WordPress博客安全优化

发布于 2019-06-09  52 次阅读


现在黑帽子的花招越来越多,WordPress自然需要安全防护,不然站点被当肉鸡卖掉都不知道。

操作系统及LNMP基础防护

WordPress搭建于操作系统系统与LNMP之上,想要WordPress安全,那操作系统和LNMP自然需要做些安全防护。

操作系统自动更新

操作系统自动更新的必要性不用我说了吧。这里只列举主流Linux发行版的自动更新方式,反正冷门Linux发行版和Unix用户在选择系统的时候早就做好了心理准备。

Debian

CentOS

至于Ubuntu的话应该也跟Debian差不多,但是因为我没有用过Ubuntu,而且谷歌一下也有很多相关的教程,所以这里就不写了。

MySQL安全防护

这里偷个懒,直接贴个文档

Nginx安全防护

SSL是肯定要上的,不然登录信息全被截胡就很尴尬了。这里再偷个懒,看这篇文章

还有,空主机头也要记得关闭,不然会被其他人恶意绑定域名,看这篇文章

WordPress加固

避免使用默认数据库前缀 wp_

有种攻击方式叫SQL注入攻击。更改数据库前缀可以挡住大部分SQL注入攻击。点我告诉你怎么做,懂洋文的同学就看这篇吧

防止密码爆破

总会有人用自动脚本扫描整个网络,为的是寻找装有WordPress的主机,找到了之后直接就进/wp-admin。进入了干嘛?那当然就是对用户名/密码进行字典爆破了,他们认为登录成功率还挺高。那为啥会有人对这样自动脚本这么有信心?

2016年“123456”的风头盖过了“password”

安装WPS Hide Login插件可以防住大部分类似这样的脚本。因为这个插件可以修改WordPress登录入口,登录入口一旦修改,自动脚本便无法快速找到入口。但要完全杜绝密码爆破,这个安全防护还远远不够,还需要一个插件——Wordfence Security ,这个插件可以实现定期安全扫描,除此之外能做的事还挺多。例如设置2FA,要发挥这个插件的真正实力,除了IP白名单外,最好将其他可以打开的防护都打开,当然2FA也要设置,因为即使隐藏了登录入口,依然会有人可以通过穷举法找到入口并可以进行密码爆破。但有了2FA,就算是运气爆棚猜中了你的密码也进不了后台。这个插件厉害的地方可不止这些,要详细了解其他功能的话就看一下插件的说明吧。

设置自动更新

安装Companion Auto Update,这个插件可以实现WordPress核心及其他插件的自动更新。

过滤垃圾评论

这里说的垃圾评论不仅仅是指那些打广告的,还有那些在评论里面嵌入一些恶意代码用来执行XSS攻击的,一不留神就会中招。

该做什么?

装好WordPress立即打开Akismet插件。

审核用户评论,在设置->讨论中可以配置。

谨慎使用主题

一些主题内置后门程序,光看外表看不出来,必须看源码一点一点查才看得出来。没有看懂源代码能力的童鞋安装主题请去官方主题站

不要用常用的用户名作为后台登录用户名

常用用户名容易被猜出来。如果要修改的话,可以通过“新增用户”的方法,这个方法相对而言实现起来非常的简单,我们只需要在后台再添加一个任意用户名并赋予管理员权限,然后使用此用户登录并删除之前用户名用户即可,有些童鞋可能就会问了,我删除之前用户后我之前的文章怎么办?大可放心,WordPress会提示你将文章转移到其它用户上,so放心的删除吧。

设置自动备份

有时候,就算准备得再充分,也会有疏漏。站被黑了,数据盘坏了,手里还连备份都没有,那就是最糟糕的情况。安装UpdraftPus,绑定个云盘,设置每日自动备份。你会发现上面这些情况都不是事。


没钱好痛苦啊.......