目录
首页 笔记 详情

如何提高WordPress站点安全?防护攻略推荐


大多数人不会在维护WordPress安装上耗费过多时间。 尽管如此,WordPress的安全问题仍然应该放在最重要的位置上。如何提高WordPress站点安全,是我们每个WordPress用户需要重视的问题。网站安全涉及主机服务器和WordPress源码等方面,总结了这方面的一些建议,希望能给大家一点帮助。

站点部署在可靠的主机上

不要贪图便宜使用不知名公司的主机,要防火墙没防火前,一堆漏洞,没什么专业的人维护。还有不要使用免费的主机,本身服务器维护成本不低,还给你免费使用,想想都不对劲儿。如果被DDOS攻击,靠谱的主机方解决起来有实力。还可以使用CDN加速(付费),来隐藏真实IP。

腾讯云 提供安全组策略

安全组的设置用来管理云服务器是否可以被访问,您可以通过配置安全组的入站和出站规则,设置您的服务器是否可以被访问以及访问其他网络资源。
默认情况下,安全组的入站规则和出站规则如下:

  • 为了数据安全,安全组的入站规则为拒绝策略,禁止外部网络的远程访问。如果您需要您的云服务器被外部访问,则需要放通相应端口的入站规则。
  • 安全组的出站规则用于设置您的云服务器是否可以访问外部网络资源。如果您选择 “放通全部端口” 或 “放通22,80,443,3389端口和 ICMP 协议”,安全组出站规则为全部放通。如果您选择自定义安全组规则,出站规则默认为全部拒绝,您需要放通相应端口的出站规则来访问外部网络资源。

购买服务器后,我做的第一件事就是更改ssh登录端口,然后屏蔽掉22端口,避免部分软件的批量扫描。

选择知名的PHP+mysql运行环境组件来部署

宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能。核心功能: 一键lamp/lnmp,网站管理,数据管理,FTP管理,系统监控,全能文件管理系统,代码在线编辑器,安全管理,定时计划任务,软件管理等等

安装最新版WordPress以及持续更新官方主题和插件

这里所说的官方,一是WordPress官方,二是主题或插件开发者的官方,尽量避免使用“破解”版主题、插件,慎用网上传播的原本是收费,但是被人恶意提供免费下载的主题、插件。

由于33%的互联网都在使用WordPress站点,免不了被不怀好意的人盯上,所以官方对安全性非常看重,有专业团队监控并修复各种安全漏洞,可能会频繁的更新补丁,所以我们一定要及时的安装更新官方发布的稳定版本。这是官方设置的第一道防线。

基本安全设置

比如WordPress安装时修改数据库默认前缀 wp_,修改默认的用户名 admin;宝塔面板修改默认的8888端口等等。

使用复杂的密码,经常更换密码

无论是ssh登录密码,还是WordPress后台登录密码,包括宝塔面板的登录密码,建议使用含 大写字母、小写字母、数字和其他符号 的复杂密码,比如 nuH2j&*aHG%dMz ,避免使用生日、手机号、QQ号等。

WordPress安全策略

隐藏WordPress版本信息

//隐藏版本号
function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

文件夹权限

WP是用php开发的,在访问你的站点的时候有可能某个链接是.php的,一旦被发现php源文件有漏洞的话,他可能就会做一些渗透。
在.htaccess文件里添加针对敏感目录的规则,禁止直接访问.php文件

<Directory "/var/www/wp-content/uploads/">
  <Files *.php>
    Order Allow, Deny
    Deny from all
  </Files>
</Directory>

定时备份网站数据和文件

虽然做了很多安全工作,定时备份依然很重要,我们可以用宝塔面板的备份功能,也可以在WordPress后台安全备份插件。

可以借助WordPress备份插件进行自动备份或手动备份:

WordPress数据库定时备份插件:WordPress Database Backup

使用WordPress自带导出导入功能备份和恢复网站

WordPress克隆/备份/搬家插件:WP Clone

WordPress超强备份插件:BackWPup(支持FTP/Email/本地/网盘)

总结:

1、时将WordPress和插件都更新到最新版本
2、除不用的WordPress主题和插件
3、用安全程度较高的密码
4、使用“admin”为登录名
5、WordPress文件规定正确的文件许可权限
6、期备份WordPress数据库(可利用备份插件)


写笔记

咨询

您的电子邮箱地址不会被公开。 必填项已用*标注