如何保护您的WordPress网站免受攻击并保证其安全

网站建设 2019-03-22 10:28:51 | 如何保护您的WordPress网站免受攻击并保证其安全
如今,WordPress 为所有网站提供了惊人的三分之一。自从中期开始实施WordPress的许多SEO功能以来,它一直是我们社区的CMS平台。因此,它受到了无情的攻击,主要是出于搜索引擎优化垃圾邮件的原因,但攻击可能会更加恶化。
 
以下是一些WordPress基础知识以及确保您的WordPress网站保持安全的方法。
 
WordPress安全吗?
新版本的WordPress开箱即用。然而,忽视更新它可能会使其不安全。这就是许多安全专业人士和开发人员不是WordPress粉丝的原因。WordPress也类似于本质上不安全的PHP意大利面条代码,其中WordPress本身警告说,漏洞“源于平台的可扩展部分,特别是插件和主题”。
 
WordPress更新
没有100%安全系统这样的东西。WordPress需要安全更新才能安全运行,这些更新不会对您产生负面影响。打开自动安全更新。但是,更新WordPress核心确实需要确保所有内容都兼容。只要兼容版本可用,请立即更新插件和主题。
 
开源
WordPress是开源的,既有风险也有好处。该项目受益于为核心提供代码的开发人员社区,核心团队修补了社区发现的安全漏洞,而流氓则发现了撬开内容的方法。漏洞通过漏洞利用应用程序编写到扫描中,漏洞利用程序可以检测正在运行的内容的哪些版本以匹配您的版本的已知漏洞。
 
先保护自己
即使您没有管理员角色,也可以采取一些措施来保护自己。确保您使用定期扫描的工作站在安全的网络上工作。阻止广告以防止伪装成图像的复杂攻击。当您在公共WiFi热点工作时,使用VPN进行端到端加密,以防止会话劫持和MITM攻击。
 
安全密码
无论您拥有什么样的角色,安全地管理密码都很重要。确保您的密码是唯一且足够长的。当密码不够长时,即使是标点符号,数字和字母的组合也不够安全。你需要长密码。如果您需要记忆,请使用串在一起的四个或五个单词的短语,但好使用为您生成密码的密码管理器。
 
密码长度
为什么长度如此重要?换句话说,使用名为HashCat的免费开源实用程序,八个字符的密码在不到2.5小时内破解。无论你的密码是多么难以理解,破解短密码只需要几个小时。从13个字符开始,破解开始变得无法克服,至少目前如此。

管理员
如果您具有管理员用户角色,请为自己创建一个仅限于编辑角色的新用户。开始使用新配置文件而不是管理员。这样,广域网攻击将集中于攻击您的编辑器角色凭据,如果您的会话被劫持,您就拥有管理员权限来更改密码并从入侵者手中夺取控制权。通过使用插件强制每个人遵循强密码策略。
 
安全政策
如果您有安全经验,请执行插件和主题的代码审核(显然)。为所有用户建立小特权原则。然后你强迫黑客执行shell弹出技巧和权限升级,这涉及攻击除WordPress凭据之外的目标。
 
更改文件权限
如果您控制主机,请通过使用控制面板为自己提供SFTP帐户(如果有),或者尝试使用您可以访问的管理员用户界面。它可能具有配置凭据以打开安全shell终端窗口(SSH)的副作用。这样,您可以使用系统实用程序等执行其他安全措施。
 
锁定关键文件
除了运行WordPress的PHP进程之外,有一些文件永远不应该被访问。您可以更改文件权限并编辑.htaccess文件以进一步锁定这些文件。要更改文件权限,请使用SFTP客户端(如果有选项),或打开终端shell窗口并运行chmod utility命令。
 
$ chmod 400 .wp-config
$ ls -la
 
这意味着只有运行WordPress的PHP进程才能读取该文件,而没有别的。该文件永远不应该设置“执行位”,就像使用chmod 700一样。你应该总是在第二和第三位有零 - 这就是真正锁定它的原因。使用-la选项验证运行ls实用程序的更改并查看。
 
拥有严格的文件权限设置意味着即使是通过WordPress,也无法将任何内容写入文件。$ chmod 600 .wp-config当有一个主要的WordPress更新,其中配置文件有修改时,您将要授予写权限。如果有的话,那应该极少发生。
 
WordPress登录文件
我喜欢使用.htaccess规则锁定wp-login.php文件。限制只访问我的IP地址非常适合我从一个静态分配的IP工作,或者为我自己和一些用户工作的少量地址。如果您从其他位置登录,只要您可以在主机上获取shell,就不难更改设置。只需注释掉deny指令,使用浏览器登录,然后取消注释即可。
 
XSS和SQL注入
到目前为止,您将遇到的可怕的攻击是跨站点脚本(XSS)和SQL注入。您可以使用.htaccess查询字符串重写规则来阻止其中的一些,并且好使用可以为您管理此插件的插件。一些安全插件将扫描您的安装,寻找妥协的迹象。如果您知道如何使用重写,请重定向或阻止查询字符串签名,以查找您在日志中阅读或查看的攻击。
 
安全插件
一些安全插件将扫描您的安装,寻找妥协的迹象。Wordfense是一个流行的安全插件,它会定期更新。Sucuri Scanner有一个付费选项,可以扫描您的安装。Ninja防火墙将尝试限制基于请求的攻击,在它们到达WordPress核心之前阻止它们。您还可以使用Google的新Web Risk API编写应用程序来扫描您网站的页面。