开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第7天,点击查看活动详情
以下是常见的 WordPress 安全问题以及如何提高 WordPress 安全性,包括避免被黑客攻击的提示。
自从2003年发布内容管理系统以来,WordPress安全一直是一个重要的话题。与任何具有悠久历史的高人气软件一样,CMS有时也会成为WordPress黑客的目标。攻击行为可能包括跨站点脚本攻击、sql注入、暴力攻击和许多其他获得未经授权访问的方式。
随着黑客在寻找利用WordPress漏洞的方法方面获得经验,开发人员和安全专家在创建更难攻破的网站方面也变得更加困难。如果开发者和WordPress网站所有者不希望黑客获得访问权限并绕过服务器安全,他们可以采取一些措施。在这篇文章中,我们将讨论WordPress管理员可以采取的一些措施,以防止一个平台成为众多被黑客攻击的网站之一。
在服务器上为 wp-config.php 和 .htaccess 启用适当的权限
修改:
644 -rw-r–r– /home/user/wp-config.php
644 -rw-r–r– /home/user/cgi-bin/.htaccess
获得安全权限:
600 -rw——- /home/user/wp-config.php
600 -rw—— /home/user/cgi-bin/.htaccess
使用最新且安全的 PHP 版本
截至 2021 年 10 月 6 日,最新和推荐的 WordPress 版本是 7.4。可以通过以下链接检查受支持和安全的 PHP 版本:www.php.net/supported-v… 。与任何软件一样,保持更新是 WP 安全的一个重要因素。
禁用编辑WordPress管理员面板级别的主题和插件
如果黑客获得管理员帐户的访问权限,他们将很容易将恶意代码输入到主题和插件中。我们将使用它DISALLOW_FILE_EDIT来禁用文件编辑并提高网站安全性。下面是如何做到这一点:
- 第一步是使用文本编辑器打开 wp-config.php。
- 在该文件中,找到以下行:: /* That’s all, stop editing! Happy blogging. */ 并将下面的代码放在它上面: define( ‘
DISALLOW_FILE_EDIT,' true ); - 保存更改结束退出文件。
- 如果操作正确,转到你的WP仪表板,插件>编辑器和外观>编辑器链接应该不再可见。
保持 WordPress 插件更新
在社交媒体上关注技术博客和 WP 粉丝群是获取更新信息途径。许多 WordPress 用户分享有关特定 WordPress 插件严重错误的通知。如果发现有关在 WordPress 网站上使用的错误,请立即执行更新。此外,请确保删除未使用的插件以避免不必要的安全漏洞。
在 WordPress 安装期间更改数据库中的 wp_prefix
默认情况下,WordPress安装继续使用wp前缀,但在安装过程中将其更改为原来的前缀是值得的。通过这样做,我们将使恶意软件更难以访问我们的数据库并提取数据。
不要使用默认的“管理员”登录,使用强密码
必须将原始登录名修改,并使用具有多个不同符号的强密码。
隐藏有关您使用的 WordPress 版本的信息
关于您的WP版本的信息可能对黑客有用,所以没有必要公开。首先,通过在.htaccess文件中添加以下代码行来阻止对自述文件的访问:
<files readme.html> order allow,deny deny from all </files>
还可以通过向特定于站点的插件或代码片段插件添加以下代码行来删除版本信息:
function wpbeginner_remove_version() { return ''; }
add_filter('the_generator', 'wpbeginner_remove_version');
第三:去掉网站加载的CSS/JS文件中的WP版本信息
阻止在特定 WP 目录中执行 PHP 脚本
禁用PHP文件在不必要的目录中执行,以提高安全性。按照wpbeginner.com上的解决方案,打开文本编辑器并输入以下代码:
<Files *.php> deny from all </Files>
将此文件另存为 .htaccess 并将其上传到网站上的 /wp-content/uploads/ 文件夹。
确保您的网站有 SSL 证书
结论
安全应该是任何企业的首要任务,希望上诉建议对你或你的企业有所帮助。
