如何让你的WordPress更安全?
本帖最后由 iangxun 于 2020-11-24 11:57 编辑我有过同时托管2000个WordPress网站的经历,WordPress安全相关的问题解决过不少次,这篇文章就来说一下我们平常使用WordPress的时候,应该注意那些安全问题、以及如果出现安全问题应该如何补救
1、不要再网络上随便下载汉化/破解的主题或插件
哪有那么多免费的“午餐“,你在“享受”便利的同时也在给自己带来麻烦,黑产从业者会把木马/后门植入主题/插件从而利用你的主机去DDoS别人的网站,或者获取你的数据
2、不要使用弱口令管理员密码
什么112233、123456、admin、1314521类似的简直和没有密码一样。最起码要大小写字母加数字不少于8位
3、尽量修改默认的后台登录地址
WordPress默认的后台地址是域名/wp-admin,改成其他的目录降低密码被爆破的可能性
4、限制访问文件和目录
如果文件和目录的访问权限不够安全,这些文件可能会被黑客访问并用于破坏你的网站。建议将 wp-config 文件的权限设为 600,其它文件的权限设为 644,目录的权限设为 7555、关闭目录浏览有的主机环境默认没有关闭目录浏览,这样会带来很多安全隐患
6、禁止执行 wp-includes 目录中的 PHP 脚本
wp-includes 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站
7、禁止执行 wp-content/uploads 目录中的 PHP 脚本
wp-content/uploads 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站
8、关闭 pingbacks
通过 Pingbacks,当其它的 WordPress 网站链接到您的帖子时,会允许这些站点自动在您的帖子下留言。Pingbacks 可用于在您的网站上启动 DDoS 攻击,造成性能负载
9、更改默认的数据库表前缀
在所有 WordPress 安装实例上的 WordPress 数据库表都具有相同的标准名称。当标准的 wp_ 前缀用于数据库表名时,整个 WordPress 数据库结构是透明的,使得恶意脚本很容易从其中获取任何数据。此安全措施会将数据库表名称前缀更改为与默认的 wp_ 前缀不同的内容
10、养成备份的好习惯
有备无患,备份可以让数据丢失/损坏后即使恢复,不受损失。
11、保持插件、模板、WordPress是最新的
其实还有很多方面,在这里就不一一列举,上面这些做好就足够应对大多数的场景了。
建议不要启用bot 保护,可能会营销搜索引擎蜘蛛访问。
https://pic3.zhimg.com/80/v2-ee7717525217d1bae2d4b4a5a2c6de82_720w.jpg
如果你的WordPress已经中了木马怎么办?
备份数据库
备份wp-content/uploads目录下的文件(一般这个目录下都是自己上传的图片或者其他静态文件,如果有PHP文件建议删除,很有可能是木马)
备份wp-config.php配置文件
删除所有文件
恢复备份文件和wp-content/uploads
上传新的WordPress程序 对了,上面这些在这里
(有永久免费版)支持一键设定。 这个截图的软件是叫什么名字? :lol:lol:lol:lol:lol:lol:lol:lol:lol:lol:lol:lol bd
页:
[1]