如何保护您的WordPress网站免受攻击并保证其安全。
如今,WordPress 全球使用它搭建网站的人有1/3。从很早以前,WordPress它一直是我们网站搭建的好帮手。但是,它如果受到了黑客攻击,这会是比较头疼的问题。
以下是一些WordPress基础知识以及确保您的WordPress网站保持安全的方法。
WordPress安全吗?
最新版本的WordPress简单易操作。然而,忽视更新它可能会使其不安全。WordPress本身警告说,漏洞“源于平台的可扩展部分,特别是插件和主题”。
WordPress更新
没有100%安全系统这样的东西。WordPress需要安全更新才能安全运行,这些更新不会对您产生负面影响。打开自动安全更新。但是,更新WordPress核心确实需要确保所有内容都兼容。只要兼容版本可用,请立即更新插件和主题。
开源
WordPress是开源的,既有风险也有好处。该项目受益于为核心提供代码的开发人员社区,核心团队修补了社区发现的安全漏洞,如果不更新黑客则会通过发现漏洞内容攻入您的网站。
保护自己
即使您没有管理员角色,也可以采取一些措施来保护自己。确保您网站放在安全的网站环境,最好该平台能提供定期检测的服务。阻止广告以防止伪装后的复杂攻击。当您在公共WiFi热点工作时,使用VPN进行端到端加密,以防止会话劫持和MITM攻击。
安全密码
无论您拥有什么样的角色,安全地管理密码都很重要。确保您的密码是唯一且足够长的。当密码不够长时,即使是标点符号,数字和字母的组合也不够安全。你需要长密码。如果您需要记忆,请使用串在一起的四个或五个单词的短语,但最好使用为您生成密码的密码管理器。
密码长度
为什么长度如此重要?换句话说,使用名为HashCat的免费开源实用程序,八个字符的密码在不到2.5小时内破解。无论你的密码是多么难以理解,破解短密码只需要几个小时。从13个字符开始,破解开始变得异常困难,至少目前如此。
管理员
如果您具有管理员用户角色,请为自己创建一个仅限于编辑角色的新用户。开始使用新配置文件而不是管理员。这样,广域网攻击将集中于攻击您的编辑器角色凭据,如果您的会话被劫持,您就拥有管理员权限来更改密码并从入侵者手中夺取控制权。通过使用插件强制每个人遵循强密码策略。
安全政策
如果您有安全经验,请执行插件和主题的代码审核(显然)。为所有用户建立最小特权原则。然后你强迫黑客执行shell弹出技巧和权限升级,这涉及攻击除WordPress凭据之外的目标。
更改文件权限
如果您控制主机,请通过使用控制面板为自己提供SFTP帐户(如果有),或者尝试使用您可以访问的管理员用户界面。它可能具有配置凭据以打开安全shell终端窗口(SSH)的作用。这样,您可以使用系统实用程序等执行其他安全措施。
锁定关键文件
除了运行WordPress的PHP进程之外,有一些文件永远不应该被访问。您可以更改文件权限并编辑.htaccess文件以进一步锁定这些文件。要更改文件权限,请使用SFTP客户端(如果有选项),或打开终端shell窗口并运行chmod utility命令。
$ chmod 400 .wp-config
$ ls -la
这意味着只有运行WordPress的PHP进程才能读取该文件,而没有别的。该文件永远不应该设置“执行位”,就像使用chmod 700一样。你应该总是在第二和第三位有零 – 这就是真正锁定它的原因。使用-la选项验证运行ls实用程序的更改并查看。
拥有严格的文件权限设置意味着即使是通过WordPress,也无法将任何内容写入文件。$ chmod 600 .wp-config
当有一个主要的WordPress更新,其中配置文件有修改时,您将要授予写权限。如果有的话,那应该极少发生。
WordPress登录文件
我喜欢使用.htaccess规则锁定wp-login.php文件。我有一个静态的IP地址,每次只能在我IP的网络环境才能够登陆网站后台!如果您从其他位置登录,只要您可以在主机上获取shell,就不难更改设置。只需注释掉deny指令,使用浏览器登录,然后取消注释即可。
WordPress Htaccess限制由IP
XSS和SQL注入
到目前为止,您将遇到的最可怕的攻击是跨站点脚本(XSS)和SQL注入。您可以使用.htaccess查询字符串重写规则来阻止其中的一些,并且最好使用可以为您管理此的插件。一些安全插件将扫描您的安装,寻找妥协的迹象。如果您知道如何使用重写,请重定向或阻止查询字符串签名,以查找您在日志中阅读或查看的攻击。
安全插件
一些安全插件将扫描您的安装,寻找妥协的迹象。Wordfense是一个流行的安全插件,它会定期更新。Sucuri Scanner有一个付费选项,可以扫描您的安装。Ninja防火墙将尝试限制基于请求的攻击,在它们到达WordPress核心之前阻止它们。您还可以使用Google的新Web Risk API编写应用程序来扫描您网站的页面。