当我们安装主题和插件时,都会向…
WordPress是一种非常流行的完全开放源代码的软件。在安全性方面,最棒的事情是,有一个庞大的社区与之合作,与使用内部CMS解决方案相比,他们能够更快地发现错误和安全风险。(当发现缺陷的一种方法实际上是利用了缺陷时,很难发现缺陷,而庞大的用户群使发现的可能性更大。)
不利之处在于,出于恶意目的的黑客会确切地知道您网站的构建方式。他们已经拥有您网站的“蓝图”。而且,如果您使用的核心,主题或插件中存在任何弱点,那么他们将能够知道这些弱点,而无需访问您网站的后端。
因此,在这篇文章中,我将向您展示如何解决WordPress的任何完全默认安装中存在的5种安全威胁。(如果您已经采取了一些预防措施,则可能会发现已经修复了一两个问题,但是重要的是修复所有五个问题,以最大程度地降低被黑客入侵的风险。)
您的网站显示您正在使用WordPress,以及版本
WordPress的默认版本将包含几行代码,这些代码可以表明您的网站是使用WordPress构建的,甚至包括知道位置的人。根据主题,它甚至可能以可视方式显示在您网站的每个页面上。
之所以会带来安全风险,是因为人们可能将目标锁定在基于WordPress的网站上。如果有人在WordPress核心,主题或插件中发现安全漏洞,则他们可能会找到通往您网站的途径来加以利用。如果您成功隐藏了您的网站是使用WordPress构建的,那么使用机器人或搜寻器搜索WordPress网站的人就会被欺骗,以为您的网站不是可行的目标。
解决方法:
要解决此问题,可以使用 Hide My WP Plugin。使用这个有用的小插件,您可以避免服务器上不必要的流量,同时,可以免受专门针对WordPress网站的攻击。
每个人都知道您的登录页面/管理区域的位置
如果您仍在显示使用WordPress(也就是未通过使用诸如Hide My WP之类的插件主动隐藏它),则恶意的人将已经知道在哪里尝试对您的网站进行暴力攻击。
解决方法:
要解决此威胁并大大降低被黑客入侵的机会并减轻服务器的压力,我们需要阻止恶意人员和机器人进入我们的登录页面。
有两种主要方法可以做到这一点。您可以使用插件(或几行代码)将登录页面的物理位置更改为其他位置,或者可以通过IP地址限制对登录页面和管理区域的访问。您可以使用专用于此特定事物的插件,也可以使用诸如Sucuri,Wordfence,iThemes Security Pro或 All In One WP Security&Firewall的安全插件来执行此操作。
WordPress具有每个人都使用的默认表前缀
表前缀是数据库中表名称的前面。使用标准WordPress前缀代替用户,而是wp_users。如果使用默认表前缀,则它可以使人们通过利用可能的sql注入弱点更轻松地访问您的站点。因为他们确切地知道将信息注入数据库的位置,然后才能访问您的站点。
实际上,我的一个网站由于sql注入而被黑客入侵,因此这是一个非常现实的威胁,您需要采取对策。
解决方法:
幸运的是,消除此威胁非常容易。如果您已经使用默认的wp_前缀安装了WordPress,则可以使用Sucuri这样的插件轻松更改它。首先,在使用该选项之前,需要备份数据库,因为极有可能出现问题。您可以通过单击按钮来执行此操作。然后,您可以选择一个新的前缀,或者简单地让Sucuri为您随机生成新的前缀。
注意:如果您是第一次安装WordPress,则可以在安装界面中进行更改。
WordPress主题和插件文件可通过仪表板进行编辑
这样做的问题是,如果黑客获得了对您网站的访问权限,则可能造成很多损失。他们可以使您的网站受到恶意软件的感染(可能导致您的网站被Google列入黑名单并从搜索引擎中删除索引),破坏您的网站或轻易打开后门。
解决方法:
您可以将以下代码行添加到wp-config.php文件中:
define( 'DISALLOW_FILE_EDIT', true );
或使用安全性插件为您完成操作(基本上只会为您插入该行代码)。唯一的问题是,有一些插件可以使人们打开和关闭此功能,因此非常敬业的黑客可能能够安装插件,打开插件,然后无需FTP访问即可访问编辑代码。
如果您想非常彻底地防止这种情况的发生,可以通过将以下代码行添加到wp-config.php来禁用所有插件和主题更新/安装:
define( 'DISALLOW_FILE_MODS', true );
但这显然意味着您每次需要更新或安装插件或主题时都必须将其值更改为false(我们不建议您使用此选项,因为使主题和插件保持最新是最好的方法之一。以确保您的网站不那么容易受到攻击)。
WordPress具有非常开放的防火墙设置,该设置甚至可以允许已知的恶意机器人进行攻击
WordPress的默认防火墙设置实际上在自由方面。这意味着一些令人不快的机器人和其他不需要的访客获得了绿灯。
修复方法:
您可以通过安装基本的5G黑名单防火墙规则,将其手动复制到.htaccess文件(在此处找到)或安装此插件,或使用安全插件来更好地解决此问题优化.htaccess中的规则。
无限的WordPress登录尝试
虽然默认设置的确是无限次登录尝试,但是当您在站点上安装WordPress时,您可能已选择限制登录尝试。但是,如果您没有这样做,那么这将是非常容易的修复。
解决方法:
只需安装Limit Login Attempts插件。或者,如果您正在使用WPEngine托管,则此功能已为您内置,无需任何插件!如果您已经通过仅允许您自己的IP地址访问dasbhboard来保护登录区域,则无需这样做。但是,如果您只是隐藏登录页面的地址,则可以很好地防止潜在的暴力攻击。
结论
网络犯罪正在迅速发展,互联网正在成为更多犯罪分子而不是“现实世界”的家园。在某些国家,这已经发生了。尽管其中很多是信用卡和银行欺诈,但越来越多的黑客在那里,作为网站所有者,我们必须尽最大努力保护自己和我们的网站。
虽然WordPress的默认安装有一些弱点,但WordPress的优点确实在于它可以轻松解决您网站上的几乎所有问题,包括本文中提到的安全威胁。除了拥有唯一的用户名和强密码之外,通过安装安全插件,编辑一些设置以及可能插入一两行代码,您还可以大大降低您的网站被黑或感染恶意软件的风险。
您是否采取了任何措施来提高WordPress网站的安全性?哪一种?我们希望听到您的一些提示和技巧!请在评论中让我们知道。
微信扫描二维码联系我们!
我们在微信上24小时期待你的声音
提供外贸路由器设备产品,轻松翻墙,解答:WP主题推荐,WP网站建设,Google SEO,百度SEO,专业服务器环境搭建等!
需要提供WordPress主题/插件的汉化服务可以随时联系我们!另外成品WordPress网站以及半成品WordPress网站建设,海外Google SEO优化托管服务,百度SEO优化托管服务,Centos/Debian服务器WP专用环境搭建,WP缓存服务器搭建,我们都是你的首选,拥有多年WP开源程序服务经验,我们一直在坚持客户体验,没有最好,只有更好!