怎样提升wordpress网站安全性?

  • 6
  • 1,075 views
  • A+
所属分类:WordPress技巧

WordPress作为一个热门的建站平台,其实并没大家认为的那么危险,而且经常有版本升级,漏洞也能被快速修复。当然WordPress并非无懈可击,如果能攻破一个 WordPress 安装,那么可能会有数以百万计的网站向你 “开放”,而且即使 原生WordPress 是安全的,也并不能保证所有的主题和插件都会有同样的安全性。

有些人攻击行为比较简单粗暴,这些行为都很容易被发现,但是最糟糕的是那种潜入内容的行为,它们会将钓鱼网站深入到文件夹结构,或使用你的服务器发送垃圾邮件,一旦你安装的 WordPress 被破解,可能需要删除所有内容并从头重新安装,这是最糟糕的,今天3z学堂就和大家一起来研究下如何提升wordpress网站安全性。

一、选一家靠谱的主机商

主机商的重要性就无需多言了,一家靠谱的主机商会让你觉得和使用家用电脑一样轻松。那些不靠谱的主机商物理机丢在低端机房,要防火墙没防火墙、系统也不更新,软件也没人管,漏洞更加不会堵,搞不好压根就没有人维护。

现在wordpress的攻击已经高度程序化、自动化了,不论网站大小,全部自动扫描,一旦被攻破,你的网站已经不再属于你了~不过主机的费用还是你的~

 

那么需要如何做呢?首先永远不用“免费”主机,这种服务商自己就是半个黑客,练手的就不说了,其次要选用具备安全措施的主机,预算不多的的就用基本款,对普通网站也够用了,国内可以选阿里云、腾讯云这些,国外选择面宽些 Fastcomet,SiteGround,WPEngine这些都不错。

二、设置WordPress自动升级

WordPress安全吗?相对安全。WordPress完美吗?不完美。越流行,越容易被盯上,越被盯上暴露的问题越多,这既是坏事也是也是好事,就像windows系统的攻击就远多于linux,安卓的漏洞也远高于IOS。所以关键是要保持系统更新,自动更新WordPress核心,插件和主题。核心代码,流行插件和主题,几乎每天都在迭代,不少都是修复安全漏洞,曾经就有极速修复的例子。长期不更新,版本落后会留下安全隐患,理论上被黑只是时间问题。保持核心,插件,主题自动更新,能防患于未然,更新不只填补漏洞本身,有时还强迫黑客程序重写,更改攻击机制,从而增加攻击难度。

那么需要怎么做呢?3z学堂向大家推荐一款安装自动更新插件 Companion Auto Update,通过这个插件可实现无人值守的WordPress核心,插件和主题自动更新。

三、配置wordpress自动备份

做维护就要作最坏打算,定期自动备份整站,一旦网站被黑,至少有数据可以恢复,留得青山在。最糟糕的情况是受了攻击,网站彻底变肉鸡,却发现无法备份,之前也没有留任何备份,那时就真的欲哭无泪了。。。

3z学堂之前专门分享过一篇文章《wordpress常见备份方法》,里面介绍了几个常用的wordpress做备份的方法,大家可以照着做一下。

四、通过工具自动安全扫描

网站有没有被渗透,靠肉眼是很难发现的,因为很多渗透有时没有什么现象也没有什么征兆,当然了更不能靠感觉靠猜,那么需要具体做些什么呢?

  • 安装安全插件WordFence

首先3z学堂推荐大家使用安全插件 WordFence,这款插件很强大,也是目前最主流的wordprss安全插件,这款插件除了自动扫描还有很多功能,大家可以仔细查看插件配置页面。以后有空的话3z学堂也会单独整理篇文章介绍这个插件。

 

五、启用过滤垃圾评论

多数垃圾评论的目的并非打广告这么简单,而是把评论内容写得像广告,实际嵌入了恶意代码进行XSS攻击,这样的评论如果流入正常用户的浏览器,就有可能带来危害,如果是权限较高的用户,网站就可能被渗透。所以大家装好WordPress立即打开Akismet插件,审核用户评论,在设置->讨论中可以配置。

六、降低插件使用风险

非官方的插件危险系数高,不可随便下载安装,先确认插件源可信。有一点也需要大家注意,安装的插件不激活,不代表没有风险,因为代码漏洞不依赖插件是否激活。那么需要怎么做应对呢?首先尽量从官网安装插件,避免从不明来历第三方网站下载插件,其次及时删除不用的插件,尽量避免在生产环境测试插件,控制插件使用数量。

七、用安全性更高的管理员帐号

当你的网站有了些流量,通过请求监控,你会发现总有几个熟悉的IP反复访问/wp-admin,这些访问一般来自黑客的肉鸡,请求是肉鸡上的自动脚本在猜你的登陆帐号密码。

  • 所以你要避免使用“admin”、“administrator”作为管理员账号,这是黑客程序必试的账号,用只有自己知道的账号名,这个小小的改变,能让猜密码的黑客程序头痛指数增加N倍,理论上猜账号和猜密码一样难。同时启用安全性更高的密码,不复用密码。
  • 限制密码尝试次数,可以安装登陆重试次数限制插件Login LockDown

八、保护wp-admin目录

再设一道密码保护,在你的虚拟主控制面板里找“目录密码保护”的选项,如果没有或者找不到这个选项的话,3z学堂建议你那干脆替换默认登录入口好了,WordPress默认登录地址为 /wp-admin 和 /wp-login.php,网上大量黑客程序以它们为渗透目标。可以安装 WPS Hide Login 插件,可以禁止 /wp-admin 和 /wp-login.php 访问,并把登录入口修改成自定义URL。

 

九、使用https协议

一般来说,后台登录输入的用户名密码不应明文传输,尤其当你使用代理时,敏感信息可能被中间人截获。配置web服务器,打开SSL证书,虚拟主机一般都提供免费SSL证书,点点鼠标就能搞定。如果用VPS也可以用Let's Encrypt生成,把所有http流量自动重定向到https。

十、避免使用默认数据库前缀

有一类工具叫SQL注入,黑客利用某个插件输入框的安全漏洞,通过恶意SQL语句直接修改网站数据库。这类语句通常假设数据库表前缀为wp_,这是WordPress安装时的默认前缀。所以在安装WordPress时,大家避免使用默认的wp_数据表前缀,可以使大量SQL注入工具失效。

十一、关闭文件编辑

WordPress默认允许管理员帐号修改主题或插件源文件,一旦管理员帐号被渗透,理论上黑客可以通过这个功能修改这些文件,执行任何他想执行的代码,比如注入木马,留后门。所以可以彻底关闭这个功能,通过在wp-config.php中加入:

define('DISALLOW_FILE_EDIT', true);

十二、关闭.php文件直接访问权限

一旦黑客发现某个php源文件有漏洞,就可以通过直接访问之反复尝试渗透,尤其是上传文件夹这样的敏感位置(/uploads)。如果关闭,那么即使漏洞存在,黑客也无能为力。所以需要在.htaccess文件里添加针对敏感目录的规则,禁止直接访问.php文件:

Order Allow, Deny
Deny from all

十三、关闭XML-RPC

XML-RPC是WordPress向外暴露的调用,Pingback和Trackback功能依赖这组调用,但会被黑客程序拿来来做蛮力攻击或者DDos。可以安装Disable XML-RPC插件,可彻底关闭XML-RPC。普通网站Pingback和Trackback功能意义不大,所以关掉XML-RPC也没有关系,除非你确定它需要打开。

总结

3z学堂今天详细和大家交流了下WordPress安全的注意事项,相信大家已经有个相对全面的认识了,有些内容略复杂,一些新手朋友估计一时半会儿不好消化,其实对一般网站来说,WordPress安全最重要的事就是三步,一是保持自动更新,二是使用安全插件定期扫描,三是备份。做到这三点,基本可保网站不被渗透,剩下的措施可以根据网站情况决定是否配置~今天就给大家分享到这里,也欢迎大家留言与3z学堂互动,共同学习,一起进步!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:6   其中:访客  6   博主  0

    • wp用户吗 wp用户吗 1

      wordpress专业户

        • 勇之助 勇之助 5

          @wp用户吗 专业户谈不上了,爱好者吧~欢迎常来指导!

        • 乱翻书 乱翻书 3

          不错

            • 勇之助 勇之助 5

              @乱翻书 感谢支持!欢迎常来指导~

            • 今日新闻 今日新闻 2

              文章不错非常喜欢