跳到主要内容

12种保护Wordpress网站的简单方法

WordPress是网络上最受欢迎的内容管理系统(CMS)。使用PHP开发,并且由mySQL数据库提供支持,WordPress被令人惊讶的8.5%的网站使用。网络传播的恶意软件和网站破解变得越来越普遍,并且如果使用WordPress作为CMS,如此大比例的Web内容,WordPress编码或框架中的任何安全漏洞都可能影响数百万个网站。

本文将解释如何在没有深入的安全知识的情况下,最好地保护您的WordPress网站免受恶意软件和破解。

+$01. Audit overall workstation security

首先,确保您使用的所有PC和Web服务器都保持适当的安全。确保您运行的是您最喜爱的Web浏览器的最新版本,并确保将其设置为自动修补。对您的防病毒软件和操作系统也这样做。确保您使用的所有身份验证向量都具有安全密码,这些密码会经常更改。经常扫描您的PC和服务器以查找恶意软件。确保使用适当的防火墙 - 在操作系统级别,路由器级别和ISP级别,如果可能的话。 WordPress之外的任何安全漏洞,与您一起使用的软件和硬件,都会影响CMS本身。为你的WordPress管理员帐户创建一个非常安全的密码真的很难过,只是发现一个键盘记录器击败了你所有的努力。

+$02. Keep WordPress Updated

下一步是确保始终安装最新版本的WordPress。更新WordPress相对快捷,可以通过Web浏览器中的WordPress面板完成。如果最新版本的WordPress与您的Web服务器或Web主机中安装的PHP和mySQL版本不兼容,我强烈建议您继续升级这些版本以确保您的WordPress版本是最新的。过时的WordPress版本将不再获得安全补丁,就像旧操作系统看到支持过期一样。

+$03. Report bugs and vulnerabilities

如果您发现了自己的安全漏洞,请通过发送详细的电子邮件来帮助社区Security@wordpress.org。如果漏洞位于插件中,请发送电子邮件Plugins@wordpress.org。您可能希望其他Web开发人员报告可能影响您的网站的漏洞,因此请将其他人视为您希望得到的对待!只是避免在网络或社交网站上写下新发现的漏洞,这样信息就不会落入坏人之手。

+$04. Check For Exploits

每隔一段时间,运行Exploit Scanner插件以检查恶意活动的迹象。 Exploit Scanner不会直接修复任何问题,但它会为您提供详细的日志以进行故障排除。如果你怀疑破解,那也是运行该插件的时候了。

+$05. Disable custom HTML when possible

WordPress可以使用自定义HTML进行各种功能。如果您的网站的形式和功能不是绝对必要的,您可以通过将以下内容添加到您的网站来禁用未经过滤的HTMLWP-config.php文件文件:

define('DISALLOW_UNFILTERED_HTML',true);

+$06. Don't look brand new

删除所有默认帖子和评论。如果恶意黑客在您的网站上找到了这些黑客,它可能会向他们表明您有一个新的WordPress网站,并且全新的网站通常更容易破解。

当您知道安装了哪个版本时,更容易破解到WordPress网站,所以一定要隐藏它。这是在两个地方完成的。第一个是模板中的元生成器标记。这是发现于wp-content / {WordPress主题的名称} /header.php。寻找类似的东西“”并删除它。另一个元素在您的RSS源中。打开WP-包括/通用的template.php并查看1858行。查找:

+$function the_generator( $type ) { echo apply_filters('the_generator', get_the_generator($type), $type) . "\n"; }

确保在“echo”命令旁边应用哈希,使其如下所示:

+$function the_generator( $type ) { #echo apply_filters('the_generator', get_the_generator($type), $type) . "\n"; }

此外,删除所有“由WordPress支持”页脚的实例,因为破解者使用该短语来查找通过搜索引擎破解的网站。该页脚还指示新的WordPress站点或新手开发的站点,无论这些站点是否实际适用于您。

一定要删除/wp-admin/install.php和/wp-admin/upgrade.php每次WordPress安装或升级后。这些脚本仅在安装和升级过程中使用,不会用于站点的日常开发。您仍可以在没有这些文件的情况下升级,因为所有升级都包含这些脚本。

更改几个文件和目录名称默认值。去设置>杂项在您的管理控制台中更改名称的wp-content /目录WP-评论-post.php中。确保更改模板中的模板URLWP-评论-post.php中因此,要保持您网站的功能。

+$07. Hide Indexes

务必尽可能禁用对索引的公共访问。如果人们可以在您的网站中找到这些文件可湿性粉剂内容/插件/目录未经过身份验证,通过插件漏洞攻击您的网站要容易得多。如果您的Web服务器运行Apache或其他使用的操作系统.htacess文件,这很简单。找出的.htaccess站点主目录中的配置文件。那是包含的目录的index.php。插入文字选项 - 索引文件中的任何位置。或者,如果你不能改变一个的.htaccess文件,上传的index.html将文件放入主目录。您可以使该网页具有与您网站的PHP网页类似的外观,并插入指向您的网页的超链接的index.php文件,如果你愿意。但显然,在使用WordPress作为CMS的网站中,访问者将看不到您的的index.html文件,除非他们在其Web浏览器地址栏中键入特定路径。或者,你可以做你的的index.html提交一个0字节的占位符。

如果您的Web服务器在计算PHP文件时遇到问题,那么阻止只能由您的服务器访问的目录至关重要。如果PHP源代码始终显示在访问者的Web浏览器中而不是它应该呈现的Web页面上,那么他们可能会找到数据库凭据或有关您站点的PHP / mySQL编程的深入信息。你的网站WP-包括/目录是最重要的阻止目录。找出的.htaccess在那里提交并插入:

RewriteRule ^(wp-includes)\ /。*。$ / [NC,R = 301,L]

如果有或将会有子目录WP-包括/,为每个插入相同的代码的.htaccess配置文件:

RewriteRule ^(wp-includes | subirectory-name-here)\ /。*。$ / [NC,R = 301,L]

+$08. Back It Up!

WP-DB经理非常适合备份整个WordPress网站,但它也会提醒您注意mySQL漏洞,并在部分数据库可公开访问时通知您。

始终确保正确备份您网站的内容。在最糟糕的情况下,至少保留备份可以让您轻松恢复您的网站。使用WP-DB Manager,您也可以使用WordPress的在线备份。备份创建的备份可以存储在您的电子邮件收件箱或PC上,也可以在开发人员备份技术自己的安全服务器上使用100MB的免费存储空间。

+$09. Install Security Plug-ins

我之前提过过利用扫描仪插件,您应该经常在您的网站上运行以检查漏洞和破解尝试。我建议你安装和使用其他一些WordPress插件。如果使用得当,它们可以非常有效地强化您的WordPress网站。

利用扫描仪,您也可以使用WP Security Scan。插件不仅会查找漏洞,而且还会为您提供阻止它们的具体建议。

为了防止中间人裂缝找到您的登录凭据,请务必使用加密您的登录数据包登录加密。该插件使用DEA和RSA算法来增强安全性。

+$10. Installing plug-ins from the admin panel

  • 配置限制登录尝试插件,以防止暴力攻击。使用该插件,您可以设置最大登录尝试次数,还可以设置两次锁定的持续时间。
  • 用户储物柜插件以类似的方式工作。有了它,您可以在锁定帐户之前设置无效身份验证尝试的最大次数。
  • 还有一个出色的插件可以保护整个管理面板。尝试管理员SSL安全 插入使用SSL加密您的面板。
  • 另一个用于保护站点登录的强大插件是Chap安全登录。通过使用它,除了用户名之外,所有登录凭据都将使用Chap协议和SHA-256算法进行加密。
  • 如前所述,更改尽可能多的WordPress默认值是一个很好的主意。同隐身登录,您可以创建用于登录和退出站点的自定义URL。
  • 阻止错误查询将尝试阻止对您的网站进行的恶意查询。它寻找的eval(要么“BASE64”在请求URI中,还查找可疑长的请求字符串。
  • 防恶意软件防护罩可以应用于您的整个站点防病毒软件插入。它会查找病毒,蠕虫,rootkit和其他形式的恶意软件。一定要保持更新!

请记住:当您选择并安装网站上的插件时,还要确保只安装通过管理面板或WordPress.org插件目录下提供的插件。外部插件可能是安全的,但最好是降低风险。正式发布的插件会进行安全审核并扫描恶意软件。

+$11. Install other useful plug-ins

WordPress网站经常成为垃圾邮件的目标。我必须花很多时间浏览我的网站上的评论,并且我的大部分待审评论都必须标记为垃圾邮件。想象一下,这些垃圾邮件可以为您的网站做些什么,除了为您提供大量繁琐的额外工作!出于这个原因,我建议安装不良行为在您的网站上。通过记录站点的HTTP请求,您可以更好地解决spambot问题。此外,当机器人命中它时,该插件将限制对您网站的访问。

不良行为,你也可以使用用户垃圾邮件卸妆。它将删除您网站上未使用的用户帐户。您可以为这些设置设置年龄阈值,也可以配置白名单。

+$12. Putting Everything Together

保持WordPress网站的安全性是一项持续的责任,就像所有其他IT和开发安全领域一样。您不能只配置许多设置或程序,然后忘记它。您的WordPress网站应该按计划进行恶意软件和漏洞扫描,并且应该保留和分析日志。

通过保持您的WordPress网站安全,您可以尽自己的一份力量来防止恶意活动,这些活动不仅会损害网站,还会损害网络服务器和用户的PC,平板电脑和智能手机设备。由于WordPress是网络上常见的CMS,因此可以随时获得有关控制台设计和配置的知识,某些黑客可能会在数百万个网站上运行。幸运的是,出于同样的原因,关于WordPress安全性的知识非常丰富。在持续维护您的网站和Web服务器时,始终保持安全。然后,您可以对您的网络内容进行适当的控制,并尽自己的努力使互联网变得更加美好。

查找参考资料,资源等Infosecinstitute.com

+$Kim Crawley is a contributor to InfoSec Institute Resources.+$InfoSec Institute+$is a security training company specialising in+$ethical Hacking Courses



翻译字数超限