WordPress做为一个受欢迎的自助建站系统,实际上并没大伙儿觉得的那麼风险,并且常常有版本更新,系统漏洞也可以被迅速修补。自然WordPress并不是天衣无缝,假如能攻克一个WordPress 安裝,那么可能会有数以百万计的网站向你 “开放”,而且即使 原生WordPress是安全的,也并不能保证所有的主题和插件都会有同样的安全性。
有些人攻击行为比较简单粗暴,这些行为都很容易被发现,但是最糟糕的是那种潜入内容的行为,它们会将钓鱼网站深入到文件夹结构,或使用你的服务器发送垃圾邮件,一旦你安装的 WordPress 被破解,可能需要删除所有内容并从头重新安装,这是最糟糕的,今天就和大家一起来研究下如何提升wordpress网站安全性。
一、选一家靠谱的主机商
主机商的重要性就无需多言了,一家靠谱的主机商会让你觉得和使用家用电脑一样轻松。那些不靠谱的主机商物理机丢在低端机房,要防火墙没防火墙、系统也不更新,软件也没人管,漏洞更加不会堵,搞不好压根就没有人维护。
现在wordpress的攻击已经高度程序化、自动化了,不论网站大小,全部自动扫描,一旦被攻破,你的网站已经不再属于你了~不过主机的费用还是你的~
那么需要如何做呢?首先永远不用“免费”主机,这种服务商自己就是半个黑客,练手的就不说了,其次要选用具备安全措施的主机,预算不多的的就用基本款,对普通网站也够用了,国内可以选阿里云、腾讯云这些,国外选择面宽些
Fastcomet,SiteGround,WPEngine这些都不错。
二、设置WordPress自动升级
WordPress安全吗?相对安全。WordPress完美吗?不完美。越流行,越容易被盯上,越被盯上暴露的问题越多,这既是坏事也是也是好事,就像windows系统的攻击就远多于linux,安卓的漏洞也远高于IOS。所以关键是要保持系统更新,自动更新WordPress核心,插件和主题。核心代码,流行插件和主题,几乎每天都在迭代,不少都是修复安全漏洞,曾经就有极速修复的例子。长期不更新,版本落后会留下安全隐患,理论上被黑只是时间问题。保持核心,插件,主题自动更新,能防患于未然,更新不只填补漏洞本身,有时还强迫黑客程序重写,更改攻击机制,从而增加攻击难度。
那么需要怎么做呢?给大家推荐一款安装自动更新插件 Companion Auto Update,通过这个插件可实现无人值守的WordPress核心,插件和主题自动更新。
三、配置wordpress自动备份
做维护就要作最坏打算,定期自动备份整站,一旦网站被黑,至少有数据可以恢复,留得青山在。最糟糕的情况是受了攻击,网站彻底变肉鸡,却发现无法备份,之前也没有留任何备份,那时就真的欲哭无泪了。。。
四、通过工具自动安全扫描
网站有没有被渗透,靠肉眼是很难发现的,因为很多渗透有时没有什么现象也没有什么征兆,当然了更不能靠感觉靠猜,那么需要具体做些什么呢?
- 安装安全插件WordFence
首先推荐大家使用安全插件 WordFence,这款插件很强大,也是目前最主流的wordprss安全插件,这款插件除了自动扫描还有很多功能,大家可以仔细查看插件配置页面。以后有空的话也会单独整理篇文章介绍这个插件。
五、启用过滤垃圾评论
多数垃圾评论的目的并非打广告这么简单,而是把评论内容写得像广告,实际嵌入了恶意代码进行XSS攻击,这样的评论如果流入正常用户的浏览器,就有可能带来危害,如果是权限较高的用户,网站就可能被渗透。所以大家装好WordPress立即打开Akismet插件,审核用户评论,在设置->讨论中可以配置。
六、降低插件使用风险
非官方的插件危险系数高,不可随便下载安装,先确认插件源可信。有一点也需要大家注意,安装的插件不激活,不代表没有风险,因为代码漏洞不依赖插件是否激活。那么需要怎么做应对呢?首先尽量从官网安装插件,避免从不明来历第三方网站下载插件,其次及时删除不用的插件,尽量避免在生产环境测试插件,控制插件使用数量。
七、用安全性更高的管理员帐号
当你的网站有了些流量,通过请求监控,你会发现总有几个熟悉的IP反复访问/wp-admin,这些访问一般来自黑客的肉鸡,请求是肉鸡上的自动脚本在猜你的登陆帐号密码。
- 所以你要避免使用“admin”、“administrator”作为管理员账号,这是黑客程序必试的账号,用只有自己知道的账号名,这个小小的改变,能让猜密码的黑客程序头痛指数增加N倍,理论上猜账号和猜密码一样难。同时启用安全性更高的密码,不复用密码。
- 限制密码尝试次数,可以安装登陆重试次数限制插件Login LockDown。
八、保护wp-admin目录
再设一道密码保护,在你的虚拟主控制面板里找“目录密码保护”的选项,如果没有或者找不到这个选项的话,建议你那干脆替换默认登录入口好了,WordPress默认登录地址为 /wp-admin 和 /wp-login.php,网上大量黑客程序以它们为渗透目标。可以安装 WPS Hide Login 插件,可以禁止 /wp-admin 和 /wp-login.php 访问,并把登录入口修改成自定义URL。
九、使用https协议
一般来说,后台登录输入的用户名密码不应明文传输,尤其当你使用代理时,敏感信息可能被中间人截获。配置web服务器,打开SSL证书,虚拟主机一般都提供免费SSL证书,点点鼠标就能搞定。如果用VPS也可以用Let's
Encrypt生成,把所有http流量自动重定向到https。
十、避免使用默认数据库前缀
有一类工具叫SQL注入,黑客利用某个插件输入框的安全漏洞,通过恶意SQL语句直接修改网站数据库。这类语句通常假设数据库表前缀为wp_,这是WordPress安装时的默认前缀。所以在安装WordPress时,大家避免使用默认的wp_数据表前缀,可以使大量SQL注入工具失效。
十一、关闭文件编辑
WordPress默认允许管理员帐号修改主题或插件源文件,一旦管理员帐号被渗透,理论上黑客可以通过这个功能修改这些文件,执行任何他想执行的代码,比如注入木马,留后门。所以可以彻底关闭这个功能,通过在wp-config.php中加入:
- define('DISALLOW_FILE_EDIT', true);
十二、关闭.php文件直接访问权限
一旦黑客发现某个php源文件有漏洞,就可以通过直接访问之反复尝试渗透,尤其是上传文件夹这样的敏感位置(/uploads)。如果关闭,那么即使漏洞存在,黑客也无能为力。所以需要在.htaccess文件里添加针对敏感目录的规则,禁止直接访问.php文件:
- Order Allow, Deny
- Deny from all
十三、关闭XML-RPC
XML-RPC是WordPress向外暴露的调用,Pingback和Trackback功能依赖这组调用,但会被黑客程序拿来来做蛮力攻击或者DDos。可以安装Disable XML-RPC插件,可彻底关闭XML-RPC。普通网站Pingback和Trackback功能意义不大,所以关掉XML-RPC也没有关系,除非你确定它需要打开。
总结
今天详细和大家交流了下WordPress安全的注意事项,相信大家已经有个相对全面的认识了,有些内容略复杂,一些新手朋友估计一时半会儿不好消化,其实对一般网站来说,WordPress安全最重要的事就是三步,一是保持自动更新,二是使用安全插件定期扫描,三是备份。做到这三点,基本可保网站不被渗透,剩下的措施可以根据网站情况决定是否配置~今天就给大家分享到这里,也欢迎大家留言互动,共同学习,一起进步!
本文来源于:怎样提升wordpress网站安全性?-变化吧门户
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。
- 赞助本站
- 微信扫一扫
-
- 加入Q群
- QQ扫一扫
-
评论