文档章节

让你的 WordPress 网站更安全的5 个方法

问题终结者
 问题终结者
发布于 2017/08/27 17:01
字数 1278
阅读 9
收藏 0
点赞 0
评论 0

让你的 WordPress 网站更安全的5 个方法让你的 WordPress 网站更安全的5 个方法

WordPress 是迄今为止最流行的博客平台。

正由于它的流行,也因此带来了正面和负面的影响。事实上,几乎每个人都使用它,使它更容易被发现漏洞。WordPress 的开发人员做了很多工作,一旦新的缺陷被发现,就会发布修复和补丁,但这并不意味着你可以安装完就置之脑后。

在这篇文章中,我们将提供一些最常见的保护和强化 WordPress 网站的方法。

在登录后台时总是使用 SSL

不用说的是,如果你并不打算只是做一个随意的博客,你应该总是使用 SSL。不使用加密连接登录到你的网站会暴露你的用户名和密码。任何人嗅探流量都可能会发现你的密码。如果你使用 WiFi 上网或者连接到一个公共热点,那么你被黑的几率更高,这是特别真实的。你可以从这里获取受信任的免费 SSL 证书。

精心挑选附加的插件

由第三方开发人员所开发,每个插件的质量和安全性总是值得怀疑,并且它仅取决于其开发人员的经验。当安装任何额外的插件时,你应该仔细选择,并考虑其受欢迎程度以及插件的维护频率。应该避免维护不良的插件,因为它们更容易出现易于被利用的错误和漏洞。

此主题也是上一个关于 SSL 主题的补充,因为许多插件包含的脚本会发出不安全连接(HTTP)的请求。只要你的网站通过 HTTP 访问,一切似乎很好。但是,一旦你决定使用加密并强制使用 SSL 访问,则会立即导致网站的功能被破坏,因为当你使用 HTTPS 访问其他网站时,这些插件上的脚本将继续通过 HTTP 提供请求。

安装 Wordfence

Wordfence 是由 Feedjit Inc. 开发的,Wordfence 是目前最流行的 WordPress 安全插件,并且是每个严肃的 WordPress 网站必备的,特别是那些使用 WooCommerce 或其它的 WordPress 电子商务平台的网站。

Wordfence 不只是一个插件,因为它提供了一系列加强您的网站的安全功能。它具有 web 程序防火墙、恶意软件扫描、实时流量分析器和各种其它工具,它们可以提高你网站的安全性。防火墙将默认阻止恶意登录尝试,甚至可以配置为按照 IP 地址范围来阻止整个国家/地区的访问。我们真正喜欢 Wordfence 的原因是,即使你的网站因为某些原因被侵害,例如恶意脚本,Wordfence 可以在安装以后扫描和清理你的网站上被感染的文件。

该公司提供这个插件的免费和付费订阅计划,但即使是免费计划,你的网站仍将获得令人满意的水平。

用额外的密码锁住 /wp-admin 和 /wp-login.php

保护你的 WordPress 后端的另一个步骤是使用额外的密码保护任何除了你以外不打算让任何人使用的目录(即URL)。 /wp-admin 目录属于此关键目录列表。 如果你不允许普通用户登录 WordPress,你应该使用密码限制对 wp.login.php 文件的访问。无论是使用 Apache 还是 Nginx,你都可以访问这两篇文章,了解如何额外保护 WordPress 安装。

禁用/停止用户枚举

这是攻击者发现你网站上的有效用户名的一种相当简单的方法(即找出管理员用户名)。那么它是如何工作的?这很简单。在任何 WordPress 站点上的主要 URL 后面跟上 /?author=1 即可。 例如: wordpressexample.com/?author=1。

要保护您的网站免受此影响,只需安装停止用户枚举插件。

禁用 XML-RPC

RPC 代表远程过程调用,它可以用来从位于网络上另一台计算机上的程序请求服务的协议。对于 WordPress 来说,XML-RPC 允许你使用流行的网络博客客户端(如 Windows Live Writer)在你的 WordPress 博客上发布文章,如果你使用 WordPress 移动应用程序那么也需要它。 XML-RPC 在早期版本中被禁用,但是从 WordPress 3.5 时它被默认启用,这让你的网站面临更大的攻击可能。虽然各种安全研究人员建议这不是一个大问题,但如果你不打算使用网络博客客户端或 WP 的移动应用程序,你应该禁用 XML-RPC 服务。

有多种方法可以做到这一点,最简单的是安装禁用 XML-RPC插件。

via: https://www.rosehosting.com/blog/5-tips-for-securing-your-wordpress-sites/

作者:rosehosting.com 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

原文来自:https://linux.cn/article-8211-1.html

本文地址:http://www.linuxprobe.com/wordpress-web-security.html

本文转载自:

共有 人打赏支持
问题终结者
粉丝 10
博文 588
码字总数 71407
作品 0
运维
简单几步让你的 WordPress 更加安全

大多数人不会在维护WordPress安装上耗费过多时间。 尽管如此,WordPress的安全问题仍然应该放在最重要的位置上。 服务器端和.htaccess 保护WordPress网站安全的第一步自然是寻找安全的虚拟主...

小编辑 ⋅ 2010/05/12 ⋅ 0

[Share]2008年国外最佳Web设计/开发技巧、脚本及资源总结

今天是2008年的最后一天,彬Go为大家奉上今年的最后大餐,这篇文章将为大家总结08年国外一些比较不错的前端开发相关的教程、技巧、脚本、实 例及工具资源等,有一些是曾经彬Go发表过的翻译文...

吞吞吐吐的 ⋅ 2017/10/05 ⋅ 0

11个实用的Apache .htaccess配置

Apache的.htaccess文件是服务器的心脏,控制着网站访问的各种规则。这里提供了10个不错的.htaccess片段能够帮助你优化你的网站,包括重定向、性能、可用性等等! 1. 强制后缀反斜杠 在URL的尾...

lixiaokai2008 ⋅ 2014/01/21 ⋅ 0

11个帮你优化网站的 .htaccess 片段

Apache的.htaccess文件是服务器的心脏,控制着网站访问的各种规则。这里提供了10个不错的.htaccess片段能够帮助你优化你的网站,包括重定向、性能、可用性等等! 1. 强制后缀反斜杠 在URL的尾...

虫虫 ⋅ 2011/10/25 ⋅ 4

WordPress 被黑原因及防护技巧

WordPress 的确是一个很出色的平台,有着丰富的第三方插件和主题,也给博客主和广大读者提供了很棒的体验。但是,如果你不重视网站安全的话,你的博客很快就会成为黑 客眼中甜美的蛋糕了。在...

oschina ⋅ 2012/08/11 ⋅ 12

2008 年,我买了一本书,书名叫“PHP 6”。6年后,PHP的版本仍然是5.6

上个星期天,我感觉应该整理一下我的书柜。于是,在书柜里,我发现了一本几乎完全忘记的书(我想不起来为什么要买它!):《PHP 6 – 快速简洁的Web开发》 这本书出版于2008年一月。而六年之后...

oschina ⋅ 2014/09/03 ⋅ 43

安装 WordPress 后 9 件该做的事情

1. 修改永久链接结构 默认的链接是这样的 www.example.com/?p=23,建议改成 /%post_id%/%postname%/。这个后台可以设置的。 2. 安装数据库自动备份插件 插件名字叫做 Wp-DB Manager,链接 ht...

虫虫 ⋅ 2011/11/11 ⋅ 1

WordPress 插件开发教程 Part 1 – WordPress 插件简介

本部分教程包括以下内容: 了解什么是插件 使用可用的 WordPress APIs 插件的加载顺序 热门插件示例 分别插件和主题功能上的不同 安装和管理插件 了解插件的类型 WordPress 是开源免费的内容...

Amamatthew ⋅ 2014/07/07 ⋅ 0

加强 WordPress 安全的 8 条技巧

WordPress的安全是我们时常提及的一个议题。或许你已经听到了很多关于网站安全的建议,但却未必去做,因为你觉得你的网站并不会成为“黑客”攻击的目标。但实际上,在过去几年中,我们的WPC...

红薯 ⋅ 2011/09/26 ⋅ 3

Wordpress可以用来做什么?

WordPress本身只是一款开源的、基于PHP的博客软件,但是由于WordPress的源码开源、结构优良、插件丰富、主题繁多,以至于是 WordPress成为世界上最流行的博客程序。《WordPress获得2009年度开...

红薯 ⋅ 2010/05/29 ⋅ 2

没有更多内容

加载失败,请刷新页面

加载更多

下一页

CENTOS7防火墙命令记录

安装Firewall命令: yum install firewalld firewalld-config Firewall开启常见端口命令: firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-po......

cavion ⋅ 56分钟前 ⋅ 0

【C++】【STL】利用chromo来测量程序运行时间与日志时间打印精确到微秒

直接上代码吧,没啥好说的。头疼。 #include <iostream>#include <string>#include <ctime>#include <sstream>#include <iomanip>#include <thread>#include <chrono>using ......

muqiusangyang ⋅ 59分钟前 ⋅ 0

Mac环境下svn的使用

在Windows环境中,我们一般使用TortoiseSVN来搭建svn环境。在Mac环境下,由于Mac自带了svn的服务器端和客户端功能,所以我们可以在不装任何第三方软件的前提下使用svn功能,不过还需做一下简...

故久呵呵 ⋅ 今天 ⋅ 0

破解公司回应苹果“USB限制模式”:已攻破

本周四,苹果发表声明称 iOS 中加入了一项名为“USB 限制模式”的功能,可以防止 iPhone 在连接其他设备的时候被破解,并且强调这一功能并不是针对 FBI 等执法部门,为的是保护用户数据安全。...

六库科技 ⋅ 今天 ⋅ 0

MyBtais整合Spring Boot整合,TypeHandler对枚举类(enum)处理

概要 问题描述 我想用枚举类来表示用户当前状态,枚举类由 code 和 msg 组成,但我只想把 code 保存到数据库,查询处理,能知道用户当前状态,这应该怎么做呢?在 Spring 整合MyBatis 的时候...

Wenyi_Feng ⋅ 今天 ⋅ 0

synchronized与Lock的区别

# <center>王梦龙的读书笔记第一篇</center> ## <center>-synchronized与Lock的区别</centre> ###一、从使用场景来说 + synchronized 是能够注释代码块、类、方法但是它的加锁是和解锁使用一......

我不想加班 ⋅ 今天 ⋅ 0

VConsole的使用

手机端控制台打印输出,方便bug的排查。 首先需要引入vconsole.min.js 文件,然后在文件中创造实例。就能直接使用了。 var vConsole = new VConsole(); vConsole的文件地址...

大美琴 ⋅ 今天 ⋅ 0

Java NIO之字符集

1 字符集和编解码的概念 首先,解释一下什么是字符集。顾名思义,就是字符的集合。它的初衷是把现实世界的符号映射为计算机可以理解的字节。比如我创造一个字符集,叫做sex字符集,就包含两个...

士别三日 ⋅ 今天 ⋅ 0

Spring Bean基础

1、Bean之间引用 <!--如果Bean配置在同一个XML文件中,使用local引用--><ref bean="someBean"/><!--如果Bean配置在不同的XML文件中,使用ref引用--><ref local="someBean"/> 其实两种......

霍淇滨 ⋅ 今天 ⋅ 0

05、基于Consul+Upsync+Nginx实现动态负载均衡

1、Consul环境搭建 下载consul_0.7.5_linux_amd64.zip到/usr/local/src目录 cd /usr/local/srcwget https://releases.hashicorp.com/consul/0.7.5/consul_0.7.5_linux_amd64.zip 解压consu......

北岩 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部