WordPress 安全性有效措施汇总
有关 WordPress 安全性的文章其实已经有很多了,但是我感觉随着技术的迭代发展, WordPress 安全也在不断的面临考验,好在 WordPress 官方一直保持着及时有效的漏洞修复更新,这是众多网站平台系统很少能保持的,也是 WordPress 至今还长盛不衰的原因之一。
今天我根据自己的经验教训给大家做个保持 WordPress 安全性的措施汇总,希望可以帮助到大家。首先,在 WordPress 安全性上不要抱“侥幸心理”,很多站长们都认为自己下折腾的站点没有价值,安全隐患带来不了多大的损失,殊不知你的站点是没有价值,那么你的服务器呢?那么你的 IP 地址呢?那么你的域名权重呢?这些资源一个两个的无所谓,那么成百上千后就可以是某个灰色产业链的一部分了。服务器可以当做一个挖矿客户端,IP 地址可以作为“肉鸡”IP 出售、域名以及权重都可以方便的变现。其实还有很多类似的经历,因为各种原因没有办法及时的记录和分享,总之我的感觉就是对待 WordPress 安全性上一刻都不能松懈!
措施一:及时发现安全隐患
每次更新完 WordPress 后,都要及时删除 wp-admin 目录下的 install.php 文件,这个要养成习惯!正常进入 WordPress 后台感觉很卡顿的时候就要及时的进行安全扫描了,Wordfence Security 插件绝对是个 WordPress 站点必备的安全插件,需要的时候启用进行 Scan 扫描发现有嫌疑的文件后通过 FTP 或者命令行控制台终端进行查看、删除,平时可以关闭插件节省服务器负载资源(没有必要常开启),这个插件对“恶意代码”、后门、木马、隐藏代码等等有很好的扫描效果,经常在线测试插件、主题的站长们这个插件一定要用,因为这个习惯就是个“招蜂引蝶”的节奏。
措施二:注意 WordPress 目录权限设定
很多新手站长们为了图方便喜欢将 WordPress 目录权限设定为 755 甚至 777,殊不知这样的方便给各种后门、木马、恶意代码的执行也带来了“方便”,分分钟修改你的 WordPress 系统内核代码实现各种“黑”操作和各种“潜伏”。我建议 WordPress 目录权限保持 644 是最合适的,需要读写的目录单独给予 755 权限即可(不要递归子目录),有频繁修改代码的尽量采用 FTP 方式下载到本地修改保存再上传覆盖,有条件的就在命令行控制台终端进行代码修改和保存都比修改目录文件权限要安全的多。服务器上的网站文件架构以及文件系统是 Linux 系统的,跟我们 Windows 电脑是不一样的文件管理模式,不要有想当然的成分。
措施三: WordPress、数据库密码等等的独立性
很多站长在安装 WordPress 的时候在 wp-config.php 里配置数据库账号和密码习惯性的使用 root 账号和密码,这样是很方便,但是 wp-config.php 文件可以说是明码保存着你的 root 账号和密码,这就意味着一旦被别人获取到,别人就获取到数据库的所有权了几乎,所有数据在面临泄露、丢失的风险同时,还会涉及被篡改 WordPress 登陆账号和密码,甚至进一步获取你服务器远程 SSH 登录密码。我建议大家慎重保存 root 账号和密码,无论是数据库还是服务器上的都很重要, WordPress 数据库密码就使用当前数据库的账号和密码即可(在创建数据库的时候会提示你创建的账号和密码就是),这样独立性的密码会将危害风险降到最低,风险越补救的措施就多。
措施四:谨慎选用插件!
WordPress 众多的插件是最大的亮点了,同时也是一个“安全隐患”的重灾区, WordPress 性能下降的原因大部分都是“插件”造成的,现在看来 WordPress 大部分的安全问题都是出在“插件”上,有人会说我只用 WordPress 官方插件库里的插件安全有保障,这点儿我绝不敢苟同!所谓的插件基本上就是 PHP 代码文件,在众多的代码中隐藏个激活后门啥的完全没有多大问题,只要不激活永远无法被发现,所以官方插件库里的插件绝对不是百分百的“安全、纯净”。我总结了几条 WordPress 插件使用选择的准则供大
家参考一下:
· 1、来历不明的插件不用。
· 2、破解插件不用。
· 3、有未知站外 HTTP 请求的插件不用。
· 4、需要读写权限的插件不用。
· 5、有广告推送的插件不用。
上述是目前我总结的,触犯任意条,我都会弃用这个插件,对于新手站长们尤为重要的,千万不要给自己的站点安装所谓互链插件、SEO 优化等等这些插件几乎清一色会给你的站点招来各种恶意蜘蛛爬虫疯狂的发送请求,造成服务器负载飙升,一个新站点用着用着越来越慢,几乎可以肯定是用了类似相关的插件后造成的,所以请大家慎重。 在上述总结的四条之外,我感觉有必要再提一下 WordPress 主题, WordPress 有很多优秀的免费主题,当然也有很多优秀的收费主题,可以说是五花八门的面面俱到,甚至网上还有众多收费主题破解版。主题也有跟插件一样的安全隐患,因为插件可以做到的,主题也可以做到。驱动破解某个主题的主要动力就是后门、木马植入所带来的利益,如果你的站点是有长期运营下去的打算,那么,购买一个正版的主题是当务之急,免费的东西永远都是最贵的,这话用在 WordPress 主题上是“至理名言”。
其他:
1. 安装插件是一定要在WP官方网站上安装,最好是在线安装。
2. 安装插件是尽量选择最新版或者是“最近更新”时间最短的,如果时间在一年以上的能不安装就不要安装了,这么长时间肯定会有漏洞存在的。
3. 每次更新或者安装完Wordpress后,记得删除wp-admin\install.php文档,以免被利用。
4. 定期检查服务器根目录有没有可疑文件,这点可以利用FTP软件的“目录比较”与本地的Wordpress目录进行比对。
5. 当发现网站出现批量的垃圾评论时,基本就可以判定服务器的安全漏洞被攻破了!(文章后面有安全设置参考)
6. 时刻注意观察网站首页载入是浏览器左下角的状态栏提示看有没有载入不明链接!
7. 定期修改WP后台密码或者开启自定义wp-login登录加密(可自行百度了解)。
8. 定期检查wp-content/uploads目录下有没有出现.php文档,一旦发现第一时间清除,这条可以利用FTP软件的"搜索远程文件“来提高效率。
9. 杜绝一切非官方插件的测试习惯。
10. 上传主题包是一定要在本地做好后门、木马检测,可借助Windows自带的安全软件。我的建议有条件尽量使用收费主题,提高网站收录几率的同时,还可以保障安全!
