網(wǎng)站最重要的就是安全了,雖然WordPress 是迄今為止最流行的博客平臺,安全性也極高,但仍不可忽視。
正由于它的流行,也因此帶來了正面和負(fù)面的影響。事實(shí)上,幾乎每個人都使用它,使它更容易被發(fā)現(xiàn)漏洞。WordPress 的開發(fā)人員做了很多工作,一旦新的缺陷被發(fā)現(xiàn),就會發(fā)布修復(fù)和補(bǔ)丁,但這并不意味著你可以安裝完就置之腦后。
在這篇文章中,我們將提供一些最常見的保護(hù)和強(qiáng)化 WordPress 網(wǎng)站的方法。
在登錄后臺時總是使用 SSL
不用說的是,如果你并不打算只是做一個隨意的博客,你應(yīng)該總是使用 SSL。不使用加密連接登錄到你的網(wǎng)站會暴露你的用戶名和密碼。任何人嗅探流量都可能會發(fā)現(xiàn)你的密碼。如果你使用 WiFi 上網(wǎng)或者連接到一個公共熱點(diǎn),那么你被黑的幾率更高,這是特別真實(shí)的。你可以從這里[1]獲取受信任的免費(fèi) SSL 證書。
精心挑選附加的插件
由第三方開發(fā)人員所開發(fā),每個插件的質(zhì)量和安全性總是值得懷疑,并且它僅取決于其開發(fā)人員的經(jīng)驗。當(dāng)安裝任何額外的插件時,你應(yīng)該仔細(xì)選擇,并考慮其受歡迎程度以及插件的維護(hù)頻率。應(yīng)該避免維護(hù)不良的插件,因為它們更容易出現(xiàn)易于被利用的錯誤和漏洞。
此主題也是上一個關(guān)于 SSL 主題的補(bǔ)充,因為許多插件包含的腳本會發(fā)出不安全連接(HTTP)的請求。只要你的網(wǎng)站通過 HTTP 訪問,一切似乎很好。但是,一旦你決定使用加密并強(qiáng)制使用 SSL 訪問,則會立即導(dǎo)致網(wǎng)站的功能被破壞,因為當(dāng)你使用 HTTPS 訪問其他網(wǎng)站時,這些插件上的腳本將繼續(xù)通過 HTTP 提供請求。
安裝 Wordfence
Wordfence 是由 Feedjit Inc. 開發(fā)的,Wordfence 是目前最流行的 WordPress 安全插件,并且是每個嚴(yán)肅的 WordPress 網(wǎng)站必備的,特別是那些使用 WooCommerce 或其它的 WordPress 電子商務(wù)平臺的網(wǎng)站。
Wordfence 不只是一個插件,因為它提供了一系列加強(qiáng)您的網(wǎng)站的安全功能。它具有 web 程序防火墻、惡意軟件掃描、實(shí)時流量分析器和各種其它工具,它們可以提高你網(wǎng)站的安全性。防火墻將默認(rèn)阻止惡意登錄嘗試,甚至可以配置為按照 IP 地址范圍來阻止整個國家/地區(qū)的訪問。我們真正喜歡 Wordfence 的原因是,即使你的網(wǎng)站因為某些原因被侵害,例如惡意腳本,Wordfence 可以在安裝以后掃描和清理你的網(wǎng)站上被感染的文件。
該公司提供這個插件的免費(fèi)和付費(fèi)訂閱計劃,但即使是免費(fèi)計劃,你的網(wǎng)站仍將獲得令人滿意的水平。
用額外的密碼鎖住 /wp-admin 和 /wp-login.php
保護(hù)你的 WordPress 后端的另一個步驟是使用額外的密碼保護(hù)任何除了你以外不打算讓任何人使用的目錄(即URL)。 /wp-admin 目錄屬于此關(guān)鍵目錄列表。 如果你不允許普通用戶登錄 WordPress,你應(yīng)該使用密碼限制對 wp.login.php 文件的訪問。無論是使用 Apache[2] 還是 Nginx[3],你都可以訪問這兩篇文章,了解如何額外保護(hù) WordPress 安裝。
禁用/停止用戶枚舉
這是攻擊者發(fā)現(xiàn)你網(wǎng)站上的有效用戶名的一種相當(dāng)簡單的方法(即找出管理員用戶名)。那么它是如何工作的?這很簡單。在任何 WordPress 站點(diǎn)上的主要 URL 后面跟上 /?author=1 即可。 例如:wordpressexample.com/?author=1。
要保護(hù)您的網(wǎng)站免受此影響,只需安裝停止用戶枚舉[4]插件。
禁用 XML-RPC
RPC 代表遠(yuǎn)程過程調(diào)用,它可以用來從位于網(wǎng)絡(luò)上另一臺計算機(jī)上的程序請求服務(wù)的協(xié)議。對于 WordPress 來說,XML-RPC 允許你使用流行的網(wǎng)絡(luò)博客客戶端(如 Windows Live Writer)在你的 WordPress 博客上發(fā)布文章,如果你使用 WordPress 移動應(yīng)用程序那么也需要它。 XML-RPC 在早期版本中被禁用,但是從 WordPress 3.5 時它被默認(rèn)啟用,這讓你的網(wǎng)站面臨更大的攻擊可能。雖然各種安全研究人員建議這不是一個大問題,但如果你不打算使用網(wǎng)絡(luò)博客客戶端或 WP 的移動應(yīng)用程序,你應(yīng)該禁用 XML-RPC 服務(wù)。
有多種方法可以做到這一點(diǎn),最簡單的是安裝禁用 XML-RPC[5]插件。
免責(zé)聲明:本文內(nèi)容來自用戶上傳并發(fā)布,站點(diǎn)僅提供信息存儲空間服務(wù),不擁有所有權(quán),信息僅供參考之用。