中文字幕人妻专区擁有海量影視資源_影视先锋在线资源网一区_下药强迷晕一级毛片_欧美精品系列国产_东北60岁熟女露脸在线_牛牛天天综合网日韩欧影视免费_欧美日韩极品_在线观看亚州国产_亚洲午夜高清一区_亚洲综合av免费观看

如何保護(hù)您的WordPress網(wǎng)站免受攻擊并保證其安全

如今，WordPress 為所有網(wǎng)站提供了驚人的三分之一。自從中期開始實(shí)施WordPress的許多優(yōu)化功能以來(lái)，它一直是我們社區(qū)的CMS平臺(tái)。因此，它受到了無(wú)情的攻擊，主要是出于優(yōu)化垃圾郵件的原因，但攻擊可能會(huì)更加惡化。

以下是一些WordPress基礎(chǔ)知識(shí)以及確保您的WordPress網(wǎng)站保持安全的方法。

WordPress安全嗎？

最新版本的WordPress開箱即用。然而，忽視更新它可能會(huì)使其不安全。這就是許多安全專業(yè)人士和開發(fā)人員不是WordPress粉絲的原因。WordPress也類似于本質(zhì)上不安全的PHP意大利面條代碼，其中WordPress本身警告說(shuō)，漏洞“源于平臺(tái)的可擴(kuò)展部分，特別是插件和主題”。

WordPress更新

沒有100％安全系統(tǒng)這樣的東西。WordPress需要安全更新才能安全運(yùn)行，這些更新不會(huì)對(duì)您產(chǎn)生負(fù)面影響。打開自動(dòng)安全更新。但是，更新WordPress核心確實(shí)需要確保所有內(nèi)容都兼容。只要兼容版本可用，請(qǐng)立即更新插件和主題。

開源

WordPress是開源的，既有風(fēng)險(xiǎn)也有好處。該項(xiàng)目受益于為核心提供代碼的開發(fā)人員社區(qū)，核心團(tuán)隊(duì)修補(bǔ)了社區(qū)發(fā)現(xiàn)的安全漏洞，而流氓則發(fā)現(xiàn)了撬開內(nèi)容的方法。漏洞通過(guò)漏洞利用應(yīng)用程序編寫到掃描中，漏洞利用程序可以檢測(cè)正在運(yùn)行的內(nèi)容的哪些版本以匹配您的版本的已知漏洞。

先保護(hù)自己

即使您沒有管理員角色，也可以采取一些措施來(lái)保護(hù)自己。確保您使用定期掃描的工作站在安全的網(wǎng)絡(luò)上工作。阻止廣告以防止偽裝成圖像的復(fù)雜攻擊。當(dāng)您在公共WiFi熱點(diǎn)工作時(shí)，使用VPN進(jìn)行端到端加密，以防止會(huì)話劫持和MITM攻擊。

安全密碼

無(wú)論您擁有什么樣的角色，安全地管理密碼都很重要。確保您的密碼是唯一且足夠長(zhǎng)的。當(dāng)密碼不夠長(zhǎng)時(shí)，即使是標(biāo)點(diǎn)符號(hào)，數(shù)字和字母的組合也不夠安全。你需要長(zhǎng)密碼。如果您需要記憶，請(qǐng)使用串在一起的四個(gè)或五個(gè)單詞的短語(yǔ)，但最好使用為您生成密碼的密碼管理器。

密碼長(zhǎng)度

為什么長(zhǎng)度如此重要？換句話說(shuō)，使用名為HashCat的免費(fèi)開源實(shí)用程序，八個(gè)字符的密碼在不到2.5小時(shí)內(nèi)破解。無(wú)論你的密碼是多么難以理解，破解短密碼只需要幾個(gè)小時(shí)。從13個(gè)字符開始，破解開始變得無(wú)法克服，至少目前如此。

管理員

如果您具有管理員用戶角色，請(qǐng)為自己創(chuàng)建一個(gè)僅限于編輯角色的新用戶。開始使用新配置文件而不是管理員。這樣，廣域網(wǎng)攻擊將集中于攻擊您的編輯器角色憑據(jù)，如果您的會(huì)話被劫持，您就擁有管理員權(quán)限來(lái)更改密碼并從入侵者手中奪取控制權(quán)。通過(guò)使用插件強(qiáng)制每個(gè)人遵循強(qiáng)密碼策略。

安全政策

如果您有安全經(jīng)驗(yàn)，請(qǐng)執(zhí)行插件和主題的代碼審核（顯然）。為所有用戶建立最小特權(quán)原則。然后你強(qiáng)迫黑客執(zhí)行shell彈出技巧和權(quán)限升級(jí)，這涉及攻擊除WordPress憑據(jù)之外的目標(biāo)。

更改文件權(quán)限

如果您控制主機(jī)，請(qǐng)通過(guò)使用控制面板為自己提供SFTP帳戶（如果有），或者嘗試使用您可以訪問(wèn)的管理員用戶界面。它可能具有配置憑據(jù)以打開安全shell終端窗口（SSH）的副作用。這樣，您可以使用系統(tǒng)實(shí)用程序等執(zhí)行其他安全措施。

鎖定關(guān)鍵文件

除了運(yùn)行WordPress的PHP進(jìn)程之外，有一些文件永遠(yuǎn)不應(yīng)該被訪問(wèn)。您可以更改文件權(quán)限并編輯.htaccess文件以進(jìn)一步鎖定這些文件。要更改文件權(quán)限，請(qǐng)使用SFTP客戶端（如果有選項(xiàng)），或打開終端shell窗口并運(yùn)行chmod utility命令。

$ chmod 400 .wp-config
$ ls -la

這意味著只有運(yùn)行WordPress的PHP進(jìn)程才能讀取該文件，而沒有別的。該文件永遠(yuǎn)不應(yīng)該設(shè)置“執(zhí)行位”，就像使用chmod 700一樣。你應(yīng)該總是在第二和第三位有零 - 這就是真正鎖定它的原因。使用-la選項(xiàng)驗(yàn)證運(yùn)行l(wèi)s實(shí)用程序的更改并查看。

擁有嚴(yán)格的文件權(quán)限設(shè)置意味著即使是通過(guò)WordPress，也無(wú)法將任何內(nèi)容寫入文件。$ chmod 600 .wp-config當(dāng)有一個(gè)主要的WordPress更新，其中配置文件有修改時(shí)，您將要授予寫權(quán)限。如果有的話，那應(yīng)該極少發(fā)生。

WordPress登錄文件

我喜歡使用.htaccess規(guī)則鎖定wp-login.php文件。限制只訪問(wèn)我的IP地址非常適合我從一個(gè)靜態(tài)分配的IP工作，或者為我自己和一些用戶工作的少量地址。如果您從其他位置登錄，只要您可以在主機(jī)上獲取shell，就不難更改設(shè)置。只需注釋掉deny指令，使用瀏覽器登錄，然后取消注釋即可。

XSS和SQL注入

到目前為止，您將遇到的最可怕的攻擊是跨站點(diǎn)腳本（XSS）和SQL注入。您可以使用.htaccess查詢字符串重寫規(guī)則來(lái)阻止其中的一些，并且最好使用可以為您管理此插件的插件。一些安全插件將掃描您的安裝，尋找妥協(xié)的跡象。如果您知道如何使用重寫，請(qǐng)重定向或阻止查詢字符串簽名，以查找您在日志中閱讀或查看的攻擊。

安全插件

一些安全插件將掃描您的安裝，尋找妥協(xié)的跡象。Wordfense是一個(gè)流行的安全插件，它會(huì)定期更新。Sucuri Scanner有一個(gè)付費(fèi)選項(xiàng)，可以掃描您的安裝。Ninja防火墻將嘗試限制基于請(qǐng)求的攻擊，在它們到達(dá)WordPress核心之前阻止它們。您還可以使用Google的新Web Risk API編寫應(yīng)用程序來(lái)掃描您網(wǎng)站的頁(yè)面。