提升wordpress网站安全性都需要做哪些设置

  • A+
所属分类:随笔杂谈

WordPress程序是迄今为止最流行的博客平台。正由于它的流行,也因此带来了正面和负面的影响。事实上,几乎每个人都使用它,使它更容易被发现漏洞。WordPress的开发人员做了很多工作,一旦新的缺陷被发现,就会发布修复和补丁,但这并不意味着你可以安装完就置之脑后。

有些人攻击行为比较简单粗暴,这些行为都很容易被发现,但是最糟糕的是那种潜入内容的行为,它们会将钓鱼网站深入到文件夹结构,或使用你的服务器发送垃圾邮件,一旦你安装的WordPress被破解,可能需要删除所有内容并从头重新安装,这是最糟糕的,今天小九就和大家一起来研究下如何提升wordpress网站安全性。

提升wordpress网站安全性都需要做哪些设置

 

可靠的主机商

主机商的重要性就无需多言了,一家靠谱的主机商会让你觉得和使用家用电脑一样轻松。那些不靠谱的主机商物理机丢在低端机房,要防火墙没防火墙、系统也不更新,软件也没人管,漏洞更加不会堵,搞不好压根就没有人维护。

现在wordpress的攻击已经高度程序化、自动化了,不论网站大小,全部自动扫描,一旦被攻破,你的网站已经不再属于你了~不过主机的费用还是你的。

那么需要如何做呢?首先永远不用“免费”主机,这种服务商自己就是半个黑客,练手的就不说了,其次要选用具备安全措施的主机,预算不多的的就用基本款,对普通网站也够用了,国内可以选阿里云、腾讯云这些,另外阿里云1000元优惠券可以领取,详细介绍请看《阿里云最新代金券领取及最全阿里云优惠活动汇总2019》,国外主机可以看下《国外最好用的WordPress主机推荐》这篇文章。

设置WordPress自动升级

WordPress安全吗?相对安全。WordPress完美吗?不完美。越流行,越容易被盯上,越被盯上暴露的问题越多,这既是坏事也是也是好事,就像windows系统的攻击就远多于linux,安卓的漏洞也远高于IOS。所以关键是要保持系统更新,自动更新WordPress核心,插件和主题。核心代码,流行插件和主题,几乎每天都在迭代,不少都是修复安全漏洞,曾经就有极速修复的例子。长期不更新,版本落后会留下安全隐患,理论上被黑只是时间问题。保持核心,插件,主题自动更新,能防患于未然,更新不只填补漏洞本身,有时还强迫黑客程序重写,更改攻击机制,从而增加攻击难度。

那么需要怎么做呢?小九向大家推荐一款安装自动更新插件Companion Auto Update,通过这个插件可实现无人值守的WordPress核心,插件和主题自动更新。

设置wordpress自动备份

做维护就要作最坏打算,定期自动备份整站,一旦网站被黑,至少有数据可以恢复,留得青山在。最糟糕的情况是受了攻击,网站彻底变肉鸡,却发现无法备份,之前也没有留任何备份,那时就真的欲哭无泪了。

小九之前专门分享过一篇文章《WordPress数据库备份管理插件:WP-DBManager》,里面介绍了几个常用的wordpress做备份的方法,大家可以照着做一下。

通过工具自动安全扫描

网站有没有被渗透,靠肉眼是很难发现的,因为很多渗透有时没有什么现象也没有什么征兆,当然了更不能靠感觉靠猜,那么需要具体做些什么呢?可以安装安装安全插件WordFence,这款插件很强大,也是目前最主流的wordpress安全插件,这款插件除了自动扫描还有很多功能,大家可以查看 《Wordfence Security主要功能和使用详解》文章。

启用过滤垃圾评论

多数垃圾评论的目的并非打广告这么简单,而是把评论内容写得像广告,实际嵌入了恶意代码进行XSS攻击,这样的评论如果流入正常用户的浏览器,就有可能带来危害,如果是权限较高的用户,网站就可能被渗透。所以大家装好WordPress立即打开Akismet插件,审核用户评论,在设置->讨论中可以配置。

降低插件使用风险

非官方的插件危险系数高,不可随便下载安装,先确认插件源可信。有一点也需要大家注意,安装的插件不激活,不代表没有风险,因为代码漏洞不依赖插件是否激活。那么需要怎么做应对呢?首先尽量从官网安装插件,避免从不明来历第三方网站下载插件,其次及时删除不用的插件,尽量避免在生产环境测试插件,控制插件使用数量。

用安全性更高的管理员帐号

当你的网站有了些流量,通过请求监控,你会发现总有几个熟悉的IP反复访问/wp-admin,这些访问一般来自黑客的肉鸡,请求是肉鸡上的自动脚本在猜你的登陆帐号密码。

WordPress系统默认安装是采用admin账号,不过后来的版本允许使用者自行选择网站管理员账号,以避免恶意用户想要尝试admin登入网站。如果你本身已经使用admin,请赶快换账号吧!不然黑客轻易的就可以猜到你账号,接下来猜出密码应该很快了。另外建议使用Limit Login Attempts强化登入安全,当然您也要设一个不易猜出的密码。还有一种是修改wp-admin.php登陆地址,具体方法请查看《如何修改WordPress网站后台默认登录地址wp-admin》这篇文章。

使用https协议

一般来说,后台登录输入的用户名密码不应明文传输,尤其当你使用代理时,敏感信息可能被中间人截获。配置web服务器,打开SSL证书,虚拟主机一般都提供免费SSL证书,点点鼠标就能搞定。如果用VPS也可以用Let's Encrypt生成,不会的可以看一看这篇文章《一键部署Let's Encrypt免费SSL证书》,把所有http流量自动重定向到https。

关闭XML-RPC

XML-RPC是WordPress向外暴露的调用,Pingback和Trackback功能依赖这组调用,但会被黑客程序拿来来做蛮力攻击或者DDos。可以安装Disable XML-RPC插件,可彻底关闭XML-RPC。普通网站Pingback和Trackback功能意义不大,所以关掉XML-RPC也没有关系,除非你确定它需要打开。

最后各位还是要做好个人的账号密码保护,另外也别在不明的网络、计算机乱登入网站,这都可能造成帐密外泄,除此之外,再次提醒,使用以上方法只会加强WordPress安全,但无法保证百毒不侵,仍有机会遭受到黑客入侵,通常状况可能是您帐密外泄、网站插件、主题有漏洞、系统有不明的漏洞,还有目录权限设定不正确等等的状况,各位还是要多多注意。

eyuzhuji
小九

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: