跳至正文

加强 WordPress 安全性的 10 个技巧

加强 WordPress 安全性的 10 个技巧

如果您运行的是 WordPress 驱动的网站,那么它的安全性应该是您的首要关注点。在大多数情况下,WordPress 博客遭到入侵是因为其核心文件和/或插件已过时;过时的文件是可追踪的,这是对黑客的公开邀请。

如何让您的博客永远远离坏人?对于初学者,请确保您始终使用最新版本的 WordPress。但还有更多。在今天的帖子中,我想与您分享一些有用的插件以及一些加强 WordPress 安全性的技巧。

10个加强WordPress安全性的插件

10个加强WordPress安全性的插件


您在 WordPress 上创建了一个网站,为其选择了一个可靠的主机,并添加了一个漂亮的主题。
然而,…
阅读更多

1. 更改默认的“wp_”前缀

如果您在数据库表中使用可预测的前缀,您的网站可能会因某些漏洞(例如SQL 注入)而受到威胁。wp_以下教程教您如何通过 5 个简单步骤通过 phpMyAdmin 更改它们。

2.隐藏登录错误信息

错误登录消息可能会暴露并让黑客了解他们是否获得了正确/不正确的用户名,反之亦然。将其隐藏以防止未经授权的登录是明智的。

要隐藏登录错误消息,您只需将以下代码放在 functions.php 中

1个
add_filter( 'login_errors', '__return_false' );

3. 保护 wp-admin 目录

保护“wp-admin”文件夹会增加一层额外的保护。在“wp-admin”之后尝试访问文件或目录的人将被提示登录。可以通过多种方式使用登录名和密码保护您的“wp-admin”文件夹:

  • WordPress 插件– 使用 WordPress HTTP Auth
  • cPanel – 如果您的主机支持 cPanel 管理员登录,您可以通过 cPanel 的密码保护目录图形用户界面轻松地在任何文件夹上设置保护。从本教程中了解更多信息
  • .htaccess + htpasswd – 通过在.htaccess中设置要保护的文件夹和允许在.htpasswd中访问的用户,也可以轻松创建受密码保护的文件夹以下教程将分 7 个步骤向您展示如何完成此操作。

4.维护备份

保留整个 WordPress 博客的备份副本与保护网站免受黑客攻击一样重要。如果一切都失败了,至少你还有干净的备份文件可以恢复。备份实践有两种类型:完全备份和增量备份。

“完整备份”将包括站点内的所有内容,包括创建备份时的文件和数据库。这种方法会占用超过必要的空间,并且在执行备份时可能会导致 CPU 和磁盘使用率激增。因此,如果您的网站资源有限,则不太推荐。

另一方面,“增量”备份只会在第一次进行完整备份,并且只会对最近更改的项目进行备份,因此效率更高。今天,在 WordPress 中有许多用于此类备份的选项,并且收费相当高,例如VaultPressWP Time Capsule

此外,我们之前还介绍了备份 WordPress 文件和数据库的解决方案列表,包括有用的插件备份服务

5.防止目录浏览

另一个大的安全漏洞是让您的目录及其文件暴露,并可供公众访问。这是一个简单的测试,用于检查您的 WordPress 目录是否受到良好保护:

  • 在浏览器中输入以下 URL,不带引号。http://www.domain.com/wp-includes/

如果它显示空白或将您重定向回主页,则您是安全的。但是,如果您看到类似于下图的屏幕,则您不是。

保护目录

要阻止访问所有目录,请将此代码放在.htaccess文件中。

# 防止文件夹浏览。
期权全指数

如果您的站点在 nginx 上运行,则可以添加以下内容。

1个
autoindex off;

6. 保持 WordPress 核心文件和插件更新

确保您的 WordPress 网站安全的最安全方法之一是确保您的文件始终更新到最新版本。幸运的是,今天的 WordPress 开启了自动更新功能,因此只要有可用的安全补丁,您的网站就应该立即更新。只要确保您或您的开发人员没有关闭它即可。

7. 选择一个强密码

WordPress 现在带有一个强密码建议字段,在创建新帐户或更新到新密码时如下所示。它将指示您的密码是强密码还是弱密码。您应该确定选择强密码。但是拥有强密码的缺点是它不容易记住。这就是为什么我建议使用1PasswordLastPass这样的密码管理器

8.删除管理员用户

典型的 WordPress 安装带有一个名为“admin”的默认用户。如果这是您的 WordPress 网站的用户名,那么您已经让黑客的工作轻松了 50%。应始终避免使用用户“admin”。

安全登录管理员的更安全方法是创建一个新管理员并删除“管理员”。这是你如何做的:

  1. 登录到 WordPress 管理面板
  2. 转到用户– >添加新
  3. 添加具有管理员角色的新用户,确保使用强密码。
  4. 注销 WordPress,使用新的管理员用户重新登录。
  5. 转到用户
  6. 删除“管理员”用户
  7. 如果“管理员”有帖子,请记住将所有帖子和链接归因于新用户。

9. 禁用 XMLRPC

WordPress 中的 XMLRPC是 WordPress 中常见的攻击入口点。因此,当您的站点不需要 XMLRPC 时,最好禁用它。您可以在需要时将 XMLRPC 端点限制为某些 IP,例如:

阿帕奇
1个
2个
3个
4个
5个
<Files xmlrpc.php>
  order deny,allow
  allow from 192.0.64.0/18
  deny from all
</Files>
Nginx
1个
2个
3个
4个
5个
location = /xmlrpc.php {
  allow 192.0.64.0/18;
  deny all;
  access_log off;
}

10. 添加 HTTP 安全标头

添加 HTTP 安全标头将为您的站点添加额外的安全层,这有助于减轻某些攻击。标头将指示浏览器按照标头中设置的特定方向行事。例如,X-Frame-Options将允许您确定您的站点是否可以嵌入到 iframe 中。您可以添加的其他类型的标头包括:X-XSS-ProtectionStrict-Transport-SecurityX-Content-Type-OptionsContent-Security-PolicyReferrer-Policy

1个
2个
3个
4个
5个
6个
Header always append X-Frame-Options DENY
Header set X-XSS-Protection "1; mode=block"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set X-Content-Type-Options nosniff
Header set Content-Security-Policy "default-src 'self';"
Header set Referrer-Policy "no-referrer"
Nginx
1个
2个
3个
4个
5个
6个
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';
add_header X-Frame-Options "DENY";
add_header X-Content-Type-Options nosniff;
add_header Content-Security-Policy "default-src 'self';";
add_header Referrer-Policy same-origin;

要添加这些标头,您可能需要联系托管您网站的托管公司。

奖励:订阅 WPVulnDB

最后但同样重要的是,您可能希望通过订阅WPVulnDB来掌握 WordPress 核心、插件和主题中最新暴露的漏洞。它描述了什么类型的漏洞、它是什么、受影响的版本以及它是否已经修复。

如果您发现您正在使用的插件之一出现在报告中,您应该立即采取措施缓解它并在修复程序立即可用时更新插件

标签: