当前页面: 首页> 快搜动态

SEO和开发人员的WordPress安全计划

2019-03-20

怎么维护您的WordPress网站免受进犯并保证其安全

如今,WordPress 为一切网站供给了惊人的三分之一。自从中期开端实施WordPress的许多SEO功能以来,它一直是咱们社区的CMS渠道。因而,它受到了无情的进犯,主要是出于搜索引擎优化垃圾邮件的原因,但进犯可能会更加恶化。

以下是一些WordPress基础知识以及保证您的WordPress网站保持安全的办法。

WordPress安全吗?

最新版其他WordPress开箱即用。然而,忽视更新它可能会使其不安全。这便是许多安全专业人士和开发人员不是WordPress粉丝的原因。WordPress也类似于本质上不安全的PHP意大利面条代码,其间WordPress本身正告说,缝隙“源于渠道的可扩展部分,特别是插件和主题”。

WordPress更新

没有100%安全体系这样的东西。WordPress需要安全更新才能安全运转,这些更新不会对您产生负面影响。翻开自动安全更新。但是,更新WordPress中心的确需要保证一切内容都兼容。只需兼容版别可用,请立即更新插件和主题。

开源

WordPress是开源的,既有危险也有好处。该项目受益于为中心供给代码的开发人员社区,中心团队修补了社区发现的安全缝隙,而流氓则发现了撬开内容的办法。缝隙经过缝隙运用应用程序编写到扫描中,缝隙运用程序能够检测正在运转的内容的哪些版别以匹配您的版其他已知缝隙。

先维护自己

即便您没有办理员人物,也能够采纳一些办法来维护自己。保证您运用定时扫描的作业站在安全的网络上作业。阻挠广告以避免伪装成图画的杂乱进犯。当您在公共WiFi热门作业时,运用VPN进行端到端加密,以避免会话绑架和MITM进犯。

安全暗码

不管您具有什么样的人物,安全地办理暗码都很重要。保证您的暗码是唯一且足够长的。当暗码不行长时,即便是标点符号,数字和字母的组合也不行安全。你需要长暗码。如果您需要回忆,请运用串在一起的四个或五个单词的短语,但最好运用为您生成暗码的暗码办理器。

暗码长度

为什么长度如此重要?换句话说,运用名为HashCat的免费开源实用程序,八个字符的暗码在不到2.5小时内破解。不管你的暗码是多么难以了解,破解短暗码只需要几个小时。从13个字符开端,破解开端变得无法克服,至少目前如此。

办理员

如果您具有办理员用户人物,请为自己创立一个仅限于修改人物的新用户。开端运用新配置文件而不是办理员。这样,广域网进犯将集中于进犯您的修改器人物凭据,如果您的会话被绑架,您就具有办理员权限来更改暗码并从入侵者手中夺取操控权。经过运用插件强制每个人遵从强暗码策略。

安全方针

如果您有安全经验,请履行插件和主题的代码审阅(明显)。为一切用户树立最小特权原则。然后你逼迫黑客履行shell弹出技巧和权限升级,这涉及进犯除WordPress凭据之外的目标。

更改文件权限

如果您操控主机,请经过运用操控面板为自己供给SFTP帐户(如果有),或者尝试运用您能够拜访的办理员用户界面。它可能具有配置凭据以翻开安全shell终端窗口(SSH)的副作用。这样,您能够运用体系实用程序等履行其他安全办法。

确定关键文件

除了运转WordPress的PHP进程之外,有一些文件永远不应该被拜访。您能够更改文件权限并修改.htaccess文件以进一步确定这些文件。要更改文件权限,请运用SFTP客户端(如果有选项),或翻开终端shell窗口并运转chmod utility指令。

$ chmod 400 .wp-config
$ ls -la

这意味着只需运转WordPress的PHP进程才能读取该文件,而没有其他。该文件永远不应该设置“履行位”,就像运用chmod 700相同。你应该总是在第二和第三位有零 - 这便是真正确定它的原因。运用-la选项验证运转ls实用程序的更改并检查。

具有严格的文件权限设置意味着即便是经过WordPress,也无法将任何内容写入文件。$ chmod 600 .wp-config当有一个主要的WordPress更新,其间配置文件有修改时,您即将授予写权限。如果有的话,那应该很少发作。

WordPress登录文件

我喜爱运用.htaccess规则确定wp-login.php文件。约束只拜访我的IP地址非常合适我从一个静态分配的IP作业,或者为我自己和一些用户作业的少数地址。如果您从其他位置登录,只需您能够在主机上获取shell,就不难更改设置。只需注释掉deny指令,运用浏览器登录,然后撤销注释即可。

XSS和SQL注入

到目前为止,您将遇到的最可怕的进犯是跨站点脚本(XSS)和SQL注入。您能够运用.htaccess查询字符串重写规则来阻挠其间的一些,并且最好运用能够为您办理此插件的插件。一些安全插件将扫描您的装置,寻找退让的痕迹。如果您知道怎么运用重写,请重定向或阻挠查询字符串签名,以查找您在日志中阅读或检查的进犯。

安全插件

一些安全插件将扫描您的装置,寻找退让的痕迹。Wordfense是一个盛行的安全插件,它会定时更新。Sucuri Scanner有一个付费选项,能够扫描您的装置。Ninja防火墙将尝试约束基于恳求的进犯,在它们到达WordPress中心之前阻挠它们。您还能够运用Google的新Web Risk API编写应用程序来扫描您网站的页面。
?

seo