WordPress是一款非常潮流的CMS系統(tǒng)����,市場上安裝占有率一直遙遙領先����。正因為如此,其更易受到種種攻擊�����,因此WordPress安全性是非常緊要的���。卓網信息將針對怎樣保證你的WordPress站點安全問題,從服務器與及WordPress本身進行講解����,進而防止網站被攻擊者攻破���。
服務器篇
1、禁用目錄索引
如果你的主機沒有開啟禁止目錄索引功能�,請加上以下語法,以保護沒有index目錄的目錄�����,防止被惡意者下載網站全部內容����。
Options –Indexes
2、使用HTTPS SSL加密
HTTPS 可阻止第三方監(jiān)聽或修改 用戶端和服務器之間通信的中間人攻擊��。理想情況下����,應當在安裝 WordPress 前激活 HTTPS,如果在安裝后再添加��,可能需要額外更新 WordPress 設立�。
3、設立請求大小限制
防止黑客通過Dos攻擊��,利用傳輸大文件來沖爆你的流量,所以能夠通過限制文件流大小來避免這樣的情況發(fā)生�����,將以下語法加入到根目錄的.htaccess文件中即可�。如下設立為10M,可按自身業(yè)務情況進行設立�����。
LimitRequestBody 10240000
4�����、禁用不必要的模塊
根據(jù)自身業(yè)務���,禁用一些多余的模塊�。
5��、隱藏您的Apache或Nginx的版本
攻擊者往往通過Apache或nginx版本信息進行針對性攻擊����,所以需第一時間隱藏它的版本信息���。
6���、保持PHP最新
7�����、隱藏PHP版本
避免攻擊者針對性的PHP版本漏洞攻擊����。
8�����、控制POST和內存請求的大小
避免攻擊者啟用大流量請求造成DDoS攻擊�。
9、保持MySQL最新
10���、禁用MySQL遠程訪問
避免攻擊者遠程連接MySQL數(shù)據(jù)庫�����,在my.cnf(Linux)my.ini(Windows)添加如下代碼��。
bind-address = 127.0.0.1
11���、禁用FTP服務器(服務器)或只允許特定的IP訪問它
12����、良好的備份習慣
WordPress篇
1. 時常保持你的WordPress和插件更新��。
2. 謹防虛假或可疑的主題和插件��。
3. 只啟用已知的����、合格的插件。
4. 切勿啟用默認客戶“admin”�。
手法一:后臺新建一個客戶,角色為管理員�,然后啟用新客戶登錄,刪除默認的 admin 客戶�����。
手法二:登錄phpmyAdmin��,瀏覽當前數(shù)據(jù)庫的 wp_users 數(shù)據(jù)表���,將 user_login 和 user_nicename 修改為新客戶名�。
建議在后臺管理中“自己的個人資料”中的昵稱����,設立“公開顯示”為非客戶名的昵稱。
5. 啟用超過8位數(shù)的強密碼�,大寫和小寫字母,特殊字符和數(shù)字���。
6. 禁用“任何人都能夠注冊”選項��。
根據(jù)業(yè)務需求來決定是否禁用此選項�。
7. 刪除readme.html和install.php文件�。
8. 啟用雙原因身份驗證登錄。
9. 安裝網站安全防護軟件或者硬件waf防火墻�。
