WordPress防被黑一直以来是各位wordpress站长所关心的问题,wordpress本身已经有强大的安全防护措施,WordPress是使用PHP语言开发的内容管理平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站/博客。但是无聊人士之多,很多站长往往会遇到这样那样的事情,那么,wordpress程序有哪些优点?wordpress防止被黑的几个技巧、如何防止被暴力破解?今天就跟大家谈谈如何保护你的wordpress网站。
一、WordPress有诸多优点:
1.功能强大、扩展性强,其插件众多,功能易于扩充,基本上一个完整网站该有的功能,通过其第三方插件都能实现所有功能;
2.搭建的网站对seo搜索引擎友好,收录也快,排名靠前;
3.适合DIY,如果你喜欢内容丰富的网站,那么wordpress可以很好地符合你的胃口;
4.主题很多,各色各样,应有尽有;
5.WordPress备份和网站转移比较方便,原站点使用站内工具导出后,使用WordPressImporter插件就能方便地将内容导入新网站;
6.有强大的社区支持,有众多开发者贡献和审查wordpress,非常活跃。
WordPress目前已经成为世界上最受欢迎的内容管理系统。
2017年底统计的数据是占据内容管理系统市场份额接近60%,而排名第二的竞争对手Joomla(CMS的比较)仅占6.3%。
更令人惊叹的是,到目前为止,世界上有26.9%网站都在使用WordPress,该类网站每月访问量是223.1亿次。
随着WordPress运用的广泛,WordPress黑客也越来越常见。黑客在入侵网站之后,可以在上面搭载钓鱼页面,传播恶意软件,盗取敏感信息等。那如何应对呢?下面是防止WordPress黑客的几个技巧。
二、wordpress防止被黑的几个技巧
1、备份
作为站长,定期的数据备份是一个巨大的保险,特别是在黑客攻击之后。采取必要的措施确保你的WordPress网站或博客上的信息在进行任何重大更改之前进行备份,并且建议在更新后执行相同的操作。
尽管大多数人喜欢手动备份数据,但使用插件可以使你的工作更易于管理。插件可以在设定的时间点或时间间隔自动备份,在此推荐Backupbuddy。虽然该插件付费,但是它可以帮你把WordPress上的设置、文件、图像和数据库上的所有内容中导出。当然也有免费插件可供选择。
不过,笔者一般是手动备份,wordpress程序有个弊端,插件安装得越多,访问速度就越慢,因此尽量减少插件是有必要的。
2.保持WordPress版本的更新
定期更新你的博客/网站到最新的WP版本可以为你节省很多麻烦。除了让你的体验更好,还能修补被黑客利用的安全漏洞。
你可以简单地按照WordPress提供的链接更新,或者以管理员身份登录到博客/网站。请务必关注WordPress的开发博客,及时了解下一个补丁或新版本何时发布。
3.检查主题和插件以获得持续支持
这也是一个防备黑客的必要选择。建议只使用持续支持和更新的插件和主题。因为大多数开发者只提供大约一两年的支持,然后就停止了。过时的插件/主题最好完全卸载它们。
选用主题或插件时,确保它会定期更新,评分较高,客户的评价也不错。你会惊讶地发现大部分最畅销的主题已经过时,或者很长一段时间才获得更新。在下订单前最好看看评论区的“红旗”警示,以及其他的产品缺陷描述。
大多数高级WordPress主题与第三方插件(作为“免费赠品”)捆绑在一起,而这些第三方插件可能不会经常更新。
例如,插件RevolutionSlider就和ThemeForest主题捆绑了在一起,它在2014年有一个严重的漏洞。
使用此插件的数千个网站被黑客入侵,大部分黑客将流量重定向到恶意网站。尽管开发者推出了主题更新,但捆绑的插件漏洞没有得到修补,许多网站损失惨重。
作为一项预防措施,请考虑选择未捆绑的插件。如果实在需要的话,请分别购买每个插件,以减少你网站上的漏洞。你还需要打开这些插件的更新,以保持网站的安全。
4.保持WP管理员目录安全
WP中的admin目录应始终受密码保护,它是网站每个功能和安全的关键。保护WP-admin目录的密码有助于防止黑客和其他恶意人员进入。这需要管理员输入两个密码才能进入管理员目录。
保护WP-admin目录的另一种方法是安装AskApachePasswordProtect插件。该插件配置增强了文件的安全权限并使用.htpasswd文件对目录进行加密。
5.使用SSL证书加密数据
使用SSL证书来保护管理面板是一个明智的举措。此认证确保服务器和用户浏览器之间的数据传输已加密,几乎不可能泄露。
它增强了网站的数据安全性,而获得SSL证书也很容易,你可以从一个专门的证书公司购买。
另一个选择是使用“Let’sEncryptSSL”证书,一个开源产品,免费。此外在WP网站上使用SSL证书还可以帮助提高网站在Google上的排名。
6.切勿使用公共Wi-Fi登录
公共Wi-Fi会对你的设备、网站和在线活动构成多重威胁。同一网络上的其他恶意人员或正在运行的数据包嗅探软件都可以嗅出你发送的任何个人数据。
如果你必须登录到WP网站管理员面板,请确保你已安装SSL证书,或者VPN。运行VPN是一个好习惯,永远不要低估一个黑客。
7.禁用文件编辑
对WP站点仪表板有访问权的用户可以编辑甚至删除站点上的文件,这包括已经安装的主题和插件。
在网站上禁用文件编辑意味着只有你可以对网站进行修改,而且任何可以访问WP仪表板的黑客都会发现他对你网站上的文件几乎无能为力。
要实现这一设置,请将以下命令添加到位于最后的wp-config.php文件中。
Define(‘DISALLOW_FILE_EDIT’,true);
8.使用正确的服务器配置和连接
在首次建立网站时,最好是通过SSH或SFTP连接服务器。与传统的FTP协议相比,SFTP安全性更强。
通过SFTP和SSH连接服务器可确保文件的安全传输。大多数虚拟主机提供商可以根据要求提供这种服务,有些服务提供商将其作为软件包的一部分提供;你也可以手动启用这些功能。
三、如何防止被暴力破解?
暴力破解是当一个人或一些机器上尝试通过反复发送的登录尝试破解您的用户名密码组合。他们会使用一些常见的和随机的用户名和密码组合进行连续登录尝试到你的WordPress。
如何保护你的wordpress防止被暴力破解?
当然这是我们今天讨论的主题,暴力破解是邪恶的,但是你可以很容易地通过采取下面这些简单的预防措施保护您的WordPress的强力攻击:
1、强大的用户名:
(1)您还是使用的是admin为你的WordPress的用户名? 这是默认的用户名也很容易被黑客猜出此用户名。 请务必使用您的姓名或不同的东西作为你的WordPress的管理员用户名。
(2)修改默认用户名admin::默认的用户名不要为 admin,通过一条 SQL 语句修改 admin 的用户名:UPDATE xxx_users SET user_login = ‘username’ WHERE user_login = ‘admin’;
方法:将xxx_users中的xxx替换为你第一步改的前缀。
2、强密码:
就像强大的用户名,你需要一个强大的密码! 暴力破解者试图猜测一些随机密码组合,字典中的单词,并使用所有常用的密码破解您的密码。 使用password作为您的密码是不是一个明智的举动,因为暴力破解将马上破解这个密码。 强大的wordpress密码应该使用随机字母,数字和特殊字符。 不要使用类似123456或QWERTY字符串。您也可以通过访问howsecureismypassword.net 来检查您的密码强度。
3、限制登录尝试:
您也应该在你的WordPress网站限制登录尝试。 限制登录尝试的插件(Limit Login Attempts)会阻止管理员指定的限制登陆次数后的操作。 它不会让暴力破解尝试破解你的密码。
4、通过IP限制进入wp-admin和wp-login:
如果你是一个人在管理你的WordPress,那么只需要你自己能进入wordpress后台即可,你可以设定一个固定的IP地址段,通过.htaccess文件来限制进入wp-login和wp-admin。 你可以这样写:
Order deny,allow
Deny from all
Allow from xx.xx.xx.0/24
#Another IP
Allow from xx.xx.xx.xx
替换xx.xx.xx.xx 成你的IP地址. 要知道你的IP地址,你可以在百度中输入IP即可查询,也可以访问ip138。
5、WordPress插件:
其实这方面的插件很多,今天主要是介绍这款插件Wordfence Security,后台搜索即可安装,此款插件可以保护你的wordpress的安全,防止被暴力破解等攻击。
6、修改数据库表前缀
默认的表前缀是wp_,如果你安装博客的时候没有修改,可以参考这篇文章修改下表前缀。
修改完登录测试下,如果登录成功后提示“您没有足够的权限访问该页面”,说明前缀没有修改完整,参照这篇文章搜索下剩下的,然后一个个手动修改即可。
7、去除wordpress特征
在当前主题(wp-contents/themes/xxx) functions.php 文件末尾添加以下代码去掉 WordPress 版本信息,减少被特征提取的机率。代码如下:
remove_action( ‘wp_head’, ‘wp_generator’);
8、保护wp-login.php
将下面的代码添加到当前主题的 functions.php 文件:
add_action(‘login_enqueue_scripts’,’login_protection’);
function login_protection(){
if($_GET[‘key’] !=’pass’)header(‘Location: /404.html’);
}
这样一来,后台登录的唯一地址就是 http://hostname/wp-login.php?key=pass,如果不是这个地址,就会自动跳转到 404.html 页面。
建议修改上面的key pass为其他字符串,例如wp-login.php?zheshihoutaidizhi=hehehehehehehehehhhh,404.html也可以换为网站主页地址http://blog.b1uew01f.net/ http要带。
这时候,由于访问/wp-admin/时是跳转到wp-login.php进行登录的,经过上面的修改后,会再跳转到404.html页面,也启到一定的疑惑作用。