WordPress是一个很棒的发布平台,但它不能免疫所有潜在的攻击黑客,垃圾邮件发送者,以及其他企图破坏您的WordPress安装安全的恶意攻击者。
WordPress是开源的,这意味着恶意攻击成功的机会更高,因为项目的源代码可以很容易地获得和研究漏洞。然而,好消息是,你可以采取一些措施来为你的WordPress站点增加一层额外的安全。
这篇文章突出了一些技巧和技巧你可以用它安全并锁定你的WordPress网站并加强防御攻击。
1.定期备份MySQL数据库
你应该经常备份你的网站文件和数据库。您应该通过将MySQL数据导出为.sql文件存储在一个安全的位置来进行常规的MySQL数据库备份。
我建议至少每天备份你的数据库;即使你不经常更新你的网站,你也会一直收到用户的评论和跟踪。
但是手动备份很乏味,你可能会忘记它,或者不经常做。为了克服人们容易忘记或推迟无聊和重复的任务的倾向,你应该自动化这个过程.你可以使用插件称为WordPress数据库备份自动备份。
您可以选择随时进行备份,它为您提供了以下选项每小时,每天,每周,每月间隔。这将使您处于安全的一方,因为如果您的站点的数据库受到损害,您将有一个备份来恢复它。还有其他工具可以用于数据库备份自动化,所以请探索您的选项,并选择适合您的方法。
2.采取额外措施保护您的wp-admin文件夹
wp-admin文件夹是一个非常重要的文件夹,因为它包含了所有处理管理的文件。如果里面的文件安全受到威胁,不好的事情不仅会发生在你的WordPress安装上,还会发生在你域名上的其他信息上。您有几个选项可以确保这个文件夹被严密锁定。
我们将在这里讨论其中的一些。减少wp-admin文件夹安全漏洞风险的一个有效方法是限制可以通过htaccess文件(对于Apache web服务器)。如果你运行的是Apache之外的其他类型的web服务器(比如IIS,它通常自带一个很好的GUI),你可能需要研究一下如何在你的wp-admin文件夹上执行类似的权限指令。
首先,在您最喜欢的文本或源代码编辑器中创建一个新的空白文档(是的,即使您使用像Windows Notepad这样的简单文本编辑器,这也可以工作)。保存文件名为:. htaccess.您可以将类似于下面代码块的指令放在.htaccess文件中(修改自一篇关于BlogSecurity网站,叫做“用htaccess加固WordPress”)。
命令拒绝,允许允许从123.456.78 #您的IP地址拒绝从所有
保存该文件并将其放在wp-admin文件夹中。
这个选项很好,确实加强了您的wp-admin文件夹的安全性,但如果您在不同的IP地址的多个位置工作,就不方便了。
另一种为WordPress管理文件添加额外安全层的方法是WordPress安全插件被称为AskApachePasswordProtect.该插件为您提供了一些额外的安全特性,例如需要用户名和密码才能访问任何管理页面。它还会自动为您编写.htaccess文件(如果您不熟悉在Apache服务器上使用访问控制,这是非常好的)。
关于如何使用,请查看Apache站点上的文档认证、授权和访问控制查看如何锁定您的WP安装的其他文件夹,以及WordPress安装之外的其他位置。
3.不要公开显示你的WordPress版本号
许多WordPress开发人员经常在源代码中显示WordPress版本。但是公开这些信息使得攻击者很容易利用特定WordPress版本上的已知漏洞。完全删除此代码更安全。
这样做,在你的主题header。php文件,寻找类似于以下代码块的代码,然后删除它:
< meta name =“发电机”内容= " WordPress<?php bloginfo(“版本”);? >" / > < !请把这个留给统计——>
如果您找不到上面的代码,但仍然可以在站点的源代码中看到元生成器标记,请尝试在
标记中查找PHP函数调用。<?phpwp_head ();? >
研究这个函数为您输出的内容,并将它们硬编码到您的主题文件中,因为这些值不太可能更改。默认情况下,这个函数在HTML源代码中输出如下代码块:
只需硬编码前两行(如果您甚至需要他们)。由于这种有限用途的函数调用,这还有减少服务器开销的额外好处。
4.保持你的WordPress安装是最新的
因为WordPress是一个开源项目,所以更容易在源代码中找到漏洞。以确保你在使用最安全的WordPress版本,在稳定版本启动时,尽快更新您的安装。不更新是在冒不必要的风险,所以如果你安装的WordPress至少有两个版本,今天更新的!
它实际上需要5分钟根据WordPress。
5.不要使用(或者更好的是,删除)默认的“admin”用户名
当您安装WordPress时,它会自动生成一个具有管理员级权限的用户,称为管理.强烈建议您不要使用此用户名,这样黑客就更难猜到您的用户名和密码蛮力攻击.即使您降低了它的权限角色,它仍然是一个更好的主意完全删除这个用户。
要删除admin用户,首先,通过你的WordPress管理面板创建一个具有Administrator角色的新用户(命名为一个不容易猜到的名字)。然后,使用新创建的用户删除admin用户。这种技术使您不必通过MySQL查询(或像phpMyAdmin这样的MySQL GUI)来执行此操作。
在暴力攻击的主题中,您还应考虑安装登录封锁插件,它记录了每次失败的WordPress登录尝试的IP地址和时间戳。如果在短时间内检测到从某个IP地址登录失败的次数超过一定数量,该IP地址将被阻止,不再允许从该IP地址登录。您可以根据您的首选项配置此阈值。
6.加密与wordpress相关的cookie
另一种确保WordPress安装安全的方法是对存储在WordPress cookie中的信息进行加密。这可以很容易地使用WordPress密钥生成工具.从那里获取随机代码,并将其粘贴到您的wp-config.php文件。
这使得你很难通过以下方式访问你的WordPress管理面板饼干劫持.
7.使用强密码
使用复杂的密码可能是提高WordPress安装安全性的最简单的预防措施之一。网上有很多工具可以用来验证你的密码的强度。例如,微软在其网站上有一个免费的基于网络的工具,叫做密码检查器。
WordPress也有一个内置的密码强度验证器:please使用它。看看这个很好的指南选择强密码《博客先驱报》
8.从默认设置更改WordPress数据库表前缀
默认情况下,WordPress使用wp_作为MySQL数据库表的表前缀。为了增加一点针对SQL注入尝试的安全性,请将此默认值更改为其他值。WordPress建议您只使用数字和字母作为前缀。
我建议把它改成只对你有意义的东西w0rdprss_或yourblogname_.要更改前缀,请转到您的wp-config.php保存并更改表前缀值。
美元table_prefix = 'wp_”;
注意,如果您之前已经安装了WordPress,则必须将数据库表名更改为在wp-config.php中指定的前缀,否则站点将停止工作。
9.在WordPress文件上使用正确的文件权限
您需要确保服务器上的所有文件都有正确的访问规则。建议不要允许对任何公开可访问的文件进行写访问,但是一些WordPress插件要求某些文件和文件夹是可写的。配置您的安装,使您只给您的所有文件最低要求许可。
通常,CHMOD值为644(这意味着文件是只读的)就足够了。如果必须将一个文件的CHMOD值设置为777(这意味着任何人都可以读、写和执行它),那么您应该感到担忧。判断你的网站是否有风险的方法是使用一个叫做WP-Scan.
这个插件扫描你的WordPress博客中与文件权限相关的弱点(以及其他东西)。
10.限制搜索引擎蜘蛛可以索引的内容
您的整个站点不需要被搜索引擎蜘蛛索引(众所周知,搜索引擎可以让攻击者通过高级搜索语法轻松找到脆弱和敏感的文件)。实现这一点的一种方法是限制搜索引擎爬行器只对域上的相关文件和文件夹进行索引。在下面的示例中,您告诉搜索引擎不要索引以前缀开头的文件夹中的任何内容/ wp -(如wp-login.php).
不允许:/wp - *
你应该阅读AskApache.com上关于WordPress robots.txt的教程来更详细地了解这个主题。
11.使用安全连接访问WordPress管理员页面
您可以通过加密的SSL连接登录到WordPress管理员面板。首先,您需要查看您的web主机服务是否允许您访问SSL证书。大多数情况下,你不会,但它们足够便宜,值得花几美元。
一旦有了SSL连接,就可以在上面运行会话https://而不是http://通过在管理相关的页面和函数上强制SSL连接。你可以进入你的wp-config文件并插入以下代码:
定义(“FORCE_SSL_ADMIN',真正的);
12.锁定对您的wp-config.php文件的世界访问权限
正如您可以从上面讨论的提示中看到的wp-config.php文件是WordPress安装中不可或缺的一部分。它包含敏感数据,例如您的数据库用户名和密码(由WordPress用于创建到WordPress表的数据库连接)。你可以做的一件事是通过.htaccess指令(针对Apache服务器)阻止对wp-config文件的全球访问。
您可以使用下面的代码块作为示例。
<文件wp-config.php>命令拒绝,允许拒绝所有
您可以做的另一件事是将您的wp-config.php文件移动到默认安装位置上方的目录中。这可能看起来很奇怪,但是根据WordPress官方抄本的文章加强您的安全,这是一种可以减少安全隐患的方法。移动配置文件通过混淆增加了额外的安全层,可以阻止许多攻击者。
有更多的建议可以分享吗?
如果你有更多的提示和WordPress技巧来保护它-请在评论中与我们分享。
相关内容
- 10个WordPress插件保证节省你的时间
- 使用XAMPP进行本地WordPress主题开发
- 40个优秀的免费WordPress主题
