尽管系统的核心安全可靠,但对运行 WordPress 内容管理系统的网站的攻击现在很常见。 在下面的帖子中,我们为您提供了一些简单的提示,这些提示可能会使他们的恶意意图大大复杂化。
更改用户名“admin”
这是安装 WordPress 时的默认名称,不应保留其原始形式。 黑客经常使用这个漏洞,最好的防御方法是创建一个新的管理员帐户并删除默认帐户。
使用强密码
电话号码、出生日期,甚至您的姓名:简单短语形式的密码使攻击者有机会在几分钟内控制您的网站。 一个理想的选择是使用字典中没有的表达式(用于所谓的暴力攻击的标准工具)和字母与数字的组合,例如1d34ln3-h3sl0 。
编辑.htaccess文件
.htaccess中的更改至少需要对问题有最少的了解,否则存在站点或其组件发生故障的风险,因此在编辑之前,建议对原始文件进行备份。 下面的示例显示了如何以简单但有效的方式阻止除已定义 IP 地址之外的所有人访问 WordPress 管理面板。 将修改后的.htaccess粘贴到wp-admin目录中。
AuthType Basic
order deny,allow
deny from all
# vasa domaca IP adresa
allow from xxx.xxx.xxx.xxx
# vasa IP adresa v praci
allow from xxx.xxx.xxx.xxx
更新系统
一键消除您的网站因隐藏的系统错误而受到威胁的潜在风险。 系统的内核开发人员不断地修复它的错误,你不应该犹豫片刻,尤其是安全更新。
只上传“干净”的文件
确保要上传到服务器的文件不包含病毒。 您的托管服务提供商绝对不会感谢您提供这样的作品,您当然也不希望 Google 以带有危险内容警告的红页形式获得“奖励”,对吧?
安装安全模块
Better WP Security模块在其类别中提供非常不错的服务,将许多安全功能和技术组合到一个包中, BulletProof Security可帮助您防御 XSS、RFI、CRLF、CSRF、Base64、代码注入和 SQL 注入攻击。 Wordfence Security提供集成解决方案、病毒和恶意 URL 扫描程序以及实时数据监控作为综合解决方案。
不要使用过时的模块
如果您使用存储在官方 WordPress 存储库中的模块之一,您会发现每次长时间未更新时都会强烈提醒这一事实(见下图)。 是否要冒可能的不兼容或安全问题的风险取决于您。
定期备份
如果你不想留下任何机会,你绝对不应该忽略这一步。 您网站的内容越少,您应该越频繁地备份其内容,但一般建议是“每天一次”。 主要关注 MySQL 数据库和使用的主题,这两项是最常见的攻击目标(特别是index.php文件和数据库表wp-user和wp-usermeta )。
当然,上面提到的 8 点并不是保护 WordPress 的所有可用选项的总结。 您可能知道保护自己免受网站攻击的其他方法,我们希望您通过评论向我们简要描述它们。
Was this article helpful for you? Support me by sharing, please. 👍
