全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworksBGVM服务器IP归属甄别会员请立即修改密码Sharktech防护
查看: 3371|回复: 1

如何让你的WordPress更安全?

[复制链接]
发表于 2020-11-24 11:57:47 | 显示全部楼层 |阅读模式
本帖最后由 iangxun 于 2020-11-24 11:57 编辑

我有过同时托管2000个WordPress网站的经历,WordPress安全相关的问题解决过不少次,这篇文章就来说一下我们平常使用WordPress的时候,应该注意那些安全问题、以及如果出现安全问题应该如何补救

1、不要再网络上随便下载汉化/破解的主题或插件

哪有那么多免费的“午餐“,你在“享受”便利的同时也在给自己带来麻烦,黑产从业者会把木马/后门植入主题/插件从而利用你的主机去DDoS别人的网站,或者获取你的数据

2、不要使用弱口令管理员密码

什么112233、123456、admin、1314521类似的简直和没有密码一样。最起码要大小写字母加数字不少于8位

3、尽量修改默认的后台登录地址

WordPress默认的后台地址是域名/wp-admin,改成其他的目录降低密码被爆破的可能性

4、限制访问文件和目录

如果文件和目录的访问权限不够安全,这些文件可能会被黑客访问并用于破坏你的网站。建议将 wp-config 文件的权限设为 600,其它文件的权限设为 644,目录的权限设为 7555、关闭目录浏览有的主机环境默认没有关闭目录浏览,这样会带来很多安全隐患

6、禁止执行 wp-includes 目录中的 PHP 脚本

wp-includes 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站

7、禁止执行 wp-content/uploads 目录中的 PHP 脚本

wp-content/uploads 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站

8、关闭 pingbacks

通过 Pingbacks,当其它的 WordPress 网站链接到您的帖子时,会允许这些站点自动在您的帖子下留言。Pingbacks 可用于在您的网站上启动 DDoS 攻击,造成性能负载

9、更改默认的数据库表前缀

在所有 WordPress 安装实例上的 WordPress 数据库表都具有相同的标准名称。当标准的 wp_ 前缀用于数据库表名时,整个 WordPress 数据库结构是透明的,使得恶意脚本很容易从其中获取任何数据。此安全措施会将数据库表名称前缀更改为与默认的 wp_ 前缀不同的内容

10、养成备份的好习惯

有备无患,备份可以让数据丢失/损坏后即使恢复,不受损失。

11、保持插件、模板、WordPress是最新的

其实还有很多方面,在这里就不一一列举,上面这些做好就足够应对大多数的场景了。

建议不要启用bot 保护,可能会营销搜索引擎蜘蛛访问。

如果你的WordPress已经中了木马怎么办?
备份数据库
备份wp-content/uploads目录下的文件(一般这个目录下都是自己上传的图片或者其他静态文件,如果有PHP文件建议删除,很有可能是木马)
备份wp-config.php配置文件
删除所有文件
恢复备份文件和wp-content/uploads
上传新的WordPress程序
 楼主| 发表于 2020-11-24 11:59:08 | 显示全部楼层
对了,上面这些在这里
(有永久免费版)支持一键设定。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|全球主机交流论坛

GMT+8, 2021-3-8 20:54 , Processed in 2.223869 second(s), 10 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表