,例如TinyPNG
启用浏览器缓存
禁止图片盗链
使用延迟加载
考虑使用内容分发网络(CDN)
...
Nintechnet 防火墙插件一共有2个版本,一共是免费的,一共是付费的,我们今天要讲的是付费版的操作!下面我简单的罗列一下免费版本和付费版本之前的区别:
1.Unix共享内存用于进程间通信:这个特性要求PHP是用–enable shmoo参数编译的。如果您的服务器不兼容(例如基本共享主机帐户),您仍然可以像往常一样安装和运行Nintechnet防火墙
2.响应正文过滤器(Web过滤器)可在将HTML页面的输出发送到访问者浏览器之前对其进行扫描
3.IP地址和AS号访问控制
4.限速选项
5.基于国家的访问控制(地理位置)
6.URL访问控制
7.用户输入访问控制
8.机器人访问控制
9.集中式日志记录,一次安装即可远程访问所有受Nintechnet保护的网站的防火墙日志
10.Syslog日志记录(与Fail2Ban兼容)
11.反垃圾邮件评论和用户注册表格
以上这11项功能,是免费版本所不具备的,只能在付费版本中进行使用。至于正版收费的价格,单一域名网站每年收费49美金,如果是2-5个域名使用,那么每个网站每年收39美金。同理,使用的网站数量越多,价格也越便宜,最便宜的版本是29美金每年,网站使用数量是100+起步!
二、Nintechnet 的安装和使用
如上图所示,按照图中的操作顺序步骤进行插件的安装,因为本次操作Jack老师使用的是网上找的付费破解版本,所以就没有选择从wordpress官网的插件市场上进行安装。考虑到这种破解版本难免会存在一定的功能限制,所以在下面的实操过程中,如果有版本功能限制因素导致无法正常讲解的内容区块,请同学们忽略!
Nintechnet 插件一共提供了11个菜单功能选项,我们逐个来看这些菜单功能,
1.Dashboard(仪表盘)
这个功能没什么特别好讲的,因为破解版安装之后,对应的验证令牌对应不上,所以就报错提醒了。
在“Statistics”中,是当前这个月所统计的阻止的安全威胁和遭受的安全威胁等级。
“License”就是付费版本的令牌验证的地方,当你购买正版的 Nintechnet 之后就会获得一个验证令牌,然后在License中输入该验证令牌即可激活付费版本的功能。
“About”指的就是该插件的相关版本和信息,没什么好讲的,略过。
2.Firewall Options(防火墙选项)
Firewall protection(防火墙保护功能):开启
Debugging mode(调试模式):禁用
Use shared memory(使用共享内存):禁用
HTTP error code to return(HTTP错误代码返回):页面错误返回代码,一般用403,也可以设置成404,406,500等报错代码
IP anonymization(IP匿名):禁用
Blocked user message(屏蔽用户所看到的页面信息):可以自己设置,有可以用插件默认的提示信息。
Firewall configuration(防火墙配置):这里强调的是防火墙配置规则的导入和导出功能(让你节省时间,一个网站设置好之后可以在其他网站上启用相同规则而不用重新配置规则)
Miscellaneous(其他杂项):自定义设置仪表盘小部件上显示的安全消息数量
3.Fire Policies(防火墙政策)
防火墙政策分为三个等级,分别是:Basic Policies、Intermediate Policies、Advanced Policies,一般的同学建议之要操作Basic Policies就可以了,有相关知识储备和技术基础的同学可以尝试操作后面两个等级的功能设置。下面我们来看具体的操作(因为截图所实在太麻烦了,同学们还是自己去看图操作,我这里就只用文字描述了)
HTTP / HTTPS:这里指的是Nintechnet安全管控的流量来源,建议http和https一起选择。
Uploads:这里指的是收费允许将本地文件上传到网站上,我们选择第三个,允许上传但是阻止有危险的文件。
WordPress文件访问权限:这里分为11个小点,我们分开来讲
首先是php文件的访问权限:建议勾选前面三个,因为css、js、images都会影响到网站的正常运行,所以建议阻止范围,当然这些设置你也可以在robors.txt文件中进行设置。至于第四个cache缓存,放开访问权限是没有太大关系的!
其次是wordpress的一般选项权限(General):建议勾选1,3,4这三项功能,第2项“阻止用户帐户创建”不建议勾选,特别是你要做会员注册网站或者2C的在线购物网站.
第三小点是WordPress的AJAX:作用是保护机器人访问,一般建议勾选该功能。
第四小点是防护用户名枚举侵入:全部勾选就是了,枚举类似于暴力破解,通过不断尝试信息配对来攻破你的网络防火墙。
第五小点是WordPress REST API:这个可以不勾选,因为在具体操作wordpress网站的过程中,很多时候可能会用到API。
第六小点是WordPress XML-RPC API:勾选前两个即可,最后的pingback可以不勾选。
剩下的第7到第11项功能,除了第8点中(Force HTTPS for admin and logins)可设置为yes或者设置为No,其他的几个选项都建议设置为No
上述的这些要点都配置完成之后,最重要的一点是千万不要忘记点击下面的“Save Firewall Policies”按钮,也就是保存上述的相关配置。至于后面的中间策略和进阶策略解释起来太繁琐了,有兴趣的同学自己去研究吧,Jack老师就不再这里多说废话了!
4.Access Control(访问控制)
访问控制总共有6个大项目,分别是:一般控制、地理位置、IP地址、网址、机器人和用户输入。我们也来逐个进行查看相关功能射设置
General
Role-based Access Control(基于角色的访问控制):这里指的是不要阻止不同角色的用户访问权限,建议除了第一个网站管理员勾选之外,其他几个都不要勾选。等于是网站管理员的所有操作都不会受到限制,其他的网站角色是需要受到网站访问规则限制的。
Source IP(检索访问者IP):选择第一个就可以了,下面的Scan traffic coming from localhost and private IP address spaces选项选择yse即可。
HTTP Methods:全部勾选即可。
Geolocation Access Control(地理位置管控)
默认情况下为关闭,如果你要对某一国家或者地区进行管控,那么打开该设置,然后在出现的国家和地区列表中选择对应的项目进行勾选即可。
Ip address
这里的功能是ip访问控制,比方说你想对某一特定ip或者某个国家的ip进行屏蔽。那么将对应的ip或者ip段写入到第二个框中的黑名单中即可。如果是你想屏蔽印度地区,但是印度地区的某个客户你想让他有访问的权限,那么将该可以的ip添加到第一个框中的白名单中即可!
URL address
这里指的是你网站上的某些页面,你不想让别人看到。那么你可以将该页面的url也就是页面的访问路径添加到第二个框中的黑名单中即可。如果你想屏蔽某个类目,比方说产品下面的某个子产品大类,但是该产品大类下面有一个小产品小类你又想让访客看到。那么你首先要在第二个框中的黑名单中输入产品大类的URL访问路径,然后在第一个框中的白名单中输入该产品小类的URL访问路径。
Bot
这里指的是屏蔽访问机器人的访问行为。 Nintechnet 已经在它的拒绝名单中写入了一些较为知名的访问机器人,如果你需要屏蔽某些特定的机器人访问,那么在名单中进行添加即可!
User input
这里指的是管控用户的某些输入访问路径,特别是一些试图访问你后台的输入内容,容易存在被撞库或者破解的风险。那么你只需要在第二个框中输入你需要禁止用户访问的内容即可。
5.Monitoring(监控方式)
监控方式分为三大部分内容,分别是:文件检查、文件卫士和网页过滤器
File check(文件检查):
通过文件检查,你可以根据请求或在特定的时间间隔执行文件完整性监视。上面有2个内容项目需要填写,不过 Nintechnet 已经为我们自动填写了相关文件夹名称,一般就是自己网站的根目录。所以同学们不需要自己再去手动配置,点击下面的“create snapshot”按钮即可。
File Guard(文件卫士):
首先我们需要将该功能开启也就是设置成“Enabled”状态。然后设置成实时监控时间为多少小时。如果在这段时间内,你的网站文件被改动了(不管是自己的主动变更还是其他的恶意篡改都会进行报警!)如果有些文件夹,比方说你的图片文件,因为你可能经常要修改或者替换,那么将该文件夹名称/images/添加到第二行中即可!
Web Filter(网页过滤器):这个功能我不是很明白他的功用,所以这里就暂时不写了,以免误导大家!
6.Anti-Malware
这个功能在早期的 Nintechnet 插件中是存在的,但是现在已经没有了。要想使用该功能,需要先安装NinjaScanner插件。考虑到相关操作太繁琐,这里就不进行实操说明了。
7.Event Notifications(活动通知)
首先,是仪表盘管理通知:单一小站点建议只要勾选”管理员登录”通知即可(也就是系统的默认选项),如果是大网站,有多个后台管理人员建议选择第二项。不建议选择第三个选项。
其次,是插件的变动通知:分别是上传、安装、激活、更新、停用和删除六个变动选项,如果你不嫌麻烦的话,那么6个选项都勾选吧!
然后,是主题变动的通知:分别是上传、安装、激活、删除4个变动选项。操作和上面的插件变动通知一样!
第四个是wordpress的变动通知:一般是版本更新,这个建议勾选。有时候wordpress自动更新到全新版本之后,相关插件可能还没有更新,可能会存在前端页面展示出错或者功能不能正常使用。有了这个wordpress变动通知,能够及时的了解到变动情况,然后去查看前端是否存在相关问题。
第五个是管理员账号变动通知:这个一定要勾选,如果有人变更或者删除了你的管理员账号,那问题就非常大了。
第六个是每日报告:系统默认的设置是每天都发送,如果你觉得太啰嗦了,可以选择关闭该信息推送
第七个是日志记录:这个建议开启,以免网站出问题的时候不知道具体是什么地方出现了问题,有着溯本逐源的功效!
第八个是PHP回溯:这个选项有4个层级选择,一般我们选择中等层级即可。
第九个是联系邮件地址:添加或者修改Nintechnet插件的报告发送邮箱,默认情况下是你的网站联系邮箱,当然你可以变更到你自己需要的邮箱账号上。
8.Login Protection(登录保护)
默认情况下他是关闭的,所以我们需要去打开这项功能。
Type of protection(防护类型):建议选择第二项—Captcha image(验证码图片),因为第一项的Username + Password用户名+密码方式,实在太容易被暴力攻破了。
When to enable the protection(何时启用保护):有两个选项始终启用和收到攻击的时候启用。为了安全起见,选择第一项始终启用暴力攻击保护吧。如果你选择的是第二项,那么需要去设置多长时间段内遭受多少次攻击才算是暴力攻击的数据配置。选择第一项是不需要配置的。
Various options(多种选择):为了方便和安全起见,4个项目同学们都可以进行勾选,也不用额外进行相关数据的配置了!
9.Antispam(反垃圾邮件)
这个功能只有2个简单的选项,一个是防护等级,还有一个是将保护应用于什么项目
第一个防护等级:一般选择低等级就够了,大型网站可以选择高等级
第二个将保护应用于什么项目:你可以选择表格格式或者用户注册表,或者两个项目都勾选。
10.Log(网站日志)
这个功能和网站的主机日志有重复的地方,一般情况下像Jack使用siteground主机的话,主机后台本身就自带了网站日志的功能,所以我习惯去主机端看具体的网站日志内容,所以这个插件的网站日志功能我就不在这里废话了。
11.Security Rules
这里的安全规则来自于 Nintechnet 官方自定义的相关网站安全规则。你可以不定期的进行规则更新。在规则编辑器(Rules Editor)中,你可以选择Nintechnet提供的相关规则,也可以选择它提供的某一项规则中,然后对该条安全规则进行再次编辑,以符合自己的网站安全规则配置!(因为这部分内容涉及到较为深入的专业性知识,加上Jack老师对这方面研究不够深入,所以就不再这里误人子弟了,见谅!)
...
插件特色功能
可选弹出的显示次数:这款插件可选弹窗的弹出形式,可选用户第一次弹出后直到用户关闭浏览器之前都不现实的状态,
不会频繁打扰用户,也可以选择每一次访问首页都显示。 专门针对移动版设置独立内容:这款插件还独立针对移动版进行了设置,
你可以在移动版上设置完全不同的内容,如果不设置移动版则显示和pc版相同的内容。
可视化编辑器编辑内容:
采用WordPress的编辑器对内容进行编辑,可以上传图片、文字、链接,可编辑图文绕排、图片平行显示等等形式。
使用教程 这款插件的使用也非常的简单,这里我们有一个简单的教程提供给大家。
安装好插件之后找到简单广告框的设置,进入设置 注释说明的非常清楚,你可以依据注释进行设置。
广告的宽度高度可以不需要填写这样他们的宽度和高度会以你上传的内容作为他的的高度和宽度,你也可以规定一个固定的高度和宽度,
单位可以使用像素(px)或者百分比(%) 距离顶部的距离可以填写百分比或者像素。
广告的内容可以使用编辑进行添加,使用居左、居右和居中功能可以实现双图并列,多图并列、图文混排等方式,可以自由添加链接、字体颜色以及大小。 移动端与pc端类似,你可以使用你的手机观看移动端的效果进行调整,如果不设置移动端,那么移动端会继承pc端的内容。
...
安装说明
1. 文章底部下载插件
2. 安装
进入 WordPress 后台管理页面,“插件 》安装插件 》上传插件”,上传刚才下载的 ZIP 文件,然后安装。
或者解压安装包,上传到插件目录,/wp-content/plugins/。
3. 启用
安装完毕后,在已经安装的插件里启用 “Pure Highlightjs”。
如何使用
可直接在可视化编辑界面点击“插入代码”按钮,然后选择代码类型,粘贴代码插入即可:
...
