随着使用WordPress创建网站的人越来越多,对于安全方面也越来越受到大家的重视,虽然WorrdParess目前在安全方面做得已经足够到位,但是因为WordPress是开源的,曾经曝出过大量漏洞,并且遭受了严重的黑客攻击。 这就是为什么攻击者和垃圾邮件会不断对其进行检查的原因。如果我们采取必要的措施,我们就不必担心安全性。
在这篇文章中,我分享关于WordPress的一些基本防范措施。确保我们网站安全,避免攻击,未经授权访问,注入恶意代码和其他安全风险。
使用强力的密码
使用强密码并定期替换它是基本和逻辑安全措施之一。这一点都不困难,因为可以使用大小写字母,数字和特殊字符组合出强密码。
避免使用来历不明的主体和插件
根据WordPress的说法,最常见的安全风险是由主题和插件引起的。因为任何人都可以创建主题,共享或分发主题,同样还有插件,这可能是灾难性的。而且,并非所有人都使用相同版本的WordPress,我们的服务器也不使用与开发人员相同PHP或MySQL版本,这就是有时会发生各种冲突的原因。建议仅安装专业开发人员的主题或插件,以确保正确的支持和更新。对于插件,我们应该只安装严格必要的插件,因为它们总是会影响网站的性能和速度。其实大多数插件执行的功能,我们只需几行代码就可以手动实现。
对服务器文件和文件夹使用适当的权限
确保我们网站安全的另一措施是验证文件和目录是否具有必要的权限,如果您有访问权限,我们可以使用ftp客户端或通过终端控制台进行检查。按照官方给出的各项权限进行设置:
- 目录755或750
- 文件644或640
- wp-config.php需要权限444或440
- index.php需要权限666
切记永远不要将777权限分配给任何目录或文件。
在WordPress中创建密钥
WordPress允许生成一个秘密密钥,以增强访问密码的安全性。它由四个短语或字符组组成,这些短语或字符组被添加到我们用来验证自己身份的浏览器的cookie中。无需创建短语或记住它们,我们只需要使用与加载管理员面板相同的浏览器访问以下WordPress 密钥生成器。
我们复制随机生成的字符并将其粘贴到文件“ wp-config.php”中,然后通过ftp将其上传到服务器。
万一您无法使用其他浏览器访问,我们只需要生成一个新的密钥并替换它,即可始终通过ftp访问。
使用htaccess保护wp-config.php文件
WordPress的“ wp-config.php”文件是一个站点配置文件。mysql数据库用户名和密码以及其他重要参数之类的数据存储在其中。除了确保您具有必要的权限之外,WordPress还建议通过将以下说明添加到自动生成的根目录下的htaccess文件中来保护它。
order allow,deny
deny from all
</files>
用htaccess保护WP-Includes目录
wp-includes目录包含多个WordPress帮助文件,包括脚本,攻击者可以修改这些文件并造成危害。WordPress建议通过将以下说明添加到位于网站根目录htaccess文件中来对其进行保护。
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
用密码保护WP-Admin目录
wp-admin目录是最重要和最敏感的WordPress之一,建议添加双重密码验证系统。这样,即使他们设法通过蛮力破解了我们的主密码,也将无法访WordPress核心文件所在的目录。为此,我们必须在其中添加一个htaccess文件,以强制用户进行身份验证。所需的密码在名为“ .htpasswd”的文件中保持加密状态,该文件必须位于服务器的非公共文件中。
如何加密密码?
具有加密密码的htpasswd文件可以通过两种方式获得或创建:
1-使用在线生成器。
2-本地安装Apache的用户可以使用位于Apache-bin文件夹中的应用程序“htpasswd.exe”进行安装。
用以下几行创建一个htaccess文件:
AuthName "Directorio protegido wp-admin"
AuthUserFile /home/ruta/.htpasswd
Require valid-user
最后将.htaccess和.htpasswd文件上传到ftp服务器 。
用密码保护wp-login.php文件
与上一个类似的系统,用于保护文件“ wp-login.php”,该文件用于WordPress身份验证。在这种情况下,将强制执行身份验证的代码添加到htaccess中,并且可以使用与前面的方法相同的密码文件。使用以下代码:
AuthType Basic
AuthName "Acceso restringido al login"
AuthUserFile /home/norfipc1/.htpasswd
require valid-user
</files>
在管理面板中禁用PHP代码编辑
尽管WordPress包含此功能,该功能允许您编辑PHP文件,但出于安全原因,建议将其禁用。为此,我们必须在文件“ wp-config.php”中包含以下说明:
安全上传文件夹
出于安全原因,位于“ wp-content”中的Uploads目录是WordPress中最危险的目录之一。如上所述,除了确保您具有必需的权限外,我们还可以额外添加一个htaccess文件,并按照以下说明进行操作。
deny from all
</Files>
保持备份或站点备份更新
保持良好的备份习惯非常重要。如果发生任何冲突,它可以使我们还原损坏的文件。
利用防火墙和CDN保护
防火墙是网站与互联网之间的过滤器。这些服务可阻止各种潜在威胁,包括浏览器中带有恶意代码的用户。CloudFlare是最著名和免费的软件之一,它还可以用作功能强大的CDN(缓存图像,脚本和CSS等静态文件)。
Social Plugin