保護典型 WordPress 安裝的 10 種關鍵方法
已發表: 2016-02-20十多年來,WordPress 已經從一個剛剛起步的內容管理系統發展成為最常用的在線解決方案。 一般來說,這種惡名對整個社區都有好處,並導致了目前可用的任何內容管理系統的最大開發人員群體。 CMS 發生變化、發展並變得更加先進,這主要是由於其規模、範圍和對在線出版的影響。
但正是這些因素導致 WordPress 成為惡意黑客攻擊和侵犯隱私的常規目標。 黑客已經註意到 CMS 在獨立網站和主要媒體等機構中的擴散,他們利用了許多漏洞,使他們能夠訪問儀表板甚至 WordPress 數據庫本身。
值得慶幸的是,WordPress 用戶不僅僅是在越來越惡意的在線環境中“坐鴨”。 可以採取許多措施來顯著提高 WordPress 安裝的安全性,並阻止黑客企圖接管網站的內容、數據庫和整體可靠性。
1.更改WordPress數據庫前綴
默認情況下,每個 WordPress 安裝都將其表放入帶有“wp_”前綴的 MySQL 數據庫中。 通常這樣做是為了使其更直觀,因為 WordPress 通常縮寫為“WP”,並且對於這些表屬於哪個 CMS 根本沒有混淆。
然而,互聯網上更惡毒的用戶知道,WordPress 默認會將其內容放入帶有此前綴的表中,這是他們從外部闖入安裝或導致軟件數據庫出現問題的第一種方式。
前綴本身是在安裝過程發生之前在wp-config.php文件中設置的。 那時,WordPress 網站所有者應該滾動瀏覽配置文件並查找以下行:
$table_prefix = 'wp_';
此行應更改為除默認前綴之外的任何內容。 選擇網站名稱或主要管理員的名稱等名稱可能是保護安裝和阻止惡意黑客進入 Internet 的重要第一步。
2. 對公眾隱藏 WordPress 安裝的版本號
每個 WordPress 模板都帶有一個變量,該變量顯示基本的 WordPress 信息,並允許通過插件對標頭進行持續修改。 該變量是<?php wp_head() ?>並且它總是放置在header.php文件的開始和結束<HEAD>標記之間。 此變量執行的主要操作之一是向公眾顯示當前 WordPress 安裝的版本號。
這實際上是由 Automattic 開發團隊用於分析目的,因為它允許他們查看使用最多的版本號,以及是否有大量非當前用戶。
它還允許黑客查看 WordPress 安裝的版本號並相應地計劃他們的攻擊。 由於 WordPress 的安全漏洞通常是特定於版本的,並且在任何後續版本中都得到了修復,並且顯示其版本號的過時安裝很容易受到那些想要未經授權訪問儀表板或數據庫的人的攻擊。
這些信息可以而且應該從“wp_head”變量中刪除; 可以通過將以下代碼行添加到當前主題的functions.php文件中來完成:
remove_action('wp_header', 'wp_generator');保存該文件並將其上傳到服務器,沒有人會知道 WordPress 安裝是否是最新的、過時的,甚至是測試版。 不會公開任何廣告。
3. 限制登錄失敗的次數
通常,惡意互聯網用戶將通過快速輸入數万個密碼的“蠻力”攻擊獲得對 WordPress 儀表板的訪問權限。 這種攻擊看起來使用字典單詞和常用數字來找出用戶的安全憑證。 如果沒有適當地阻止這些重複嘗試,真的沒有什麼可以阻止它們。
這就是 Login LockDown 插件的用武之地。使用該插件,WordPress 用戶可以對登錄嘗試失敗的次數進行限制,然後基本上被鎖定在儀表板之外一個小時。 這些失敗的嘗試與 IP 地址相關聯,使這個插件更加有效。
4. 管理員不應將自己命名為“管理員”
從任一內置安裝程序安裝 WordPress 時,管理員用戶通常默認命名為“ admin ”。 惡意互聯網用戶知道這一點,這是他們在獲得對 WordPress 儀表板的蠻力訪問時嘗試猜測的第一個名稱。
首次安裝 WordPress 時,請務必為管理員用戶命名一些難以猜測的名稱(可能是暱稱或其他名稱)。 暴力密碼攻擊只有在管理員的用戶名已知的情況下才有效。 否則,將無法獲得訪問權限。
5. 隨時更新 WordPress 並及時更新
WordPress 的新版本通常每隔幾週左右發布一次,其中包含一些小的更新和安全補丁,以保護用戶免受越來越多地針對 Internet 上的儀表板和數據庫的黑客的攻擊。
未能及時更新 WordPress 本質上就像是公開邀請黑客入侵、刪除一些帖子並危及網站的安全性。 落後於這些更新是一件非常糟糕的事情,尤其是因為未更改的主題甚至會顯示版本號以供詢問者查看。
從 3.0 版開始,WordPress 只需單擊一下即可自動更新儀表板。 事實上,Dashboard 甚至會自動通知用戶更新,並以非常粗體、出色的文字敦促他們升級。 這應該在升級可用時立即完成; 它不會導致任何文件、插件、主題或設置的丟失。
相反,更新 WordPress 將僅用於啟用任何新功能並修補自上一個版本發送給該軟件的 6000 萬用戶以來發現的安全漏洞。 始終保持最新狀態以抵禦黑客。
6. 對幾乎所有互聯網用戶隱藏 WP-Config.PHP 文件
WordPress 用戶在尋求隱藏文件並保護其 WordPress 儀表板和數據庫的完整性時,永遠不應忘記.htaccess文件的強大功能。 實際上,該文件對於以多種方式確保 WordPress 的長期安全性至關重要。 使用幾行簡單的代碼,“.htaccess”文件實際上可以對公共 Internet 用戶完全隱藏文件,即使該文件沒有設置適當的文件權限。
這是公開顯示“wp-config.php”文件的解決方案,該文件包含破壞安裝所需的 API 密鑰和數據庫前綴等內容。
為了保護該文件免受惡意 Internet 用戶的攻擊,只需將以下代碼行添加到位於 WordPress 安裝根文件夾中的“.htaccess”文件中。 如果不存在這樣的文件,請創建一個:
<文件 wp-config.php> 命令允許,拒絕 否認一切 </文件>
將這行代碼放入文件中,保存並通過 FTP 客戶端將其上傳到服務器。 相關 WordPress 安裝的配置文件現在基本上將從公眾視野中消失,這只能意味著安全和安心。
7. 說到文件權限,檢查它們以確保安全
為了正常工作,WordPress 不需要非常寬鬆的文件訪問和修改規則。 事實上,網站的所有設置和內容信息都寫入數據庫,而不是存儲在服務器端 PHP 文件中。 因此,絕對沒有理由在任何 WordPress 文件上使用 777 CHMOD 值。 相反,這只是一種確保黑客可以輕鬆訪問配置設置或其他可能危及安裝的文件的方法。
要檢查權限並可能修復它們以實現更安全的安裝,請打開 FTP 客戶端並導航到根 WordPress 目錄。 右鍵單擊任何 PHP 文件並查找與權限相關的菜單選項。 在結果窗口中,查找指示文件可用性的數字。 它當然不應該是777 。 在許多情況下,建議使用744 CHMOD值,將文件的訪問和修改限制為僅服務器的根 FTP 用戶。 如有必要,更改此設置,然後保存。 服務器將相應更新。
8.使用.htaccess文件隱藏.htaccess文件
大多數人不認為這是一種可能性,但.htaccess文件實際上可以用來向公眾隱藏自己。 它已經通過使用以句點開頭的文件名在很大程度上實現了這一點,但這在基於 Windows 的計算機上不起作用。 這些機器必須使用“.htaccess”本身包含的指令來發現無法訪問的文件。 權限實際上看起來非常類似於用於隱藏 WordPress 的 PHP 配置文件的方法,如下所示:
<文件 .htaccess> 命令允許,拒絕 否認一切 </文件>
同樣,一旦將該行放入文件中,就可以將其保存並上傳到服務器。 現在幾乎所有訪問該站點的人都看不到它,除了 root 管理員用戶。
9. 理解和使用空白 HTML 文檔的力量
每個想要訪問受感染的 WordPress 安裝的人都知道,該軟件將其插件和主題放在特定目錄中。 他們將檢查這些目錄以查找是否缺少安全插件,或者是否存在許多基於 XHTML 和 CSS 的漏洞,然後他們將利用這些東西獲得訪問權限。 這實際上很容易預防。
為了確保這些目錄中的文件列表不會顯示給任何 Internet 用戶,只需創建一個空白 HTML 文檔並將其放入文件夾中。 該文檔應該是非常基本的內容,帶有頭部標籤和標題,例如“ Restricted Access ”。 這個標題可能會表明網站管理員對安全性了解一兩件事,並將惡意用戶發送到其他網站。
10. 總是有一個最近可用的備份
處理 WordPress 安裝安全性的正確方法是一方面是準備,另一方面是預防。
此過程的“準備”方面以備份的形式出現。 應定期備份實際的 WordPress 文件和用於存儲信息的數據庫; 這可以通過多種不同的方式完成,包括儀表板的幾個 WordPress 插件。
如果需要更高級的文件備份方法,用戶可以使用 cPanel 或 Plesk Panel 後端管理區域中的備份工具。 此外,管理員可以自動執行該過程並創建 Cron 作業,以便隨時可以使用最近的備份。
關於 WordPress 安全性的重要一點是始終為最壞的情況做好準備。 在確保正常運行時間和可靠性方面,即使受到惡意黑客的攻擊,站點備份也是在安全漏洞關閉後恢復在線的最簡單方法。
警惕和明智的使用是安全 WordPress 安裝的關鍵
一般來說,近年來,WordPress 的安全性呈指數級增長。 在短時間內,似乎每隔一周就會出現一個新的安全漏洞。 這種模式對於更大和更多的企業用戶來說尤其麻煩,Automattic 的團隊很快就開始著手徹底重啟。
重新啟動主要是 3.0 版本,具有更安全的架構和自動更新工具,使您不必費力地保持最新的安全補丁和修復程序。
在保持安全方面,這些版本絕對應該保持最新,用戶應該使用嚴格的權限、限制和安全技巧,以確保免受惡意互聯網用戶的侵害。