如何提高wordpress网站的安全性

吴哲路 2019年10月15日19:30:58如何提高wordpress网站的安全性已关闭评论 13,386

WordPress作为一个流行的网站建设平台,并不像大家想象的那么危险,而且版本升级频繁,漏洞可以快速修复。当然,WordPress并不是无懈可击的。如果一个WordPress安装可以被破解,数百万个网站可能对你“开放”,即使原始的WordPress是安全的,也不能保证所有的主题和插件都有相同的安全性。
有些人的攻击相对简单粗暴,这些行为很容易被察觉,但最糟糕的是渗透内容的那种行为。他们会将网络钓鱼网站渗透到文件夹结构中,或者使用您的服务器发送垃圾邮件。一旦你安装的wordpress被破解,你可能需要删除所有的内容并从头重新安装。这是最糟糕的。今天,让我们一起学习如何提高WordPress网站的安全性。
第一选择一家可靠的主机公司
没有必要多说托管公司的重要性。一家可靠的主机公司会让你感觉像使用家用电脑一样轻松。那些不可靠的大型计算机被留在低端计算机房里。他们不需要防火墙,不需要系统更新,不需要软件管理,不需要堵塞漏洞,甚至根本不需要维护。现在wordpress攻击已经高度程序化和自动化。无论网站大小,都会自动扫描。一旦被攻破,你的网站将不再属于你,但是主机的费用仍然是你的。
那你需要怎么做呢?首先,从来没有必要使用“免费”主机。这种服务提供商是半个黑客,那些练习的人不会谈论它。其次,有必要使用具有安全措施的主机。对于那些预算很少的人来说,普通网站就足够了。在家里,阿里云和滕循可以被选中。在国外,Fastcomet、SiteGround和WPEngine都很好。

第二,设置WordPress自动升级。
WordPress安全吗?相对安全。WordPress完美吗?不完美。它越受欢迎,就越容易成为攻击目标,暴露的问题也就越多。这既是一件坏事也是一件好事,就像windows攻击远不止linux攻击,安卓漏洞远不止IOS。因此,关键是保持系统更新,并自动更新WordPress核心、插件和主题。核心代码、流行插件和主题几乎每天都在迭代,其中许多都在修复安全漏洞。有快速修复的例子。如果长时间不更新,过时的版本将会留下安全隐患。理论上,它被黑客攻击只是时间问题。保持核心、插件和主题的自动更新可以在问题发生之前防止它们。更新不仅填补了漏洞,还迫使黑客重写和改变攻击机制,从而增加了攻击难度。
那你需要做什么?建议您安装一个自动更新插件,伴侣自动更新,通过它无人值守的WordPress核心,插件和主题可以自动更新。

第三,配置wordpress自动备份
为了维护,我们必须做最坏的打算,定期自动备份整个站点。一旦网站被封锁,至少一些数据可以恢复,青山依然存在。最糟糕的情况是攻击,网站完全变成了鸡,却发现它不能备份,以前没有备份了,然后我真的想哭。。。

四、通过工具自动安全扫描
网站是否已经被渗透很难用肉眼发现,因为很多渗透有时没有现象也没有迹象,当然,不能凭感觉来猜测,那么具体需要做些什么呢?安装安全插件写字板首先,我们建议您使用安全插件写保护。这个插件非常强大,是目前最主流的wordprss安全插件。除了自动扫描之外,这个插件还有许多功能。您可以仔细检查插件配置页面。稍后,如果我有空,我将组织一篇文章单独介绍这个插件。

五、启用垃圾评论过滤
大多数垃圾评论的目的不像广告那么简单,而是像广告一样编写评论的内容,实际上嵌入恶意代码来实施XSS攻击。如果这样的评论流入普通用户的浏览器,可能会带来伤害,如果他们是拥有更高权限的用户,网站可能会被渗透。因此,当您安装WordPress时,您将立即打开Akismet插件并查看用户评论,这些评论可以在设置->讨论中进行配置。

六、降低插件的风险
非官方插件具有高风险因素。不要随便下载和安装它们。首先验证插件的来源是否可信。同样重要的是要注意,安装的插件没有被激活,这并不意味着没有风险,因为代码漏洞不取决于插件是否被激活。那么我们应该如何应对呢?首先,尝试从官方网站安装插件,避免从来历不明的第三方网站下载插件。其次,及时删除未使用的插件,尽量避免在生产环境中测试插件,并控制插件的数量。

七、具有较高的安全管理员账号
当您的网站有流量时,通过请求监控,您会发现总有几个熟悉的IP重复访问/wp-admin,这些访问通常来自黑客的肉鸡,并且请求是肉鸡上的自动脚本正在猜测您的登录帐户密码。
因此,您应该避免使用“管理员”和“管理员”作为管理员帐户。这是黑客程序必须尝试的帐户。只有你知道的帐户名,这个小小的改变就能让黑客程序猜测密码的头痛指数增加n倍。理论上,猜测账户和猜测密码一样困难。同时,启用了更高的安全密码,并且不重复使用密码。限制密码尝试和安装登录重试限制插件登录锁定。

八.保护wp-admin目录
设置另一个密码保护,并在虚拟主控制面板中查找“目录密码保护”选项。如果您没有或找不到此选项,建议您简单替换默认登录。WordPress的默认登录地址是/wp-admin和/wp-login.php,它们是大量在线黑客程序的目标。您可以安装隐藏登录插件,禁用/wp-admin和/wp-login.php访问,并将登录条目修改为自定义网址。

九.使用https协议
通常,为后台登录输入的用户名和密码不应以明文形式传输,尤其是当您使用代理时,敏感信息可能会被中间人截获。配置网络服务器并打开SSL证书。虚拟主机通常提供免费的SSL证书,这可以用一个小鼠标来完成。如果使用VPS,我们加密也可以用来生成,自动重定向所有的http流量到https。

十、避免使用默认的数据库前缀
有一种叫做SQL注入的工具,黑客利用插件输入框的安全漏洞,通过恶意的SQL语句直接修改网站数据库。这种类型的语句通常假设数据库表前缀是wp_,这是安装WordPress时的默认前缀。因此,在安装WordPress时,每个人都应该避免使用默认的wp_数据表前缀,这会禁用大量的SQL注入工具。

十一、关闭文件编辑器
默认情况下,WordPress允许管理员帐户修改主题或插件源文件。一旦管理员帐户被渗透,黑客理论上可以通过该功能修改这些文件,并执行他想执行的任何代码,例如注入特洛伊木马和离开后门。因此,可以通过添加以下内容来完全关闭该功能:定义(“不允许_文件_编辑”,真);

十二点,php文件直接访问权限
一旦黑客发现php源文件中存在漏洞,他可以反复尝试通过直接访问进行渗透,尤其是上传文件夹(/uploads)等敏感位置。如果它被关闭,那么即使漏洞存在,黑客也无能为力。因此,敏感目录的规则需要添加到。htaccess文件禁止直接访问。php文件:订单允许,拒绝拒绝所有人

十三.正在关闭XML-RPC
这是一个公开的WordPress调用。Pingback和Trackback函数依赖于这组调用,但它们将被黑客程序用来进行暴力攻击或DDos。可以安装禁用XML-RPC插件,并且可以完全关闭XML-RPC。常见网站上的Pingback和Trackback功能没有什么意义,所以关闭XML-RPC并不重要,除非您确定需要打开它。

今天,我和你详细讨论了WordPress的安全预防措施。我相信你有一个相对全面的理解。有些内容有点复杂。一些新手朋友估计暂时很难消化。事实上,对于一般网站来说,WordPress安全最重要的是三个步骤。一是维护自动更新,二是使用安全插件定期扫描,三是备份。要实现这三点,基本上保证网站不会被渗透。其余措施可根据网站情况决定。我们今天会和你分享。我们也欢迎你们留下信息,互相交流,一起学习,一起进步。

吴哲路