wordpress 是一款开源软件,所有人都可以拿来建站,同样的所有人也可以拿来研究这个软件的漏洞,或者直接暴力破解。作为网站所有者,我们要从最开始就把自己的wordpress保护起来:
1、首先检查是否存在安全隐患,通过各大主流平台提供的检测工具,不定时的检测自己的网站是否存在漏洞,是否有安全隐患。
2、如果你不是高手,则尽可能的少用垃圾插件,那些评价3星以下的插件,意味着可能存在漏洞或者后门,慎重安装,原则上尽可能的使用代码来代替插件
3、保持wordpress为最新版本,注意,这不仅是指wordpress本身,同时还包括很多插件,以及你使用的主题,这样至少能保证官方已知的漏洞已经被修补。
4、使用复杂的用户名和密码,很多站长日IP已经有好几百了,用的帐号还是admin,甚至连密码也是admin,我们都知道你对admin情有独钟,但是这会让你辛苦建起来的网站瞬间被毁
5、善于利用.htaccess文件来保护wordpress,.htaccess文件是位于根目录下的配置文件,它可以帮我们实现很多功能,其中就有允许/阻止特定的用户或者目录的访问、禁止目录列表等功能,常见的安全配置有下面两种:
a、在.htaccess中,增加如下配置Allow from xx.xx.xx.xx/xx ,比如你只想让公网ip 123.123.123.0/24这个段的所有IP访问,可以Allow from 123.123.123.0/24 ,如果你只想让 123.123.123.123这一个IP访问,则为:Allow from 123.123.123.123/32
b、关闭目录列表共享查看功能,这个很重要,很多人容易忽视,这个意思是你输入你的 网址+目录,例如:http://diysifangcai.com/wp-content/plugins这个连接,则会列出当前目录下所有的插件文件夹,网站目录结构暴露,这当然很危险了,所以需要在.htaccess中添加Options -Indexes即可搞定
6、限制登陆次数,通过个插件可以实现登陆次数限制,比如Login LockDown、Limit Login Attempts等,通过启用配置插件后登陆错误超过一定次数,则IP会加入黑名单禁止登陆,这样就可以避免暴力破解
7、如果站点使用的是自带操作系统的服务器、虚拟服务器等,则需要进一步对操作系统进行安全加固,详细的加固方法参考官方加固文档
8、安装安全防护插件来保护你的wordpress,常见的插件有Acunetix WP Security、Wordpress Security Scan等来进一步加固你的wordpress
以上几种方法可以让你进一步加固自己的wordpress,做好安全加固的同时,也要养成定时备份站点的习惯,现在很多插件可以实现自动备份,有些插件支持直接备份到云空间,比如百度云空间。
京公网安备 11010802041100号