×

您的手機?

新聞中心

這里有您想知道的最新資訊與動態
如何讓您的WordPress網站免受攻擊并保證其安全
  • 發表時間: 2019-04-24
  • 瀏覽次數: 19669

如今,WordPress 全球網站占有了驚人的三分之一份額。自從中期開始實施WordPress的許多SEO功能以來,它一直是國外社區的CMS平臺。因此,它也成了許多黑客的攻擊對象,主要是出于搜索引擎優化垃圾郵件的原因,但攻擊可能會使之更加惡化。

以下是一些WordPress基礎知識以及確保您的WordPress網站保持安全的方法。

WordPress安全嗎?

最新版本的WordPress簡單易用。然而,忽視更新它可能會使其不安全。這就是許多安全專業人士和開發人員不是WordPress粉絲的原因。WordPress也類似于本質上不安全的PHP代碼,其中WordPress本身警告說,漏洞“源于平臺的可擴展部分,特別是插件和主題”。

WordPress更新

沒有100%安全的系統。WordPress需要安全更新才能安全運行,這些更新不會對您產生負面影響。打開自動安全更新。但是,更新WordPress核心確實需要確保所有內容都兼容。只要兼容版本可用,請立即更新插件和主題。

開源

WordPress是開源的,既有風險也有好處。該項目受益于為核心提供代碼的開發人員社區,核心團隊修補了社區發現的安全漏洞,而黑客則發現了撬開內容的方法。及時利用程序檢測正在運行的內容以匹配您的版本的已知漏洞。

保護好自己

即使您沒有管理員角色,也可以采取一些措施來保護自己。確保您使用定期掃描的工作站在安全的網絡上工作。阻止廣告以防止偽裝成圖像的一些復雜攻擊。當您在公共WiFi熱點工作時,使用VPN進行端到端加密,以防止會話劫持和MITM攻擊。

安全密碼

無論您擁有什么樣的角色,安全地管理密碼都很重要。確保您的密碼是唯一且足夠長的。當密碼不夠長時,即使是標點符號,數字和字母的組合也不夠安全。你需要長密碼。如果您需要記憶,請使用串在一起的四個或五個單詞的短語,但最好使用為您生成密碼的密碼管理器。

密碼長度

為什么長度如此重要?換句話說,使用名為HashCat的免費開源程序,八個字符的密碼在不到2.5小時內破解。無論你的密碼是多么難以理解,破解短密碼只需要幾個小時。當你的密碼有13個字符以上時,破解將會變得艱難些,至少目前如此。

管理員

如果您具有管理員用戶角色,請為自己創建一個僅限于編輯角色的新用戶。開始使用新配置文件而不是管理員。這樣,廣域網攻擊將集中于攻擊您的編輯器角色憑據,如果您的會話被劫持,您就擁有管理員權限來更改密碼并從入侵者手中奪取控制權。通過使用插件強制每個人遵循強密碼策略。

安全政策

如果您有安全經驗,請執行插件和主題的代碼審核。為所有用戶建立最小特權原則。然后你強迫黑客執行shell彈出技巧和權限升級,這涉及攻擊除WordPress憑據之外的目標。

更改文件權限

如果您控制主機,請通過使用控制面板為自己提供SFTP帳戶(如果有),或者嘗試使用您可以訪問的管理員用戶界面。它可能具有配置憑據以打開安全shell終端窗口(SSH)的副作用。這樣,您可以使用系統實用程序等執行其他安全措施。

鎖定關鍵文件

除了運行WordPress的PHP進程之外,有一些文件永遠不應該被訪問。您可以更改文件權限并編輯.htaccess文件以進一步鎖定這些文件。要更改文件權限,請使用SFTP客戶端(如果有選項),或打開終端shell窗口并運行chmod utility命令。

$ chmod 400 .wp-config

$ ls -la

這意味著只有運行WordPress的PHP進程才能讀取該文件,而沒有別的。該文件永遠不應該設置“執行位”,就像使用chmod 700一樣。你應該總是在第二和第三位有零 - 這就是真正鎖定它的原因。使用-la選項驗證運行ls實用程序的更改并查看。

擁有嚴格的文件權限設置意味著即使是通過WordPress,也無法將任何內容寫入文件。

$ chmod 600 .wp-config

當有一個主要的WordPress更新,其中配置文件有修改時,您將要授予寫權限。如果有的話,那應該極少發生。

WordPress登錄文件

使用.htaccess規則鎖定wp-login.php文件。限制只訪問我的IP地址非常適合我從一個靜態分配的IP工作,或者為我自己和一些用戶工作的少量地址。如果您從其他位置登錄,只要您可以在主機上獲取shell,就不難更改設置。只需注釋掉deny指令,使用瀏覽器登錄,然后取消注釋即可。

#Protect login page

Ordre deny,allow

Deny form all

Allow from 111.111.111.11

XSS和SQL注入

到目前為止,您將遇到的最可怕的攻擊是跨站點腳本(XSS)和SQL注入。您可以使用.htaccess查詢字符串重寫規則來阻止其中的一些,并且最好使用可以為您管理此插件的插件。一些安全插件將掃描您的安裝,尋找妥協的跡象。如果您知道如何使用重寫,請重定向或阻止查詢字符串簽名,以查找您在日志中閱讀或查看的攻擊。

安全插件

一些安全插件將掃描您的安裝,尋找妥協的跡象。Wordfense是一個流行的安全插件,它會定期更新。Sucuri Scanner有一個付費選項,可以掃描您的安裝。Ninja防火墻將嘗試限制基于請求的攻擊,在它們到達WordPress核心之前阻止它們。您還可以使用Google的新Web Risk API編寫應用程序來掃描您網站的頁面。



江苏快三开奖号码 比特币价格2年走势图 广东11选5怎么定一胆 企业管理硕士考试科目 老地方棋牌麻将下载 哪个app可以买竞彩足球 山东时时彩官方开奖 快乐十分logo 九线水果拉霸游戏教程 安徽快三单式68期开奖结果 北京幸运飞艇开奖直播 重庆百变王牌50期 北京麻将单机 mg真人游戏在线 韩国快乐8最快开奖网 qq四川麻将 pt电子游戏交流吧|Welcome