主页 > Y生活节 >强化WordPress网站安全的 12 个方法 >

强化WordPress网站安全的 12 个方法

时间: 2020-05-22 浏览量:486

自从上次介绍了限制WordPress后台登入,倒是让香肠挡了不少想要恶意入侵的骇客,不过这样的安全仍然是不够的,必须再搭配其他的防护措施来让网站整体安全更高一层楼。目前要进行网站安全防护的方式都是透过Apache,利用.htaccess去对网站做设定、限制档案存取,强化WordPress网站整体安全,不过使用者也别忘了要设定强一点的密码。

接下来香肠要介绍的主要是透过.htaccess对网站做一个基础的强化,保护wp-admin目录、限制wp-includes目录存取、防垃圾留言、禁止目录索引、限制wp-config.php存取权限等等,算是很基础的网站资安防护,不论你网站是否遭受攻击,其实这些都是必要性的安全防护,有做防护不代表被不会被骇客入侵,而是可以是多一层保障、降低一些危险因子。

这几天网站身旁很多朋友都遭到骇客的拜访,当香肠写文章、装上后台封锁外挂后,也发现自己也遭到被骇客尝试登入的状况,虽然是没有被攻破,可是总有点怕怕的。根据log以及一些测试数据发现,这回的窜入应该是在存取wp-login.php,可是香肠都导掉了wp-login.php页面,但外挂却一直侦测到登入失败的讯息,经过推测应该是他直接跑程式在try网站后台。

儘管封锁了后台的IP存取,但是其他的问题未必以后不会被发现,所以下面我们列了十多项设定可以保护你的WordPress网站安全,避免骇客有更多的机会可以攻破你的网站。如同前面提到,如果你做了以下保护措施,香肠还是不能保证你可以安然度过,因为这样的一些防护是基础的,很难知道骇客是否有其他方式可以骇进网站,至少这些都可能维安的因子,赶快来修补安全漏洞吧!

教学目录 

    限制wp-admin目录存取IP限制存取wp-includes目录限制wp-login.php登入IP限制上传大小保护wp-config.php设定档防垃圾留言攻击禁止目录索引变更资料表前缀档案权限帐号安全关闭后台布景编辑功能限制 .htaccess 存取权限

一、限制wp-admin目录存取IP

这个方法可以限制直接存取wp-admin目录,用NotePad++新增一个.htaccess档案,将以下语法加入,并上传到「wp-admin」目录下。若FTP查看不到.htaccess,可以参考这篇文章解决问题。

其中的蓝色部分请换成你的IP,这段语法的判断流程简言之就是先封锁有所IP,然后开放允许的IP,所以蓝色部分请改成你的IP,建议可以申请一个固定IP,会必较好。如果是一个网段,可以输入「 xx.xx.xx. 」,记得最后有

详细教学参考杀气的说明。

AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "Wordpress Admin Access Control"AuthType Basicorder deny,allowdeny from allallow from xx.xx.xx.xx

二、限制存取wp-includes目录

wp-includes」这个目录是系统的一些核心档案,存在「/wp-admin/wp-includes」和,「/wp-includes」,通常这个目录是被使用的,并没有直接的页面会连到这个地方,用以下这段语法可以限制存取的权限,请将语法加入到根目录的.htaccess档案。

此为官方建议设定。

# Block the include-only files.RewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]# BEGIN WordPress

如果没有加入以上语法会显示错误讯息,如果加了以上语法,会显示WordPress的预设404页面,告诉你档案不存在,这样是一个比较安全的防护措施。

强化WordPress网站安全的 12 个方法

三、限制wp-login.php登入IP

如果你网站没有开放注册,那你可以执行这项动作,限制允许存取wp-login.php这只档案的使用者,设定方法和前面的限制wp-admin存取IP方法类似,请将蓝色部分改成你允许的IP或是网段。

Order deny,allowDeny from AllAllow from xx.xx.xx.xx

四、限制上传大小

避免骇客透过Dos攻击,利用传输大档案来冲爆你的流量,所以可以透过限制单档大小来阻绝这样的一个状况发生,将以下语法加入到根目录的.htaccess档案即可,预设是10MB设定。

LimitRequestBody 10240000

五、保护wp-config.php设定档

用过WordPress都知道「wp-config.php」这只档案攸关整个系统的营运,少了他连不上资料库、设定无法套用网站就没了,所以说,这只档案内保存了MySQL的帐号与密码,为了保护这只档案,WorPress官方有个建议作法,就是先将此档案权限设定为「400」,也就是只允许拥有人权读取。不过设400可能会让一些外挂例如wp super cache要写入设定值发生错误(儘管主机启用了 suPHP),所以请各位斟酌设定。

不过保护wp-config.php重头戏是设定.htaccess档案,修改根目录的.htaccess档案,加入以下语法,这语法意思是:禁止所有人浏览(主机内的程式是可以正常读取的)。

此为官方建议设定。

order allow,denydeny from all

六、防垃圾留言攻击

以下这段语法是保护你的留言防止被机器人垃圾流言攻击,主要是挡没有referrer的请求,但香肠使用过后发现成效有限,建议再加装Akismet和quiz保护会更好。若要添加语法,请加入到根目录的.htaccess档案,其中的「yourblog.com」请换成您的网站网址。

RewriteEngine OnRewriteCond %{REQUEST_METHOD} POSTRewriteCond %{REQUEST_URI} .wp-comments-post\.php*RewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR]RewriteCond %{HTTP_USER_AGENT} ^$RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

七、禁止目录索引

如果你的虚拟主机没有开启禁止目录索引功能,请您务必加上此语法以保护没有index档案的目录,避免被恶意人士将网站内容全部下载。

更详细的说明请参考这里。

Options -Indexes

八、变更资料表前缀

资料表前缀词其实在一开始安装的时候就务必做一个修正的动作,避免使用预设wp的名称,如果你现在想要做变更,可以参考:如何修改WordPress资料表的前缀名称?

修改请务必小心,否则可能造成网站错误,做任何调整前务必先行备份,备份可以参考BackWPup这只自动资料库、档案备份的外挂。

九、档案权限

网站内该设定的权限务必调整好,例如wp-config.php就不可以设定为777。

官方建议设定是所有目录设定755,所有档案设定644

此为官方建议设定。

十、帐号安全

WordPress系统预设安装是採用admin帐号,不过后来的版本允许使用者自行选择网站管理员帐号,以避免恶意人士想要尝试admin登入网站。如果你本身已经使用admin,请赶快换帐号吧!不然骇客轻易的就可以猜到你帐号,接下来猜出密码应该很快了。另外记得再加装Limit Login Attempts强化登入安全,当然您也要设一个不易猜出的密码。

教学文章:如何更改WordPress预设的admin帐号?

十一、关闭后台布景编辑功能

WordPress后台的布景主题一旦权限开放就可以在后台直接编辑,如果没有开放则只可浏览。主机若有安装suPHP预设就是可以编辑。如果你觉得这项功能用不到,建议您可以关闭它,毕竟直接暴露在后台可以编辑是一件很危险的事情,除了可能因为骇客入侵乱改,也可能自己改错造成网站出错。请将以下语法加入倒wp-config.php适当位置,就可以关闭修改的权限了。

define('DISALLOW_FILE_EDIT', true);

此为官方建议设定。

强化WordPress网站安全的 12 个方法

十二、限制 .htaccess 存取权限

当以上的东西调整完之后,别忘了强化你的.htaccess档案本身权限。将以下语法加入到.htaccess档案内已启用自我保护。语法是禁止所有人直接浏览该档案,但是系统使用读取是允许的。

order allow,denydeny from all

最后各位还是要做好个人的帐号密码管控,另外也别在不明的网路、电脑乱登入网站,这都可能造成帐密外洩,除此之外,再次提醒,使用以上方法只会加强WordPress安全,但无法保证百毒不侵,仍有机会遭受到骇客入侵,通常状况可能是您帐密外洩、网站外挂、布景有漏洞、系统有不明的漏洞,还有档案权限设定不正确等等的状况,各位还是要多多注意。

上一篇: 下一篇:
相关推荐
滁州WW润生活|及时新闻资讯|集生活消费网站|网站地图 申博太阳城xsb03注 网页被挂sunbet 申搏sunbet官网下载 申博管理系统登入 申博官方开户 申博官方开户 sunbet81 申博正网sun 申博信誉官网 申博占成合作