網(wǎng)站最重要的就是安全了,雖然WordPress 是迄今為止最流行的博客平臺(tái),安全性也極高,但仍不可忽視。
正由于它的流行,也因此帶來(lái)了正面和負(fù)面的影響。事實(shí)上,幾乎每個(gè)人都使用它,使它更容易被發(fā)現(xiàn)漏洞。WordPress 的開(kāi)發(fā)人員做了很多工作,一旦新的缺陷被發(fā)現(xiàn),就會(huì)發(fā)布修復(fù)和補(bǔ)丁,但這并不意味著你可以安裝完就置之腦后。
在這篇文章中,我們將提供一些最常見(jiàn)的保護(hù)和強(qiáng)化 WordPress 網(wǎng)站的方法。
在登錄后臺(tái)時(shí)總是使用 SSL
不用說(shuō)的是,如果你并不打算只是做一個(gè)隨意的博客,你應(yīng)該總是使用 SSL。不使用加密連接登錄到你的網(wǎng)站會(huì)暴露你的用戶名和密碼。任何人嗅探流量都可能會(huì)發(fā)現(xiàn)你的密碼。如果你使用 WiFi 上網(wǎng)或者連接到一個(gè)公共熱點(diǎn),那么你被黑的幾率更高,這是特別真實(shí)的。你可以從這里[1]獲取受信任的免費(fèi) SSL 證書(shū)。
精心挑選附加的插件
由第三方開(kāi)發(fā)人員所開(kāi)發(fā),每個(gè)插件的質(zhì)量和安全性總是值得懷疑,并且它僅取決于其開(kāi)發(fā)人員的經(jīng)驗(yàn)。當(dāng)安裝任何額外的插件時(shí),你應(yīng)該仔細(xì)選擇,并考慮其受歡迎程度以及插件的維護(hù)頻率。應(yīng)該避免維護(hù)不良的插件,因?yàn)樗鼈兏菀壮霈F(xiàn)易于被利用的錯(cuò)誤和漏洞。
此主題也是上一個(gè)關(guān)于 SSL 主題的補(bǔ)充,因?yàn)樵S多插件包含的腳本會(huì)發(fā)出不安全連接(HTTP)的請(qǐng)求。只要你的網(wǎng)站通過(guò) HTTP 訪問(wèn),一切似乎很好。但是,一旦你決定使用加密并強(qiáng)制使用 SSL 訪問(wèn),則會(huì)立即導(dǎo)致網(wǎng)站的功能被破壞,因?yàn)楫?dāng)你使用 HTTPS 訪問(wèn)其他網(wǎng)站時(shí),這些插件上的腳本將繼續(xù)通過(guò) HTTP 提供請(qǐng)求。
安裝 Wordfence
Wordfence 是由 Feedjit Inc. 開(kāi)發(fā)的,Wordfence 是目前最流行的 WordPress 安全插件,并且是每個(gè)嚴(yán)肅的 WordPress 網(wǎng)站必備的,特別是那些使用 WooCommerce 或其它的 WordPress 電子商務(wù)平臺(tái)的網(wǎng)站。
Wordfence 不只是一個(gè)插件,因?yàn)樗峁┝艘幌盗屑訌?qiáng)您的網(wǎng)站的安全功能。它具有 web 程序防火墻、惡意軟件掃描、實(shí)時(shí)流量分析器和各種其它工具,它們可以提高你網(wǎng)站的安全性。防火墻將默認(rèn)阻止惡意登錄嘗試,甚至可以配置為按照 IP 地址范圍來(lái)阻止整個(gè)國(guó)家/地區(qū)的訪問(wèn)。我們真正喜歡 Wordfence 的原因是,即使你的網(wǎng)站因?yàn)槟承┰虮磺趾Γ鐞阂饽_本,Wordfence 可以在安裝以后掃描和清理你的網(wǎng)站上被感染的文件。
該公司提供這個(gè)插件的免費(fèi)和付費(fèi)訂閱計(jì)劃,但即使是免費(fèi)計(jì)劃,你的網(wǎng)站仍將獲得令人滿意的水平。
用額外的密碼鎖住 /wp-admin 和 /wp-login.php
保護(hù)你的 WordPress 后端的另一個(gè)步驟是使用額外的密碼保護(hù)任何除了你以外不打算讓任何人使用的目錄(即URL)。 /wp-admin 目錄屬于此關(guān)鍵目錄列表。 如果你不允許普通用戶登錄 WordPress,你應(yīng)該使用密碼限制對(duì) wp.login.php 文件的訪問(wèn)。無(wú)論是使用 Apache[2] 還是 Nginx[3],你都可以訪問(wèn)這兩篇文章,了解如何額外保護(hù) WordPress 安裝。
禁用/停止用戶枚舉
這是攻擊者發(fā)現(xiàn)你網(wǎng)站上的有效用戶名的一種相當(dāng)簡(jiǎn)單的方法(即找出管理員用戶名)。那么它是如何工作的?這很簡(jiǎn)單。在任何 WordPress 站點(diǎn)上的主要 URL 后面跟上 /?author=1 即可。 例如:wordpressexample.com/?author=1。
要保護(hù)您的網(wǎng)站免受此影響,只需安裝停止用戶枚舉[4]插件。
禁用 XML-RPC
RPC 代表遠(yuǎn)程過(guò)程調(diào)用,它可以用來(lái)從位于網(wǎng)絡(luò)上另一臺(tái)計(jì)算機(jī)上的程序請(qǐng)求服務(wù)的協(xié)議。對(duì)于 WordPress 來(lái)說(shuō),XML-RPC 允許你使用流行的網(wǎng)絡(luò)博客客戶端(如 Windows Live Writer)在你的 WordPress 博客上發(fā)布文章,如果你使用 WordPress 移動(dòng)應(yīng)用程序那么也需要它。 XML-RPC 在早期版本中被禁用,但是從 WordPress 3.5 時(shí)它被默認(rèn)啟用,這讓你的網(wǎng)站面臨更大的攻擊可能。雖然各種安全研究人員建議這不是一個(gè)大問(wèn)題,但如果你不打算使用網(wǎng)絡(luò)博客客戶端或 WP 的移動(dòng)應(yīng)用程序,你應(yīng)該禁用 XML-RPC 服務(wù)。
有多種方法可以做到這一點(diǎn),最簡(jiǎn)單的是安裝禁用 XML-RPC[5]插件。
免責(zé)聲明:本文內(nèi)容來(lái)自用戶上傳并發(fā)布,站點(diǎn)僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),信息僅供參考之用。