防止您的 WordPress 博客被黑客入侵的 22 條提示
已發表: 2011-02-22如何避免您的 WordPress 網站被黑客入侵
無論您現在是否在您的網站或博客中使用安全措施,事實是……
明智的 Bloggers 認真對待網站安全,並儘其所能防止他們的 WordPress 博客被黑客入侵。
在線安全是一個非常現實的問題。
許多人忘記更新插件並且沒有使用最新版本的 WordPress。 如果您沒有採取措施防止您的博客被黑客入侵,那麼不這樣做可能意味著災難。
丟失博客或網站的內容可能會破壞業務、聲譽或只是您一直試圖擴大規模的在線形象; 想像一下擁有一個包含數百個帖子、評論甚至附屬鏈接的博客,卻發現它在第二天就被摧毀了! 不是很好的感覺。 但是,有一些方法可以使您的網站安全性更強而不是更好。
您可以添加插件、更新博客的框架,基本上,有很多方法可以讓您的博客或網站安全。 所以為了幫助你,我寫了這篇簡短但內容豐富的文章。 我希望它可以幫助你們中的一些人。
這篇文章當然是我自己整理的,也是我的天才博客朋友,運行 And Break 的 Julius! 查看他的博客,了解我的絕妙技巧。
如何防止您的 WordPress 網站被黑客入侵
備份您的博客
在對您的博客進行任何更改之前,請務必備份您的博客。 大多數免費插件的問題在於它們不會備份您的所有數據。 例如,如果您的 WordPress 博客被刪除並且您從免費插件恢復備份,您仍然會丟失大量數據,例如圖像,因為它們沒有使用這些插件進行備份。 這就是為什麼我會推薦使用 Backup Buddy 來備份您的完整 WordPress 博客並讓您在以後輕鬆恢復它的原因。
如果您擔心自己的博客是否會被黑客入侵,請務必查看 Backup Buddy。
使用強密碼
對於管理員等高權限用戶來說,強密碼是必不可少的。 沒有它們,您的博客將容易受到暴力攻擊。 本質上,這些攻擊是攻擊者試圖通過大量密碼(用戶組合)來猜測密碼。 如果您使用安全密碼,那麼成功的蠻力攻擊的機會就會變得非常低。
以下是有關安全密碼應包括哪些內容的一些提示:
- 至少使用 1-2 個數字 使用大小寫字符
- 使用特殊字符,例如 !@#...
您也不應該使用諸如您的出生日期或您的愛好之類的密碼。 這種密碼非常不安全,因為黑客很容易找到個人信息。
您必須採取的另一個重要步驟是擁有許多不同的密碼。 很高興只有一個密碼並通過它訪問所有內容,但想像一下如果有人知道這個密碼會發生什麼。 他基本上可以訪問您的所有帳戶。
出於這個原因,使用許多不同的密碼。
跟上補丁和更新
這是保護您的博客的另一個重要步驟。 創建補丁和更新是為了修復安全漏洞並添加到軟件的功能中。 沒有理由不安裝它們。
本質上,您還應該隨時了解 WordPress 的變化和一般漏洞。 因此,我建議您遵循以下兩個提要:
- WordPress 開發
- 博客安全網
第一個是 WordPress 開發提要,其中發布了 WordPress 的新版本和最新更新。 另一個是來自 BlogSecurity.net 的提要。 這些人經常發布 WordPress 插件或 WordPress 本身中存在的漏洞。
使用 SSH 而不是 FTP
一般來說,FTP 並不像人們想像的那麼安全。 您的 FTP 憑據通常未加密且易於捕獲。
一個非常安全的 FTP 替代方案是 SSH。 SSH 使用一種簡單的算法來加密通過它發送的所有數據,包括文件。 閱讀這個故事,您可能會改變使用 FTP 上傳的想法!
使用支持的 WordPress 主題
大多數人認為 WordPress 主題本身不會構成安全風險,但有些人會。 主題可能會帶來安全風險,因為並非每個 Web 開發人員都知道如何編寫安全代碼。
因此,最好堅持使用不時受支持和更新的主題。 受支持的 WordPress 主題通常需要一些錢,但安全總比抱歉好。 這些付費主題稱為高級主題。 此類主題由 Woo Themes 或 Thesis 等網站提供。
專業模板的另一個優點是,當你遇到麻煩時,你有一個可以求助的地方。
下載後掃描插件是否有病毒
今天,您可以輕鬆下載插件並在幾秒鐘內將它們安裝到您的博客上。 但是你必須小心你下載什麼樣的擴展。 插件可能包含惡意代碼。 因此,在下載惡意軟件後立即對其進行掃描是有意義的。
您尤其需要使用在 WordPress 插件目錄以外的其他地方下載的插件來執行此操作。
對於此任務,最好使用防病毒軟件。 較新的操作系統在下載文件後會自動檢查病毒。 如果您使用舊操作系統,我建議您每週或在下載新文件後立即掃描您的下載目錄。
更改數據庫表前綴
為了使您的數據庫更安全,您應該更改您的數據庫表前綴。 默認前綴是wp_ ,它應該更改為不同的,更複雜且更難猜的5rt30k_ 。
這就是 WP Security Scan 有用的地方,因為它會為您執行此操作。 無論如何,您都應該安裝 WP Security 插件,因為它會在您的博客上顯示潛在的安全風險。
限制對 Wp-Content 目錄的訪問
wp-content是一個重要的 Wordpress 目錄。 用戶應該只能訪問此目錄中的某些文件類型。 這些文件類型包括圖片( .jpeg 、 .gif 、 .png )、Javascript( .js )、CSS( .css )和 XML( .xml )。
因此,禁止訪問所有其他類型的數據是有意義的。 下面的代碼將允許訪問圖片、Javascript、CSS 和 XML 文件,但不允許訪問任何其他數據。 下面的代碼應該放在wp-content文件夾中的.htaccess文件中。
訂單拒絕,允許
拒絕一切
<文件~“.(xml|css|jpe?g|png|gif|js)$”>
允許所有人
</文件>
這就是你需要做的。
安全 wp-config.php
Wp-config.php是一個非常重要的文件,因為它包含對保護您的博客至關重要的所有訪問信息和密鑰。 我們可以通過將這些行添加到 WordPress 根目錄( wp-config文件所在的位置)中的.htaccess文件來保護文件:
# 保護 wp-config.php
<文件 wp-config.php>
命令拒絕,允許
拒絕一切
</文件>
此代碼拒絕所有人訪問wp-config.php文件。
沒有目錄瀏覽
關於 WordPress 安全性的另一個重要變化是禁止人們瀏覽您網站的目錄結構。 如果你想看看這是什麼樣子,只需在 Google 中輸入“index of” ,Google 就會列出所有允許瀏覽目錄的網站。
為了阻止這種行為,您所要做的就是將下面的代碼行添加到 WordPress 根目錄中的.htaccess文件中。
選項所有索引
這將一勞永逸地停止這種行為。
阻止搜索引擎索引管理部分
搜索引擎爬蟲索引幾乎所有內容,只要他們被告知不要這樣做。 您的管理部分在搜索引擎中被索引可能是一個主要的安全威脅。
因此,最好讓爬蟲遠離所有 WordPress 目錄。 最簡單的方法是在根目錄中創建一個robots.txt文件。 然後將以下代碼放入文件中:
禁止:/wp-*
保護您的插件目錄
您使用的插件可以告訴惡意用戶很多關於您網站的信息,因此隱藏它們是明智的。
您可以輕鬆隱藏插件。 首先,打開一個文本編輯器,然後創建一個名為index.html的空文件。 然後將此文件上傳到您的wp-content/plugins/目錄。
刪除默認管理員帳戶
通過刪除管理員帳戶,惡意用戶不會那麼容易知道您的用戶名。 由於每個 WordPress 安裝都附帶一個管理員帳戶,因此黑客將更容易侵入您的帳戶,因為他們已經知道用戶名。
如果您沒有新的管理員帳戶,則無法立即刪除您的管理員帳戶,因此請按照下列步驟操作:
- 創建一個新的管理員帳戶(使用更難猜的用戶名)
- 登出
- 使用新的管理員帳戶和密碼登錄
- 刪除舊帳戶
更改用戶的默認訪問權限
默認訪問權限非常安全,但如果您想安全起見並更好地控制博客上每個用戶所擁有的權限,那麼這是必不可少的。
設置它非常簡單。 你所要做的就是:
- 下載角色管理器插件
- 將其上傳到您的 WordPress 博客
- 激活它
然後轉到您博客的用戶部分。 您可以在那裡設置角色管理器插件以滿足您的需求。
刪除非活動用戶帳戶
不活躍的用戶帳戶很煩人,也存在安全風險。 有些人在註冊您的博客時會選擇弱密碼。 如果該帳戶處於非活動狀態但仍在您的博客上,則惡意用戶可能會使用此帳戶來訪問您的博客。
因此,最好的辦法就是刪除 WordPress 中的非活動用戶帳戶(儘管您需要確保它不會破壞任何東西)。 為此,請轉到您的 WordPress 儀表板並單擊用戶。 這會將您帶到將列出每個用戶的頁面。
然後繼續刪除您知道不活動的那些。
將 WordPress 身份驗證密鑰添加到 wp-config.php
添加 WordPress 密鑰是另一個重要的安全措施。 這些密鑰應該是隨機的,並作為 WordPress cookie 的鹽,從而確保更好地加密用戶數據。
使用 Wordpress 密鑰生成器生成這些密鑰,然後將wp-config.php文件中的以下行替換為生成的代碼:
define('AUTH_KEY', '把你的獨特短語放在這裡');
define('SECURE_AUTH_KEY', '把你的獨特短語放在這裡');
define('LOGGED_IN_KEY', '把你的獨特短語放在這裡');
define('NONCE_KEY', '把你的獨特短語放在這裡');
這實際上就是你所要做的。
防止 WordPress 博客被黑客入侵–安裝 WordPress 防火牆
有一個名為 WordPress Firewall 2 的插件實際上可以保護您的博客免受惡意黑客的攻擊。 它的作用是在有人試圖入侵您的博客時提醒您。 它當然也會阻止黑客的嘗試。
這個插件的問題是它的工作做得太好了。 這意味著它通常還會阻止您對博客進行任何更改。 如果您編輯 WordPress 主題文件,然後單擊保存,防火牆插件將阻止它。 手動使用 Smush.it 插件時,我也遇到了這種情況。
這非常煩人,但至少它向您表明該插件確實有效。 如果您想編輯此類文件,您唯一能做的就是禁用插件並稍後重新啟用它。
刪除 Wordpress 版本字符串
<元內容=”Wordpress 2.5″ />
WordPress 自動添加到主題的版本字符串很重要,因為它會向惡意用戶提供有關博客是否已修補的信息。 如果它是一個過時的版本,攻擊者將立即開始尋找關於該特定 WordPress 版本公開的安全漏洞。
WordPress 通常會自動將此版本字符串添加到您的主題中。 下面的代碼行將告訴 WordPress 不要將版本字符串添加到您的標題中。 您所要做的就是將代碼添加到您的functions.php文件中。
<?php remove_action('wp_head', 'wp_generator'); ?>
現在看一下您網站的源代碼。 如果生成器元標記仍然在那裡,那麼您應該檢查您的header.php是否包含這樣的行:
<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>” />
如果是這種情況,請繼續刪除它。
防止 WordPress 博客被黑客入侵——登錄儀表板時始終使用 HTTPS
HTTPS 是 HTTP 的安全版本。 使用 HTTPS 時,您的數據(即密碼和用戶名)不會以明文形式發送,而是經過加密。 這使得人們更難攔截和正確解碼您的密碼和用戶名。
如果您想在登錄 WordPress 儀表板時使用 HTTPS,則可以使用以下代碼之一併將它們添加到wp-config.php 。
定義('FORCE_SSL_LOGIN',真);
上面的代碼強制 WordPress 在登錄到管理面板時使用 SSL,但僅在登錄時使用。它不會在使用儀表板時強制使用 SSL。
除了手動執行此操作,您還可以添加一個像 WordPress HTTPS (SSL) 這樣的插件
防止 WordPress 博客被黑客入侵 –阻止對 wp-admin 目錄的訪問嘗試
wp-admin文件夾是您博客上最重要的目錄之一。 您可以通過它訪問您的儀表板。 阻止其他人訪問此目錄是保護您的博客的重要步驟。
您可以通過在wp-admin目錄中創建一個.htaccess文件來完成此操作。 將下面的代碼添加到其中,但將 IP 地址更改為您自己的。 如果您不知道自己的 IP 地址是什麼,請訪問 WhatIsMyIP。
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName“訪問控制”
AuthType 基本
命令拒絕,允許
否認一切
# 白名單家庭IP地址
允許來自 64.233.169.99
# 白名單工作IP地址
允許來自 69.147.114.210
允許來自 199.239.136.200
如果您有很多人在您的博客上寫作,那麼使用此代碼是沒有意義的,尤其是在他們不斷變化的情況下。 問題是您總是需要根據誰需要訪問您的博客來添加/刪除 IP 地址。
另一個缺點是當您的 Internet 提供商為您分配動態 IP 地址時,這意味著您的 IP 地址會不斷變化。 如果是這種情況,則不要將代碼添加到.htaccess文件中。
防止 WordPress 博客被黑客入侵 - 限制 WordPress 登錄嘗試失敗的次數
限制嘗試失敗的次數可防止用戶在您的 WordPress 帳戶上使用暴力破解技術。 蠻力攻擊是通過嘗試每個可能的密碼來嘗試找出用戶密碼。
作為對策,如果用戶連續 3 次密碼錯誤,插件會自動將用戶封禁一小時。 登錄鎖定是這些 WordPress 插件之一。
隱藏儀表板登錄錯誤
您是否注意到,當您嘗試使用現有用戶名和錯誤密碼登錄時,您會收到一條消息:錯誤:密碼錯誤。 如果您使用不存在的用戶名和密碼登錄,則會顯示不同的消息,報告Error: Invalid Username 。
這有助於惡意用戶找出存在什麼樣的用戶名。
因此,我建議您將以下行添加到您的functions.php文件中:
add_filter('login_errors',create_function('$a', “return null;”));
現在每次發生錯誤時都會出現一個空行。 試試看。
推薦文章:提高博客安全性的 10 種方法