网站安全防护-以WordPress为例

iceorr

问题出在哪了？

对于一个像 WordPress 一样复杂的 CMS，用户的程序是在不同的服务器上运行的，第三方插件，第三方主题也可能会存在一些缺陷。当破坏者通过某些缺陷进入了你的网站的话，你就有麻烦了。

如果你运行的是一个易受攻击的 WordPress，黑客可以进行以下几种破坏：

1、在你的网站上执行任意代码。

2、注入脚本，HTML代码或者是直接编辑你的帖子。

3、导致无法访问（使网站崩溃，CPU 和带宽过载）。

4、注入或者执行 SQL 命令。

5、获取重要数据，例如你的密码。

6、把用户带到另外的网站，可能还是钓鱼网站。

7、跨站伪造记录(CSRF）。

8、在你的网站上创建一个隐藏的帖子，这个帖子只对搜索引擎可见，而且是导向到黑客的站点的。

9、植入后门。这样就算你修复了那些缺陷黑客还是可以进入你的网站。

10、在你的 PHP 核心代码和主题文件里面植入一段加密代码。

被黑的主要原因

一个很重要的原因就是你用的是过时的东西，比如 WordPress 核心程序，插件，主题。这就是为什么现在有那么多的相关服务来把升级变得更简单。其中 WP remote 和 InfitniteWP 是两个免费又好用的服务。

还有一些其他常见的原因：

1、在下载了没有来源的主题，通常这些主题都是有后门的。

2、从一个感染了病毒的电脑进入你的 WordPress 网站。

3、管理员帐号默认admin，并且设置的密码过于简单。往往把后台默认管理员admin修改成别的，然后密码强度设置高点，就比较安全了。

在哪里获得最新的漏洞信息

在 WordPress 3.X，已知的漏洞已经有30个，如果你的 WordPress 还是更旧的版本，漏洞就会更加多。这里有一个 Secunia 提供的所有已知 WordPress 漏洞的列表，或者你可以直接去关注一下 WordPress 的开发进展，订阅开发团队的博客 WordPress development blog。

给你的博客上把锁

1、定时备份博客。这样就能确保你在任何时候都可以重建网站。

2、确保你的 WordPress 核心系统是最新的。

3、确保插件和主题是最新的，不要用不安全的插件。

4、不要使用未知来源的主题，通常都是有后门的，特别是那些放到免费网盘里面的破解主题。

5、用一个没有其他站点使用过的高强度密码。

6、确保你用来登录 WordPress 站点的电脑是没有病毒的。

7、监控服务器和用户数据，调查可疑的行为。

8、使用空白的 index.html 文件来禁止其他用户访问主题和插件目录。

9、在你的 meta 描述里面把你的 WordPress 版本好去掉。

10、通过 htaccess 文件来保护 WordPress 的 wp-admin 文件夹。

还有一些很好用的插件，我个人推荐以下几个：

Wordfence 提供免费的防火墙，病毒扫描，和流量监控。

Bulletproof 针对 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防护。

Better WordPress security 提供傻瓜式的操作。

Lockerpress 自定义登录 URL，更换管理员，还有一些自定义过滤的选项。

希望本文可以帮到各位主机站长！