×

您的手机?

新闻中心

这里有您想知道的最新资讯与动态
吴忠如何让您的WordPress网站免受攻击并保证其安全
  • 发表时间: 2019-04-24
  • 浏览次数: 37912

如今,WordPress 全球网站占有了惊人的三分之一份额。自从中期开始实施WordPress的许多SEO功能以来,它一直是国外社区的CMS平台。因此,它也成了许多黑客的攻击对象,主要是出于搜索引擎优化垃圾邮件的原因,但攻击可能会使之更加恶化。

以下是一些WordPress基础知识以及确保您的WordPress网站保持安全的方法。

WordPress安全吗?

最新版本的WordPress简单易用。然而,忽视更新它可能会使其不安全。这就是许多安全专业人士和开发人员不是WordPress粉丝的原因。WordPress也类似于本质上不安全的PHP代码,其中WordPress本身警告说,漏洞“源于平台的可扩展部分,特别是插件和主题”。

WordPress更新

没有100%安全的系统。WordPress需要安全更新才能安全运行,这些更新不会对您产生负面影响。打开自动安全更新。但是,更新WordPress核心确实需要确保所有内容都兼容。只要兼容版本可用,请立即更新插件和主题。

开源

WordPress是开源的,既有风险也有好处。该项目受益于为核心提供代码的开发人员社区,核心团队修补了社区发现的安全漏洞,而黑客则发现了撬开内容的方法。及时利用程序检测正在运行的内容以匹配您的版本的已知漏洞。

保护好自己

即使您没有管理员角色,也可以采取一些措施来保护自己。确保您使用定期扫描的工作站在安全的网络上工作。阻止广告以防止伪装成图像的一些复杂攻击。当您在公共WiFi热点工作时,使用VPN进行端到端加密,以防止会话劫持和MITM攻击。

安全密码

无论您拥有什么样的角色,安全地管理密码都很重要。确保您的密码是唯一且足够长的。当密码不够长时,即使是标点符号,数字和字母的组合也不够安全。你需要长密码。如果您需要记忆,请使用串在一起的四个或五个单词的短语,但最好使用为您生成密码的密码管理器。

密码长度

为什么长度如此重要?换句话说,使用名为HashCat的免费开源程序,八个字符的密码在不到2.5小时内破解。无论你的密码是多么难以理解,破解短密码只需要几个小时。当你的密码有13个字符以上时,破解将会变得艰难些,至少目前如此。

管理员

如果您具有管理员用户角色,请为自己创建一个仅限于编辑角色的新用户。开始使用新配置文件而不是管理员。这样,广域网攻击将集中于攻击您的编辑器角色凭据,如果您的会话被劫持,您就拥有管理员权限来更改密码并从入侵者手中夺取控制权。通过使用插件强制每个人遵循强密码策略。

安全政策

如果您有安全经验,请执行插件和主题的代码审核。为所有用户建立最小特权原则。然后你强迫黑客执行shell弹出技巧和权限升级,这涉及攻击除WordPress凭据之外的目标。

更改文件权限

如果您控制主机,请通过使用控制面板为自己提供SFTP帐户(如果有),或者尝试使用您可以访问的管理员用户界面。它可能具有配置凭据以打开安全shell终端窗口(SSH)的副作用。这样,您可以使用系统实用程序等执行其他安全措施。

锁定关键文件

除了运行WordPress的PHP进程之外,有一些文件永远不应该被访问。您可以更改文件权限并编辑.htaccess文件以进一步锁定这些文件。要更改文件权限,请使用SFTP客户端(如果有选项),或打开终端shell窗口并运行chmod utility命令。

$ chmod 400 .wp-config

$ ls -la

这意味着只有运行WordPress的PHP进程才能读取该文件,而没有别的。该文件永远不应该设置“执行位”,就像使用chmod 700一样。你应该总是在第二和第三位有零 - 这就是真正锁定它的原因。使用-la选项验证运行ls实用程序的更改并查看。

拥有严格的文件权限设置意味着即使是通过WordPress,也无法将任何内容写入文件。

$ chmod 600 .wp-config

当有一个主要的WordPress更新,其中配置文件有修改时,您将要授予写权限。如果有的话,那应该极少发生。

WordPress登录文件

使用.htaccess规则锁定wp-login.php文件。限制只访问我的IP地址非常适合我从一个静态分配的IP工作,或者为我自己和一些用户工作的少量地址。如果您从其他位置登录,只要您可以在主机上获取shell,就不难更改设置。只需注释掉deny指令,使用浏览器登录,然后取消注释即可。

#Protect login page

Ordre deny,allow

Deny form all

Allow from 111.111.111.11

XSS和SQL注入

到目前为止,您将遇到的最可怕的攻击是跨站点脚本(XSS)和SQL注入。您可以使用.htaccess查询字符串重写规则来阻止其中的一些,并且最好使用可以为您管理此插件的插件。一些安全插件将扫描您的安装,寻找妥协的迹象。如果您知道如何使用重写,请重定向或阻止查询字符串签名,以查找您在日志中阅读或查看的攻击。

安全插件

一些安全插件将扫描您的安装,寻找妥协的迹象。Wordfense是一个流行的安全插件,它会定期更新。Sucuri Scanner有一个付费选项,可以扫描您的安装。Ninja防火墙将尝试限制基于请求的攻击,在它们到达WordPress核心之前阻止它们。您还可以使用Google的新Web Risk API编写应用程序来扫描您网站的页面。