教你15招提高wordpress网站的安全性

1、不要再网络上随便下载汉化/破解的主题或插件

哪有那么多免费的“午餐“,你在“享受”便利的同时也在给自己带来麻烦,黑产从业者会把木马/后门植入主题/插件从而利用你的主机去DDoS别人的网站,或者获取你的数据

2、不要使用弱口令管理员密码,使用安全性更高的管理员帐号

什么112233、123456、admin、1314521类似的简直和没有密码一样。最起码要大小写字母加数字不少于8位;避免使用“admin”作为管理员账号。

3、尽量修改默认登录入口

wordPress默认登录地址为 /wp-admin 和 /wp-login.php,改成其他的目录降低密码被爆破的可能性。安装 WPS Hide Login 插件,可以禁止 /wp-admin 和 /wp-login.php 访问,并把登录入口修改成自定义URL。

4、限制访问文件和目录

如果文件和目录的访问权限不够安全,这些文件可能会被黑客访问并用于破坏你的网站。建议将 wp-config 文件的权限设为 600,其它文件的权限设为 644,目录的权限设为 755

5、关闭目录浏览

有的主机环境默认没有关闭目录浏览,这样会带来很多安全隐患

6、禁止执行 wp-includes 目录中的 PHP 脚本

wp-includes 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站

7、禁止执行 wp-content/uploads 目录中的 PHP 脚本

wp-content/uploads 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站

8、关闭XML-RPC

XML-RPC是WordPress向外暴露的调用,Pingback和Trackback功能依赖这组调用,但会被黑客程序拿来来做蛮力攻击或者DDos。安装Disable XML-RPC插件,可彻底关闭XML-RPC。普通网站Pingback和Trackback功能意义不大,所以关掉XML-RPC也没有关系,除非你确定它需要打开。

9、更改默认的数据库表前缀

在所有 WordPress 安装实例上的 WordPress 数据库表都具有相同的标准名称。当标准的 wp_ 前缀用于数据库表名时,整个 WordPress 数据库结构是透明的,使得恶意脚本很容易从其中获取任何数据。此安全措施会将数据库表名称前缀更改为与默认的 wp_ 前缀不同的内容

10、养成备份的好习惯

有备无患,备份可以让数据丢失/损坏后即使恢复,不受损失。

11、保持插件、模板、WordPress是最新的

其实还有很多方面,在这里就不一一列举,上面这些做好就足够应对大多数的场景了

12、用靠谱主机

永远不用“免费”主机,这种服务商自己就是半个黑客。

用具备安全措施的主机,没钱就用基本款,对普通网站也够,如国外的 Fastcomet,SiteGround,有钱的大户就用全托主机如国外的WPEngine。

13、过滤垃圾评论

多数垃圾评论的目的并非打广告这么简单,而是把评论内容写得像广告,实际嵌入了恶意代码进行XSS攻击,这样的评论如果流入正常用户的浏览器,就有可能带来危害,如果是权限较高的用户,网站就可能被渗透。装好WordPress立即打开Akismet插件。审核用户评论,在设置->讨论中可以配置。

14、强制用户使用https协议

后台登录输入的用户名密码不应明文传输,配置web服务器,打开SSL证书。

15、关闭文件编辑

WordPress默认允许管理员帐号修改主题或插件源文件,一旦管理员帐号被渗透,理论上黑客可以通过这个功能修改这些文件,执行任何他想执行的代码,比如注入木马,留后门。彻底关闭这个功能,通过在wp-config.php中加入:

define('DISALLOW_FILE_EDIT', true);

总结

WordPress安全最重要的事,一是保持自动更新,二是使用安全插件定期扫描,三是备份。做到这三点,基本可保网站不被渗透。剩下的措施可以根据网站情况决定是否配置。

免责申明:
1. 本站所有教程、文章或资源分享目的仅供大家学习和交流,可进群讨论!
2. 如有无法查看或链接失效,烦请报告联系管理员处理!
3. 本站无法保证资源或其时效性,恕不接受任何提问。
4. 欢迎大家帮助本站出力,赞助费用仅维持本站的日常运营所需!故不接受任何形式的退款。
5. 搜5G网无法保证文章教程或资源的完善与安全,请自行检测解决。
6. 在本站下载的源码严禁杜绝任何形式的正式商业用途,请去程序官方购买。
本站资源素材仅提供学习的平台,所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,并不承担任何法律责任,如果对您的版权或者利益造成损害,请提供相应的资质证明,我们将于3个工作日内予以删除。本作品采用BY-NC-SA 4.0 《国际知识共享署名许可协议4.0》 进行许可 。
本站所有图片素材均享自由版权下创作共用CC0协议。
搜5G资源网,5G资源网 » 教你15招提高wordpress网站的安全性

搜5G网永久会员限时优惠中,不限下载,免费更新

立即查看 了解详情