目录WordPress作为一个热门的建站平台,其实并没大家认为的那么危险,而且经常有版本升级,漏洞也能被快速修复当然WordPress并非无懈可击,如果能攻破一个 WordPress 安装,那么可能会有数以百万计的网站向你 “开放”,而且即使 。
原生WordPress 是安全的,也并不能保证所有的主题和插件都会有同样的安全性有些人攻击行为比较简单粗暴,这些行为都很容易被发现,但是最糟糕的是那种潜入内容的行为,它们会将钓鱼网站深入到文件夹结构,或使用你的服务器发送垃圾邮件,一旦你安装的 WordPress 被破解,可能需要删除所有内容并从头重新安装,这是最糟糕的,今天。
红钻博客就和大家一起来研究下如何提升wordpress网站安全性一、选一家靠谱的主机商主机商的重要性就无需多言了,一家靠谱的主机商会让你觉得和使用家用电脑一样轻松那些不靠谱的主机商物理机丢在低端机房,要防火墙没防火墙、系统也不更新,软件也没人管,漏洞更加不会堵,搞不好压根就没有人维护。
现在wordpress的攻击已经高度程序化、自动化了,不论网站大小,全部自动扫描,一旦被攻破,你的网站已经不再属于你了~不过主机的费用还是你的~那么需要如何做呢?首先永远不用“免费”主机,这种服务商自己就是半个黑客,练手的就不说了,其次要选用具备安全措施的主机,预算不多的的就用基本款,对普通网站也够用了,国内可以选阿里云、腾讯云这些,国外选择面宽些 Fastcomet,SiteGround,WPEngine这些都不错。
推荐大家使用阿里云、腾讯云、华为云、优刻得这样的大型云厂商,服务和性能都有保障当然如果在于云服务器价格,官网活动机型是最理想的选择,大多数应用场景都能使用下面的文章分享了官网最新爆款云服务器活动!!每月更新一次官网价格表!
具体参考下面文章:云服务器哪家好?阿里云、腾讯云、华为云、Ucloud、硅云 服务器如何选?[价格表已更新]1562 赞同 · 303 评论文章综上,以上云厂商的活动机拥有超高的性价比,对于个人及中小企业来说,都是
上云非常不错的选择二、设置WordPress自动升级WordPress安全吗?相对安全WordPress完美吗?不完美越流行,越容易被盯上,越被盯上暴露的问题越多,这既是坏事也是也是好事,就像windows系统的攻击就远多于linux,安卓的漏洞也远高于IOS。
所以关键是要保持系统更新,自动更新WordPress核心,插件和主题核心代码,流行插件和主题,几乎每天都在迭代,不少都是修复安全漏洞,曾经就有极速修复的例子长期不更新,版本落后会留下安全隐患,理论上被黑只是时间问题。
保持核心,插件,主题自动更新,能防患于未然,更新不只填补漏洞本身,有时还强迫黑客程序重写,更改攻击机制,从而增加攻击难度那么需要怎么做呢?红钻博客向大家推荐一款安装自动更新插件 Companion Auto Update
,通过这个插件可实现无人值守的WordPress核心,插件和主题自动更新三、配置wordpress自动备份做维护就要作最坏打算,定期自动备份整站,一旦网站被黑,至少有数据可以恢复,留得青山在最糟糕的情况是受了攻击,网站彻底变。
肉鸡,却发现无法备份,之前也没有留任何备份,那时就真的欲哭无泪了四、通过工具自动安全扫描网站有没有被渗透,靠肉眼是很难发现的,因为很多渗透有时没有什么现象也没有什么征兆,当然了更不能靠感觉靠猜,那么需要具体做些什么呢?。
安装安全插件WordFence首先红钻博客推荐大家使用安全插件 WordFence,这款插件很强大,也是目前最主流的wordprss安全插件,这款插件除了自动扫描还有很多功能,大家可以仔细查看插件配置页面。
以后有空的话红钻博客也会单独整理篇文章介绍这个插件五、启用过滤垃圾评论多数垃圾评论的目的并非打广告这么简单,而是把评论内容写得像广告,实际嵌入了恶意代码进行XSS攻击,这样的评论如果流入正常用户的浏览器,就有可能带来危害,如果是权限较高的用户,网站就可能被渗透。
所以大家装好WordPress立即打开Akismet插件,审核用户评论,在设置->讨论中可以配置六、降低插件使用风险非官方的插件危险系数高,不可随便下载安装,先确认插件源可信有一点也需要大家注意,安装的插件不激活,不代表没有风险,因为代码漏洞不依赖插件是否激活。
那么需要怎么做应对呢?首先尽量从官网安装插件,避免从不明来历第三方网站下载插件,其次及时删除不用的插件,尽量避免在生产环境测试插件,控制插件使用数量七、用安全性更高的管理员帐号当你的网站有了些流量,通过请求监控,你会发现总有几个熟悉的IP反复访问/wp-admin,这些访问一般来自黑客的肉鸡,请求是肉鸡上的自动脚本在猜你的登陆帐号密码。
所以你要避免使用“admin”、“administrator”作为管理员账号,这是黑客程序必试的账号,用只有自己知道的账号名,这个小小的改变,能让猜密码的黑客程序头痛指数增加N倍,理论上猜账号和猜密码一样难。
同时启用安全性更高的密码,不复用密码限制密码尝试次数,可以安装登陆重试次数限制插件Login LockDown八、保护wp-admin目录再设一道密码保护,在你的虚拟主控制面板里找“目录密码保护”的选项,如果没有或者找不到这个选项的话,红钻博客建议你那干脆替换默认登录入口好了,WordPress默认登录地址为 /wp-admin 和 /wp-login.php,网上大量黑客程序以它们为渗透目标。
可以安装 WPS Hide Login 插件,可以禁止 /wp-admin 和 /wp-login.php 访问,并把登录入口修改成自定义URL九、使用https协议一般来说,后台登录输入的用户名密码不应明文传输,尤其当你使用代理时,敏感信息可能被中间人截获。
配置web服务器,打开SSL证书,虚拟主机一般都提供免费SSL证书,点点鼠标就能搞定如果用VPS也可以用Let’s Encrypt生成,把所有http流量自动重定向到https十、避免使用默认数据库前缀
有一类工具叫SQL注入,黑客利用某个插件输入框的安全漏洞,通过恶意SQL语句直接修改网站数据库这类语句通常假设数据库表前缀为wp_,这是WordPress安装时的默认前缀所以在安装WordPress时,大家避免使用默认的wp_数据表前缀,可以使大量SQL注入工具失效。
十一、关闭文件编辑WordPress默认允许管理员帐号修改主题或插件源文件,一旦管理员帐号被渗透,理论上黑客可以通过这个功能修改这些文件,执行任何他想执行的代码,比如注入木马,留后门所以可以彻底关闭这个功能,通过在wp-config.php中加入:。
define(DISALLOW_FILE_EDIT, true);十二、关闭.php文件直接访问权限一旦黑客发现某个php源文件有漏洞,就可以通过直接访问之反复尝试渗透,尤其是上传文件夹这样的敏感位置(/
uploads)如果关闭,那么即使漏洞存在,黑客也无能为力所以需要在.htaccess文件里添加针对敏感目录的规则,禁止直接访问.php文件:Order Allow, Deny Deny from all。
十三、关闭XML-RPCXML-RPC是WordPress向外暴露的调用,Pingback和Trackback功能依赖这组调用,但会被黑客程序拿来来做蛮力攻击或者DDos可以安装Disable XML-RPC插件,可彻底关闭XML-RPC。
普通网站Pingback和Trackback功能意义不大,所以关掉XML-RPC也没有关系,除非你确定它需要打开总结今天详细和大家交流了下WordPress安全的注意事项,相信大家已经有个相对全面的认识了,有些内容略复杂,一些新手朋友估计一时半会儿不好消化,其实对一般网站来说,WordPress安全最重要的事就是三步,一是保持自动更新,二是使用安全插件定期扫描,三是备份。
做到这三点,基本可保网站不被渗透,剩下的措施可以根据网站情况决定是否配置~今天就给大家分享到这里,也欢迎大家留言与老尹互动,共同学习,一起进步!
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。