加强 WordPress 安全性的 10 个技巧
如果您运行的是 WordPress 驱动的网站,那么它的安全性应该是您的首要关注点。在大多数情况下,WordPress 博客遭到入侵是因为其核心文件和/或插件已过时;过时的文件是可追踪的,这是对黑客的公开邀请。
如何让您的博客永远远离坏人?对于初学者,请确保您始终使用最新版本的 WordPress。但还有更多。在今天的帖子中,我想与您分享一些有用的插件以及一些加强 WordPress 安全性的技巧。
1. 更改默认的“wp_”前缀
如果您在数据库表中使用可预测的前缀,您的网站可能会因某些漏洞(例如SQL 注入)而受到威胁。wp_
以下教程教您如何通过 5 个简单步骤通过 phpMyAdmin 更改它们。
2.隐藏登录错误信息
错误登录消息可能会暴露并让黑客了解他们是否获得了正确/不正确的用户名,反之亦然。将其隐藏以防止未经授权的登录是明智的。
要隐藏登录错误消息,您只需将以下代码放在 functions.php 中
1个
|
add_filter( 'login_errors' , '__return_false' ); |
3. 保护 wp-admin 目录
保护“wp-admin”文件夹会增加一层额外的保护。在“wp-admin”之后尝试访问文件或目录的人将被提示登录。可以通过多种方式使用登录名和密码保护您的“wp-admin”文件夹:
- WordPress 插件– 使用 WordPress HTTP Auth。
- cPanel – 如果您的主机支持 cPanel 管理员登录,您可以通过 cPanel 的密码保护目录图形用户界面轻松地在任何文件夹上设置保护。从本教程中了解更多信息。
- .htaccess + htpasswd – 通过在.htaccess中设置要保护的文件夹和允许在.htpasswd中访问的用户,也可以轻松创建受密码保护的文件夹。以下教程将分 7 个步骤向您展示如何完成此操作。
4.维护备份
保留整个 WordPress 博客的备份副本与保护网站免受黑客攻击一样重要。如果一切都失败了,至少你还有干净的备份文件可以恢复。备份实践有两种类型:完全备份和增量备份。
“完整备份”将包括站点内的所有内容,包括创建备份时的文件和数据库。这种方法会占用超过必要的空间,并且在执行备份时可能会导致 CPU 和磁盘使用率激增。因此,如果您的网站资源有限,则不太推荐。
另一方面,“增量”备份只会在第一次进行完整备份,并且只会对最近更改的项目进行备份,因此效率更高。今天,在 WordPress 中有许多用于此类备份的选项,并且收费相当高,例如VaultPress和WP Time Capsule。
此外,我们之前还介绍了备份 WordPress 文件和数据库的解决方案列表,包括有用的插件和备份服务。
5.防止目录浏览
另一个大的安全漏洞是让您的目录及其文件暴露,并可供公众访问。这是一个简单的测试,用于检查您的 WordPress 目录是否受到良好保护:
- 在浏览器中输入以下 URL,不带引号。“
http://www.domain.com/wp-includes/
”
如果它显示空白或将您重定向回主页,则您是安全的。但是,如果您看到类似于下图的屏幕,则您不是。
要阻止访问所有目录,请将此代码放在.htaccess文件中。
# 防止文件夹浏览。 期权全指数
如果您的站点在 nginx 上运行,则可以添加以下内容。
1个
|
autoindex off; |
6. 保持 WordPress 核心文件和插件更新
确保您的 WordPress 网站安全的最安全方法之一是确保您的文件始终更新到最新版本。幸运的是,今天的 WordPress 开启了自动更新功能,因此只要有可用的安全补丁,您的网站就应该立即更新。只要确保您或您的开发人员没有关闭它即可。
7. 选择一个强密码
WordPress 现在带有一个强密码建议字段,在创建新帐户或更新到新密码时如下所示。它将指示您的密码是强密码还是弱密码。您应该确定选择强密码。但是拥有强密码的缺点是它不容易记住。这就是为什么我建议使用1Password或LastPass这样的密码管理器
8.删除管理员用户
典型的 WordPress 安装带有一个名为“admin”的默认用户。如果这是您的 WordPress 网站的用户名,那么您已经让黑客的工作轻松了 50%。应始终避免使用用户“admin”。
安全登录管理员的更安全方法是创建一个新管理员并删除“管理员”。这是你如何做的:
- 登录到 WordPress 管理面板
- 转到用户– >添加新
- 添加具有管理员角色的新用户,确保使用强密码。
- 注销 WordPress,使用新的管理员用户重新登录。
- 转到用户
- 删除“管理员”用户
- 如果“管理员”有帖子,请记住将所有帖子和链接归因于新用户。
9. 禁用 XMLRPC
WordPress 中的 XMLRPC是 WordPress 中常见的攻击入口点。因此,当您的站点不需要 XMLRPC 时,最好禁用它。您可以在需要时将 XMLRPC 端点限制为某些 IP,例如:
阿帕奇
1个
2个
3个
4个
5个
|
<Files xmlrpc.php> order deny,allow allow from 192.0.64.0/18 deny from all </Files> |
Nginx
1个
2个
3个
4个
5个
|
location = /xmlrpc.php { allow 192.0.64.0/18; deny all; access_log off; } |
10. 添加 HTTP 安全标头
添加 HTTP 安全标头将为您的站点添加额外的安全层,这有助于减轻某些攻击。标头将指示浏览器按照标头中设置的特定方向行事。例如,X-Frame-Options
将允许您确定您的站点是否可以嵌入到 iframe 中。您可以添加的其他类型的标头包括:X-XSS-Protection
、Strict-Transport-Security
、X-Content-Type-Options
、Content-Security-Policy
和Referrer-Policy
。
1个
2个
3个
4个
5个
6个
|
Header always append X-Frame-Options DENY Header set X-XSS-Protection "1; mode=block" Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" Header set X-Content-Type-Options nosniff Header set Content-Security-Policy "default-src 'self';" Header set Referrer-Policy "no-referrer" |
Nginx
1个
2个
3个
4个
5个
6个
|
add_header X-XSS-Protection "1; mode=block" ; add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload' ; add_header X-Frame-Options "DENY" ; add_header X-Content-Type-Options nosniff; add_header Content-Security-Policy "default-src 'self';" ; add_header Referrer-Policy same-origin; |
要添加这些标头,您可能需要联系托管您网站的托管公司。
奖励:订阅 WPVulnDB
最后但同样重要的是,您可能希望通过订阅WPVulnDB来掌握 WordPress 核心、插件和主题中最新暴露的漏洞。它描述了什么类型的漏洞、它是什么、受影响的版本以及它是否已经修复。
如果您发现您正在使用的插件之一出现在报告中,您应该立即采取措施缓解它并在修复程序立即可用时更新插件。