WordPress安全防护指南

WordPress是非常流行的开源博客系统、CMS系统,全球许多网站都是基于WordPress搭建。尽管WordPress内核非常安全,有全球数百名专业开发人员的定期审计,但由于其流行度和庞大的主题、插件生态,WordPress仍不时爆出严重安全漏洞。维护网站安全是每一位站长的责任,本文给出大方向的WordPress安全防护指南。

使用最新版WordPress

自从5.0开始,WordPress默认会自动安装次要更新,但对于主要版本,仍需用户手动操作更新。出了WordPress内核,用户自助安装的主题和插件也需要手动更新,请将WordPress、主题和插件保持在最新版状态。

使用新版PHP

PHP是一门web开发的优秀编程语言,而WordPress使用PHP语言开发。PHP的广泛应用导致黑客对其漏洞十分感兴趣,因此请总是使用维护中的PHP版本,避免受到PHP层面的安全攻击。

使用安全主机

现在互联网上的Wordpress攻击已经高度自动化,再小的网站都是目标,主机公司更是大目标。如果主机商出现问题,其托管的站点将无可避免的受到波及。请使用不断监视可以网络活动、自动更新、自动备份和安全配置的主机商。

自动备份

备份是抵御网络攻击的第一道防线,能让站点受到攻击时迅速恢复网站数据。没有什么是100%安全的,因此请务必做好备份,以防万一。

使用SSL/HTTPS

后台登录输入的用户名密码不应明文传输,防止敏感信息被中间人截获。随着HTTPS的普及,WordPress网站启用SSL比以往任何时候都容易,许多托管主机商都提供免费的SSL证书,也可以使用 Let’s Encrypt提供的免费证书

关闭XML-RPC

XML-RPC是WordPress向外暴露的调用接口,Pingback和Trackback功能依赖这组调用,但会被黑客程序拿来来做蛮力攻击或者DDos。

普通网站Pingback和Trackback功能意义不大,可以安装Disable XML-RPC插件,可彻底关闭XML-RPC。

隐藏登录入口

WordPress默认登录地址为 /wp-admin 和 /wp-login.php,网上大量黑客程序以它们为渗透目标。可以安装 WPS Hide Login 插件,可以禁止 /wp-admin 和 /wp-login.php 访问,并把登录入口修改成自定义URL。

使用强密码

避免使用“admin”作为管理员账号,这是黑客程序必试的账号。更改管理员账号能让猜密码的黑客程序头痛指数增加N倍,理论上猜账号和猜密码一样难。

用安全性更高的密码,不复用密码。

限制密码尝试次数,安装登陆重试次数限制插件Login LockDown

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Scroll Up