最后更新时间为 2018年11月11日
WordPress是当今CMS和博客平台的先锋,自然是众黑客们常攻击的对象,那么WordPress网站安全则成为站长们最为关心的一个环节。配置一个WP网站非常简单,很快就能运行起来,即使如此,我们也不能小视其安全问题。否则,所有的网站信息 – 可能是贵公司的信息也可能是您网站访客的信息,都将存有被盗取的风险。所以,下面咱们一起来探讨一下具体采取哪些措施来有效地防御WordPress网站的安全问题,还您的WordPress网站一个安全、干净的运行环境。
1.常规更新基础保障WordPress站点安全
首先最为重要的是保持更新您所有的文件和WordPress插件。WP和各种插件会经常发布新的安全补丁,只有保证WP和插件处于最新版本状态才能严防站点之门将网络犯罪拒之门外。
不管这些漏洞是小是大或严重与否,都要谨慎对待,确保安装每一个最新更新,全面扫除,因为任何一个WordPress漏洞都可能造成安全隐患,切不可冒险。
2. 严控Admin面板访问给WordPress站点安全加锁
WordPress admin面板是您对站点进行所有更改并执行操作的区域,所以限制对admin面板的访问是非常重要的,我们一般的做法是仅授予需要该面板的用户以访问权限。如果您没有在站点上注册,网站访客则不需要访问 /wp-login/ 或 /wp-admin/。
接下来是要获取您的home IP,该IP是您可以在很多诸如“whatismyip.com”等的站点上看到的IP。添加文本行到WordPress admin中的 /.htaccess/ 文件。然后,您则可以使用你的home IP地址替换当前的地址:
1. <Files wp-login.php> 2. order deny, allow 3. Deny from all 4. Allow from xx.xxx.xxx.xxx 5. </Files>
若允许从多个地址或多台电脑登录,只需在下面的文本行中另外添加“Allow from”说明。然后插入其它地址。您是否经常更换地址并使用Wi-Fi网络?如果是这样,可能需要不限IP地址,那我们就必须要限制登录尝试次数才能保障安全。
限制登录尝试次数可以防止有人通过多次登录尝试来猜测您的密码。具体怎么做呢?首先,找到“WP Limit login attempts”插件,然后选择允许错误密码输入的次数,一旦超过此登录尝试次数,则被锁定无法再尝试登录。以此来减少黑客对您的WP网站攻击的风险。
3. 修改默认的Admin用户名把关WordPress站点安全
很显然,每个用户都应更改默认的WP用户名,但是却往往被很多用户所忽视,而从来都没改过默认的用户名。这样就给黑客们留有可趁之机,直接使用“admin”用户名登录,那么,他们只需要做的就是使用某种软件一遍一遍地猜密码。对于黑客们来说,这种方式屡试不爽。所以一定不能犯此低级错误,要立即更改用户名。
上面的道理同样适用于密码设置。很多人使用非常简单的密码,输入首先跳入脑子的数字字符就觉得万事大吉。其实这样很危险。因为不管您使用的密码多么独特,越简单的密码跟大多数人使用的密码相似的可能性就越高。所以,在此建议,设置密码时多花点时间和功夫,不然就有可能方便了黑客们。
一般黑客们都会猜测我们常用什么样的密码,如果我们设置密码时很随意,他们会用自己的方式很快破解我们的密码。我们不妨想出一个对我们来说比较特别但又好记的句子,使用该句子里每个词的首字母,然后往里添加数字和符号,这样就可以设置一个既复杂又易记的密码。
5. 清除恶意软件和病毒清扫WordPress站点威胁
如果您的电脑不安全,那么使用它来登录您的WordPress网站,您的网站自然也不可能安全。若您的电脑上有恶意软件或病毒,在您访问您的站点时,黑客能够很容易获取您的登录信息,接下来他们很快就能自己登录您的站点,绕开您所设置的所有安全措施。
也许您会觉得最大的威胁来自在线和直接的攻击,但是其实很多黑客会创建智能的恶意软件,这种软件能够在您的电脑上驻留很久。他们会盗取您的重要信息,例如登录信息等。这就是为何要安装一个好的杀毒软件的原因。我们平时要做的就是常更新杀毒软件,定期扫描电脑,以确保系统是干净的。
6. 使用Plesk的WordPress工具包执行安全检查全面扫除安全隐患
Plesk的WordPress工具包是一个管理界面,通过该界面我们可以轻松地使用Plesk管理、配置和安装WordPress。如果您在系统上安装了Plesk面板则会有该工具包,非常方便。您可在此轻松地使用该工具包执行WordPress网站安全检查。
WordPress内容文件夹
在 /WP-content/ 文件夹中有很多不安全的PHP文件,如果有人误用,就有可能会损坏WordPress站点。安装WordPress后,您就可以直接从该目录执行PHP文件,而该安全检查将会核查PHP文件的执行是否被禁,是否可以安全执行。
请谨记 /web.config/ 或 /.htaccess/ 文件中的任何自定义指令都可能会覆盖设置安全措施。此外,当您保护 /WP-content/ 文件夹的安全时某些WordPress插件可能会停止运行。
配置文件
在WP-config.php 文件内有很多敏感信息,包括数据库访问信息。因此在安装WordPress后,需执行WP-config.php文件。因为如果web服务器PHP文件处理关闭了,任何实力较强的黑客都可以访问您的WP-config.php文件内容。
而通过该安全检查,则可以阻止对该文件任何不必要的访问。另外, /web.config/ 或 /.htaccess/ 也都可以覆盖该安全措施。
目录浏览权限
如果启用了目录浏览,则给黑客们留有获取重要网站信息的机会。这些信息包括,网站创建方式、装有哪些插件,等等。在Plesk中,默认禁用目录浏览。而通过安全检查,还可以确认是否禁用了目录浏览。
数据库前缀
每个WordPress安装实例都会使用相同的数据库表命名法。如果您在数据库表名称中只使用标准的 /WP_/ 前缀,数据库结构就无法保密。也就是说,任何人都将有可能从该数据库获取信息。
而安全检查会将所有的数据库表默认的 /WP_/ 前缀改掉。然后会停用各个插件并启用维护模式。在更改完配置文件和数据库内的前缀后,在最终关闭维护模式之前才会重新激活各个插件并刷新永久链接结构。
文件和目录的权限
如果您的权限与安全策略不符,那么所有不符的文件都将很容易受到安全威胁。安装完成后,您的目录和文件可能有不同的权限。使用WordPress网站安全检查,正好可以确认权限是否正确设置。应该有755个目录,600用于WP-config.php而644用于所有其它文件。
版本信息
所有WordPress版本都有不同的安全漏洞,这就是为什么要避免显示您所使用的版本的原因。黑客们很有可能知道你所使用版本本身所存在的缺陷,当然,他们也可以在 /redme.html/ 文件中找到您的WordPress 版本以及页面元数据。
通过执行WordPress网站安全检查,您可以查看所有的/readme.html/ 文件是否为空。另外,还可以看到您所有的主题是否有一个带有文本行:Remove_action (/wp_head/ , /wp_generator/)的 /functions.php/ 文件。
如果需要,您可以更改安全设置并查看您网站的安全状态。首先,进入 网站与域名 > WordPress找到 S 栏,然后执行下面的步骤:
点击 “检查安全” 查看您所有的WordPress安装实例是否安全。如果您想要保证单个安全实例的安全,请找到S栏,点击该安装实例旁的图标。如果您想要检查多个安装实例,请选定它们的对应复选框,点击检查安全性按钮。最后,选择您想要执行的各个安全提升,然后点击安全按钮即可。
以上各步骤能够最大程度地保障您的WordPress网站的安全,虽说不可能保证站点100%安全,但是可以最大限度降低别人入侵您的站点盗取信息以在线进行不法不利操作的几率。