教你15招提高wordpress网站的安全性

作者 : 小优 本文共1602个字,预计阅读时间需要5分钟 发布时间: 2021-01-16 共629人阅读

1、不要再网络上随便下载汉化/破解的主题或插件

哪有那么多免费的“午餐“,你在“享受”便利的同时也在给自己带来麻烦,黑产从业者会把木马/后门植入主题/插件从而利用你的主机去DDoS别人的网站,或者获取你的数据

2、不要使用弱口令管理员密码,使用安全性更高的管理员帐号

什么112233、123456、admin、1314521类似的简直和没有密码一样。最起码要大小写字母加数字不少于8位;避免使用“admin”作为管理员账号。

3、尽量修改默认登录入口

wordPress默认登录地址为 /wp-admin 和 /wp-login.php,改成其他的目录降低密码被爆破的可能性。安装 WPS Hide Login 插件,可以禁止 /wp-admin 和 /wp-login.php 访问,并把登录入口修改成自定义URL。

4、限制访问文件和目录

如果文件和目录的访问权限不够安全,这些文件可能会被黑客访问并用于破坏你的网站。建议将 wp-config 文件的权限设为 600,其它文件的权限设为 644,目录的权限设为 755

5、关闭目录浏览

有的主机环境默认没有关闭目录浏览,这样会带来很多安全隐患

6、禁止执行 wp-includes 目录中的 PHP 脚本

wp-includes 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站

7、禁止执行 wp-content/uploads 目录中的 PHP 脚本

wp-content/uploads 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站

8、关闭XML-RPC

XML-RPC是WordPress向外暴露的调用,Pingback和Trackback功能依赖这组调用,但会被黑客程序拿来来做蛮力攻击或者DDos。安装Disable XML-RPC插件,可彻底关闭XML-RPC。普通网站Pingback和Trackback功能意义不大,所以关掉XML-RPC也没有关系,除非你确定它需要打开。

9、更改默认的数据库表前缀

在所有 WordPress 安装实例上的 WordPress 数据库表都具有相同的标准名称。当标准的 wp_ 前缀用于数据库表名时,整个 WordPress 数据库结构是透明的,使得恶意脚本很容易从其中获取任何数据。此安全措施会将数据库表名称前缀更改为与默认的 wp_ 前缀不同的内容

10、养成备份的好习惯

有备无患,备份可以让数据丢失/损坏后即使恢复,不受损失。

11、保持插件、模板、WordPress是最新的

其实还有很多方面,在这里就不一一列举,上面这些做好就足够应对大多数的场景了

12、用靠谱主机

永远不用“免费”主机,这种服务商自己就是半个黑客。

用具备安全措施的主机,没钱就用基本款,对普通网站也够,如国外的 Fastcomet,SiteGround,有钱的大户就用全托主机如国外的WPEngine。

13、过滤垃圾评论

多数垃圾评论的目的并非打广告这么简单,而是把评论内容写得像广告,实际嵌入了恶意代码进行XSS攻击,这样的评论如果流入正常用户的浏览器,就有可能带来危害,如果是权限较高的用户,网站就可能被渗透。装好WordPress立即打开Akismet插件。审核用户评论,在设置->讨论中可以配置。

 

14、强制用户使用https协议

后台登录输入的用户名密码不应明文传输,配置web服务器,打开SSL证书。

 

15、关闭文件编辑

WordPress默认允许管理员帐号修改主题或插件源文件,一旦管理员帐号被渗透,理论上黑客可以通过这个功能修改这些文件,执行任何他想执行的代码,比如注入木马,留后门。彻底关闭这个功能,通过在wp-config.php中加入:

define('DISALLOW_FILE_EDIT', true);

总结

WordPress安全最重要的事,一是保持自动更新,二是使用安全插件定期扫描,三是备份。做到这三点,基本可保网站不被渗透。剩下的措施可以根据网站情况决定是否配置。

资源下载说明

请使用百度网盘下载资源,请不要在线解压!

1.人民币与U币汇率为1比10,即1元=10U币.有任何疑问请联系客服处理!
2.请记住本站永久网址发布页:http://uuscw.com
3.本站资源大多存储在云盘,如发现链接失效请在下方评论留言,作者看到后会第一时间更新补链。
4.关于解压密码错误或者资源损坏,请查看解压教程:[必看]关于资源教程及常见问题
5.本站大部分资源解压密码均为: uuscw.com 如密码有误,请查看原帖的资源说明!

免责申明:
1.如果服务器暂不能下载请稍后重试!总是不能下载,请联系客服,谢谢合作!
2.本站所有资源(包括写真、模板、素材、软件、字体等)仅供学习与参考,请勿用于商业用途。
3.本站所有素材来源于用户上传和网络,如有侵权请请联系客服处理!
4.本站资源售价只是赞助,收取费用仅维持本站的日常运营所需。
博创云素材 » 教你15招提高wordpress网站的安全性

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
提示下载完但解压或打开不了?
最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或 联络我们。

发表评论