[软文干货]有关WordPress相关的安全小知识




以下内容大概是月宅使用了半年的WordPress体验来写,每一条都是月宅目前觉得可行的,且正在用的方法。不妨看一看吧!(PS:某位同学想看看这类的文章,然后顺便让我水了一篇)


一-xmlrpc.php

首先是WordPress根目录下的“xmlrpc.php”文件,月宅安装wp后会习惯性的将它删除,如果你没有其他用途的话,推荐删除它。因为它会造成别人利用工具进行连环爆破,大概直接post这个文件,非常的消耗服务器资源与被爆破用户名密码的风险。

二-升级到最新版

你需要及时的更新WordPress到最新版,不过这点无需手动更新,wp大概都是自动把你站点升级为最新,最新版wp能最大化的保证漏洞被修复不背它人利用。

三-wp-login.php

在用自己浏览器登陆后,删除你的wp-login.php,让别人无法访问到该文件,无论是访问wp-admin还是wp-login都会是404页面,但自己不受影响,因为你的浏览器记录了cookiec,只需要直接访问域名/wp-admin就可以进入到后台。

四-更改后台登陆地址

这篇文章教你如何输入正确的地址进入后台登陆,不算是完全更改了后台地址,但是能有效的防止别人利用表单提交的方式来进行爆破。

五-谷歌两步验证

这也是月宅用过的措施,在前面的防线被突破后,别人知道了用户名与密码后,这大概是你最后的防线了,也是参考这篇文章,与静态缓存插件冲突,大概会造成你的首页也是登陆验证页面,使用后的好处是你登陆的时候需要用手机APP获取动态验证码后才可以上去。目前IOS与Android均有下载,ios搜索谷歌验证下载。

六-定期备份到云盘与本地

备份是必须的,月宅目前是3天一次备份,分别为优先备份到本地,接着备份到云盘,也有自动备份的软件、工具,多备份呀,备份宝什么的,个人博客站点百分百够用。

七-使用WAF

WAF目前你可以使用云盾、百度云加速、360网站卫士之类的webWAF来防御,如果你使用的是纯CDN功能,那么别人很有可能对你进行各种针对WordPress的SQL注入攻击。

八-使用安全插件

如果你不想用WAF,或者是未备案,想要防御针对wp的攻击,那么可以使用这几款安全插件:WordPress Firewall 2,大概是可以防御sql注入与一些扫文件漏洞。Limit Login Attempts使用这款软件来限制登录,如果你知道自己的密码,直接限制输入一次,之后拉黑,前提是你用了waf、cdn的产品,你需要自行设置获取xff(x-forward-for)。WP Security Scan这款插件能够自动扫描当前漏洞进行自动补漏,非常的方便。

九-开启登录邮件通知

登录通知在网上可以搜到很多的答案,只要博客有登录,那么自己将会第一时间收到登录通知的邮件,大概会有如下信息:登录IP、登录名、登录密码、登录时间。知道自己博客被登录后,可以第一时间上去改密码。

十-隐藏wp版本信息

这个东西的话,想隐藏就隐藏,不隐藏也可以,但别人如果知道了你的版本号,那么就可以查出这个版本的一些漏洞来对你进行攻击。别人不知道版本多少,漏洞是否有效,那也就无从下手了。

十一-wp-admin目录权限

可以直接把该目录的权限设置为自己的IP,只有自己才可以访问整个目录下的链接、文件。接着将其他IP统统设置为403状态。

最后

高强度密码与高强度用户名,这些也就不需要我多BB了。另外,不要使用默认数据库前缀“wp_”趁早上谷歌百度答案改掉吧。还有,不要去看别人的后台地址,有的很蛋疼,把后台页面换成乱七八糟的东西,什么贞子都有!!!尊重他人。

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
等待编辑中
4 条回复 A 作者 M 管理员
  1. 码了

  2. 十二,不要用WordPress,直接静态,无视注入

  3. 登录需要答小学数学题的路过,好好学习

  4. 签到成功!签到时间:下午5:23:01每日打卡,生活更精彩哦~

欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论