行业新闻

当前位置:

WordPress的12个基本安全提示和技巧

浏览量:0

        WordPress是一个很棒的发布平台,但它也不能免受来自的所有潜在攻击黑客,垃圾邮件发送者,以及其他恶意攻击者试图危害您的WordPress安装的安全性。

        WordPress是开源的,这意味着恶意攻击成功的机会更高,因为项目的源代码可以很容易地获得并研究漏洞。

然而,好消息是,你可以采取措施给你的WordPress站点增加一层安全。

        这篇文章强调几个技巧和技巧你可以用来保护并锁定你的网站保护它免受攻击。

1.定期备份你的MySQL数据库

您应该总是备份您的站点文件和数据库。您应该通过将MySQL数据导出为. SQL文件并存储在一个安全的位置来练习定期备份MySQL数据库。

phpmyadmin数据库

        我建议至少对您的数据库进行每日备份;即使你不经常更新你的网站,你也会一直收到用户评论和引用通告。

但是手动备份很乏味,你可能会忘记它或者没有足够规律地进行备份。为了对抗人类忘记或推迟无聊和重复任务的倾向,你应该自动化这个过程。

您可以使用名为WordPress数据库备份的插件来自动备份。您可以选择尽可能频繁地进行备份,它为您提供了以下选项每小时地,每日,一周的,和每月间歇。这使您处于安全的一面,因为如果您的站点的数据库被破坏,您将有一个备份来恢复它。您还可以使用其他工具来实现数据库备份自动化,因此请探索您的选项并选择适合您的方法。

        2.采取额外的措施来保护您的wp-admin文件夹

wp文件夹

        wp-admin文件夹是一个非常重要的文件夹,因为它包含了所有与管理相关的文件。如果文件的安全性受到威胁,非常糟糕的事情不仅可以发生在你的WordPress安装上,也可以发生在你的域中的其他东西上。

您有几个选项可以用来确保此文件夹被锁定。我们将在这里讨论其中的几个。

降低wp-admin文件夹安全漏洞风险的一个有效方法是限制可以通过。htaccess文件(对于Apache web服务器)。如果您运行Apache之外的另一种类型的网络服务器(比如IIS,它通常带有一个很好的现成的图形用户界面),您可能需要研究如何在您的wp-admin文件夹上执行类似的权限指令。

        首先,在您最喜欢的文本或源代码编辑器中创建一个新的空白文档(是的,即使您使用像Windows记事本这样的简单文本编辑器,这也能工作)。用以下名称保存此文件:。文件。

您可以将类似于下面代码块的指令放在。htaccess文件(修改自blogssecurity网站,名为“使用htaccess强化WordPress”)。

命令拒绝,允许从123 . 456 . 78 #您的IP地址拒绝所有

保存文件,并把它放在你的wp-admin文件夹。

        这个选项很好,确实加强了您的wp-admin文件夹的安全性,但是如果您在多个不同IP地址的位置工作,这就不方便了。

另一种为WordPress管理文件增加额外安全层的方法是一个名为AskApachePasswordProtect。该插件为您提供了几个额外的安全功能,例如需要用户名和密码才能访问任何管理页面。它还编写了。htaccess文件(如果您不熟悉Apache服务器上的访问控制,这很好)。

        查看Apache网站上关于如何使用的文档身份验证、授权和访问控制看看你如何锁定你安装的其他文件夹,以及你安装的WordPress之外的其他位置。

        3.不要公开显示你的WordPress版本号

许多WordPress开发人员经常在源代码中显示WordPress版本。但是公开这些信息使得攻击者很容易利用特定WordPress版本上的已知漏洞。

        删除这段代码更安全。为此,在您的主题中header.php文件中,查找类似以下代码块的代码,然后删除它:

% 3元名称= "生成器"内容="WordPress%3C?php bloginfo('版本');?%3E"/%3E%3C!-–请把这个留给统计局- %3E 

        如果你找不到上面的代码,但是你仍然可以在你的站点的源代码中看到元生成器标签,试着在你的% 3 head % 3E标签中寻找一个PHP函数调用。

%3C?phpWP _ head();?%3E 

        研究一下这个函数为你输出了什么,并把它们硬编码到你的主题文件中,因为这些值不太可能改变。默认情况下,该函数在您的HTML源代码中输出如下代码块:

% 3链接rel = " EdIturi " type = " application/RSD+XML " title = " RSD " href = " http://example.com/xmlrpc.php?RSD "/% 3E % 3链接rel = " wlwmanifest " type = " application/wlwmanifest+XML " href = " http://example.com/WP-includes/wlwmanifest . XML "/% 3E % 3 meta name = " generator " content = " WordPress#版本号"/%3E 

        只要硬编码前两行(如果你甚至需要他们)。由于这种有限用途的函数调用,这具有减少服务器开销的额外好处。

WordPress的12个基本安全提示和技巧

        4.让您的WordPress安装保持最新

由于WordPress是一个开源项目,所以更容易发现其源代码中的漏洞。为了确保您使用的是最安全的WordPress版本,请在稳定版本发布时尽快更新您的安装。

不更新是在冒不必要的风险,所以如果你的WordPress安装至少有两个版本,今天更新它!它真的需要5分钟据WordPress报道。

        5.不用(或者更好)

当您安装WordPress时,它会自动生成一个具有管理员级别权限的用户,称为管理。

强烈建议您不要使用此用户名,以免黑客更难通过猜测您的用户名和密码暴力攻击。即使您降低了它的权限角色,它仍然是一个更好的主意只是为了完全删除这个用户。

        要删除管理员用户,首先通过您的WordPress管理面板创建一个具有管理员角色的新用户(命名为不容易猜到的东西)。然后,使用新创建的用户,删除管理员用户。这种技术使您不必通过MySQL查询(或者像phpMyAdmin这样的MySQL图形用户界面)来做这件事。

在暴力攻击的主题中,您还应该考虑安装登录锁定插件,它记录了每次失败的WordPress登录尝试的IP地址和时间戳。如果在短时间间隔内从特定的IP地址检测到超过一定数量的失败尝试,该IP地址将被阻止,并且不允许从该地址进行进一步的登录尝试。您可以根据自己的喜好配置该阈值。

        6.加密你的WordPress相关的cookies

另一种确保WordPress安装安全的方法是加密WordPress cookies中存储的信息。这可以很容易地通过使用密钥生成工具。从那里获取随机代码,并将其粘贴到您的wp-config.php文件。

这使得很难通过以下方式访问您的WordPress管理面板cookie劫持。

        7.使用强密码

使用一个复杂的密码可能是提高你的安装安全性的最简单的预防措施之一。

网上有很多工具可以验证你的密码有多强。例如,微软在他们的网站上有一个免费的基于网络的工具,叫做密码检查器。WordPress还有一个内置的密码强度验证器:请使用它。

请在指南上查看这个不错的指南选择强密码博客先驱报。

        8.更改默认设置中的数据库表前缀

默认情况下,WordPress使用WP u作为MySQL数据库表的前缀。为了增加一点针对SQL注入尝试的安全性,请将此默认值更改为其他值。

WordPress建议您保留您选择的前缀,仅用于数字和字母。我建议改成只对你喜欢的有意义的东西w0 rdprs u或者yourblogname_。

要更改前缀,请前往wp-config.php文件并更改表前缀值。

$table_prefix = 'WP u;

请注意,如果您已经安装了WordPress,您必须将您的数据库表名更改为您在wp-config.php指定的前缀,否则您的站点将停止工作。

        9.对你的文件使用正确的文件权限

您需要确保服务器上的所有文件都有正确的访问规则。建议您不要允许对任何可公开访问的文件进行写访问,但是一些WordPress插件要求某些文件和文件夹是可写的。

配置您的安装,使您只给所有文件最低要求许可。通常,CHMOD值为644(这意味着文件是只读的)就足够了。如果您必须将一个文件设置为CHMOD值777(这意味着任何人都可以读取、写入和执行它),您应该感到担心。

确定你的网站是否有风险的方法是使用一个名为WP扫描。这个插件会扫描你的WordPress博客中与文件权限相关的弱点。

        10.限制搜索引擎蜘蛛可以索引的内容

你的整个网站不需要被搜索引擎蜘蛛索引(众所周知,搜索引擎使得攻击者通过高级搜索语法很容易找到易受攻击的敏感文件)。一种方法是将搜索引擎蜘蛛限制为只索引您域中的相关文件和文件夹。

在下面的例子中,您告诉搜索引擎不要索引以前缀开头的文件夹中的任何内容/wp-(如wp-login.php).

不允许:/wp-*

你应该阅读关于AskApache.com的教程来更详细地了解这个主题。

        11.使用安全连接访问管理页面

您可以通过加密的SSL连接登录到WordPress管理面板。您需要先看看您的网络主机服务是否允许您访问一个SSL证书。最有可能的是,你不会,但它们足够便宜,值得花几块钱去买。

一旦您有了一个SSL连接,您就可以在https://代替http://通过在与管理相关的页面和功能上强制SSL连接来实现协议。

你可以这样做WP-配置文件并插入以下代码

定义('强制_SSL_ADMIN,真实的); 

        12.封锁世界-进入你的wp-config.php档案

从上面讨论的技巧中可以看出wp-config.php文件是WordPress安装不可分割的一部分。它包含敏感数据,如您的数据库用户名和密码(由WordPress用来创建到WordPress表的数据库连接)。

你可以做的一件事是阻止对wp-config文件的全局访问。htaccess指令(针对Apache服务器)。您可以使用以下代码块作为示例。

% 3文件wp-config.php%3E订单拒绝,允许所有% 3C/文件%3E拒绝

您可以做的另一件事是将您的wp-config.php文件移动到默认安装位置上方的目录中。这可能看起来很奇怪,但是根据官方的WordPress Codex文章强化你的安全,这是一种可以减少安全隐患的方法。移动您的配置文件通过混淆增加了额外的安全层,可以阻止许多攻击者。

 


以上就是作者为您整理的内容。更多讯息请关注武汉悟空云互联网有限公司

[声明]本网整理的媒体稿件是为了分享更多的讯息。此类稿件不代表本网立场,本网不承担此类稿件侵权行为的连带责任。故此,如果您发现本网站的某些内容侵犯了您的版权,请把您的相关内容发至此邮箱【wukongclouds@163.com】,我们在确认后,会立即删除,保证您的版权。