WordPress安全

发布者:hqt发布时间:2021-02-11 03:02:48

当前位置:主页 > SEO资讯

WordPress因其易用性和易用性而闻名,但是它的受欢迎程度也使其成为不良参与者的诱人目标。本WordPress安全指南介绍了如何保护访问者,缓解威胁以及创建更安全的WordPress网站。

最新统计数据显示,网络上超过28%的网站管理员使用WordPress。它的流行是有代价的。通常是恶意黑客和垃圾邮件发送者的攻击目标,他们试图利用不安全的网站来发挥自己的优势。

WordPress安全是关于降低风险,而不是消除风险。由于始终存在风险,因此保护您的WordPress网站将保持一个连续的过程,需要经常评估这些攻击媒介。

保护您的网站

WordPress安全吗?

WordPress是否安全的问题完全取决于您,网站所有者。网站安全与降低风险有关。请遵循我们的WordPress安全最佳实践来强化和保护您的网站免受威胁。

如何保护WordPress网站

本指南旨在就基本的安全技术和可行的步骤对WordPress管理员进行教育,这些方法和方法将有助于保护WordPress网站并降低遭受威胁的风险。

在本指南中

  • 软件漏洞
    • 1.1 –审核插件和主题
    • 1.2 –更新
  • 访问控制
    • 2.1 –用户帐户
    • 2.2 –密码
    • 2.3 –限制登录尝试
    • 2.4 –登录前的验证码
    • 2.5 –限制访问认证的URL
  • 主动WordPress安全
    • 3.1 –安全插件
    • 3.2 –托管
    • 3.3 –备份
    • 3.4 –检测
  • 强化建议
    • 4.1 –基本的.htaccess配置
    • 4.2 –应用程序配置
  • 安全服务
  • 在WordPress上实施SSL和HTTPS
  • 常问问题
指南
菜单
1个

WordPress软件漏洞

保持WordPress,主题和插件更新

WordPress安全团队努力工作,以提供重要的安全更新和漏洞补丁。但是,使用第三方插件和主题会使用户面临其他安全威胁。

通过定期安装最新版本的核心WordPress文件和扩展名,可以确保您的网站拥有所有流行的安全补丁程序,并且WordPress站点更加安全。

1.1 –定期审核WordPress插件和主题

插件和主题可能会变得过时,过时或包含对WordPress网站造成严重安全风险的错误。

为了保护WordPress的安装并提高安全性,我们建议您定期审核插件和主题。

评估您的插件安全性

您可以通过查看以下两个重要指标来评估WordPress插件和主题的安全性:

  • 插件或主题是否具有庞大的安装基础?:在将新插件添加到WordPress网站之前,请检查安装次数。
  • 用户评论很多,平均评分高吗?:在添加新插件之前,请检查WordPress插件的评论和评分。
  • 开发人员是否在积极地支持其插件并推送频繁的更新或安全补丁?:如果插件长时间未更新,则恶意用户可能利用该漏洞来破坏WordPress网站。
  • 供应商是否列出服务条款或隐私政策?:重要的是要检查插件是否具有隐私权政策或TOS。
  • 供应商是否在服务条款或联系页面中包含实际联系地址?:拥有实际的联系地址会增加WordPress插件的信誉。

仔细阅读服务条款-其中可能包括作者没有在其首页上刊登广告的多余内容。如果插件或主题不满足任何这些要求,或者在最近更新之前最近更改了所有者,则您可能希望为WordPress网站寻找更安全的解决方案。

注意

有时,恶意行为者会购买插件来添加恶意或有害功能。在安装最新更新之前拥有最近更改所有者的插件时,请务必谨慎。

删除未使用的WordPress插件和主题

对于未使用的插件,少即是多。在WordPress安装中存储不需要的插件会增加遭到破坏的机会,即使这些插件已被禁用并且在安装中未得到积极使用。删除未使用的插件和主题有助于提高安全性并保护WordPress免受黑客攻击。

不使用该WordPress插件?从安装中删除它。

1.2 –保持WordPress更新

更新WordPress

当有新的WordPress更新可用时,您将在“信息中心>更新”菜单中收到通知。

您应该始终尽快应用更新,以确保WordPress网站的安全。经常登录到您的站点将确保您在发布更新时知道它们。如果由于某种原因无法更新站点,请考虑使用网站防火墙对问题进行虚拟修补并最大程度地降低风险。

要在WordPress中设置自动更新,请执行以下操作:

  1. 通过SFTP或SSH登录到服务器。
  2. 找到wp-config.php文件,该文件通常位于文档根文件夹public_html中
  3. 将以下代码段添加到文件中:define('WP_AUTO_UPDATE_CORE',true);

注意

某些更新可能会破坏您的网站,因此请确保在应用更新后确认您的网站可以正常运行。

高级用户可以参考WordPress Codex的有关使用subversion进行更新的指南。

要在WordPress中手动应用更新:

  1. 通过SFTP或SSH登录到服务器。
  2. 手动删除wp-admin和wp-includes目录
  3. 使用官方WordPress信息库中的副本替换根目录/ wp-admin /和/ wp-includes /中的核心文件。
  4. 以管理员身份登录WordPress –您可能会看到提示更新数据库。
  5. 单击更新WordPress数据库
  6. 数据库更新后,导航至Dashboard> Updates
  7. 应用所有缺少的更新。
  8. 打开您的网站以验证其是否正常运行。

警告

在将您的网站更新到最新版本的WordPress之前,我们建议您采取以下预防措施:

      1. 备份您的网站,尤其是任何自定义内容。
      2. 查看发行说明,确定更改是否会对您的网站产生负面影响。
      3. 在开发站点上测试更新,以验证您的主题,插件和其他扩展与最新版本兼容。

 

需要数据库更新

数据库更新所需的sucuri wordpress安全指南

保持WordPress插件更新

如果已从第三方网站下载了该扩展名,则WordPress可能无法更新该扩展名。在这种情况下,您可能需要使用FTP手动更新插件或使用随附的更新程序来确保WordPress的安全。

要在WordPress中手动应用插件更新:

  1. 验证插件与您当前的WordPress版本之间的兼容性。
  2. 从官方来源下载最新版本的插件,并将其保存在本地计算机上。
  3. 检查插件开发人员或供应商的特殊更新说明。如果不存在,请继续执行步骤4-9。
  4. 通过SFTP或SSH登录到服务器。
  5. 导航到/ wp-content / plugins /并将此文件夹下载到您的计算机以用作备份。
  6. 找到您要更新的插件目录,然后从FTP中删除它。
  7. 将最新版本上传到同一位置。
  8. 以管理员身份登录WordPress,然后点击仪表板>插件
  9. 从列表中找到刚更新的插件,然后单击激活

保持WordPress主题更新

保持主题更新是WordPress安全性的另一个重要方面。如果您没有使用子主题/父主题进行自定义,则需要将所做的修改复制到新的主题文件夹,然后将其更新为FTP。

要在WordPress中手动更新主题,请执行以下操作:

  1. 使用FTP连接到您的网站,然后转到/ wp-content / themes /,然后将当前主题文件夹下载到您的计算机上。
  2. 访问主题的网站以下载主题的最新版本并将其保存在本地计算机上–您现在将拥有主题文件夹的两个副本。
  3. 复制旧主题中的所有自定义项和代码更改,然后将其添加到新主题文件中。
  4. 使用FTP将主题目录的最新版本(包括自定义内容)上传到WordPress。

注意

如果使用从父主题继承功能的自定义子主题,则更新主题非常简单。只需使用官方来源的最新版本覆盖父主题的副本即可。您的自定义设置在子主题中将保持不变。

2

限制对您的WordPress网站的访问

攻击者经常利用薄弱的用户凭据来访问WordPress网站。锁定WP Admin访问权限可以防止黑客入侵并保护WordPress网站。

通过使用强大的独特密码来限制分配给角色的用户可用特权,启用两步或多因素身份验证并限制用户会话,从而提高WordPress网站的安全性,从而可以减少不良行为者侵害网站的风险。

2.1 –管理WordPress用户帐户

删除默认的WP-Admin

绝大多数攻击都是通过使用常见的用户名和密码来针对wp-adminwp-login.phpxmlrpc.php访问点的。

通过使用唯一的用户名并删除WordPress安装中的默认管理员帐户,可以使攻击者更加难以猜测(蛮力)进入您的网站。

如何替换默认的“管理员”帐户:

  1. 以管理员身份登录WordPress。
  2. 在控制台中,选择用户>添加新内容
  3. 使用新的电子邮件地址,创建一个新帐户,并将“角色”设置为“管理员”
  4. 保存新用户,然后注销并使用新的管理员帐户重新登录。
  5. 从控制面板中,选择用户>所有用户
  6. 将鼠标悬停在用户名admin上,然后选择删除
  7. 将旧帖子归因于新的管理员帐户。

小费

创建一个不同于您现有用户名的昵称,并将其设置为您的公开显示名称。这将使攻击者更难于暴力破解您的登录凭据。

用户角色和最小特权原则

在最小权限原则是由两个非常简单的步骤:

  • 在系统上使用最少的特权集才能执行操作。
  • 仅在需要执行操作的确切时间内授予特权。

 

考虑到这一概念,WordPress包括了用于管理员,作者,编辑,贡献者和订阅者的内置角色。这些角色指定用户可以完成和不能完成的工作。

请遵循以下访问控制建议来保护WordPress:

  • 以最低权限创建新的用户帐户。
  • 授予临时权限并在不再需要它们时撤消访问权限。
  • 删除不再使用的帐户。
  • 确保默认用户角色设置为订户:
    1. 管理员身份登录WordPress 。
    2. 验证您的订户权限仅包括登录和更新配置文件的能力。
    3. 在控制台中,选择设置>常规
    4. 将新用户默认角色设置为Subscriber

2.2 –使用强密码

WordPress密码安全性是加强您的网站并提高WP管理员安全性的重要因素。攻击者经常使用密码列表来暴力破解WordPress网站。这就是为什么您应该始终对所有帐户使用强而独特的密码来提高WP网站的安全性的原因。

强密码应符合以下标准:

  • 至少1个大写字符
  • 至少1个小写字符
  • 至少1位数字
  • 至少1个特殊字符
  • 至少10个字符,连续不超过两个相同字符

注意

使用密码生成器生成随机的字母和数字字符串是创建安全密码的最简单方法之一。

密码生成选项

密码生成选项Sucuri WordPress安全指南

使用两因素识别(2FA)/多因素识别(MFA)

两因素身份验证为您的WordPress帐户提供第二级安全性。此功能要求用户通过应用批准登录,并在有人能够猜出您的密码的情况下保护您的WordPress帐户。

如何使用Google Authenticator将2FA添加到WordPress:

  1. 在iPhone或Android上下载并安装Google Authenticator 。
  2. 安装并激活WordPress的2FA插件,例如miniOrange的2FA。
  3. 从左侧菜单中选择miniOrange 2-Factor,然后按照说明进行操作。
  4. 获取QR码后,打开Goog​​le Authenticator,然后单击应用程序右下角的“添加”按钮。
  5. 使用手机的相机扫描插件显示的QR码。
  6. 验证插件页面上的代码。

Sucuri的网站安全平台包括一项功能,可帮助您轻松地在网站的任何页面上进行密码保护或实施2FA。

要使用Sucuri将2FA添加到您网站上的任何页面:

  1. 在iPhone或Android上下载并安装Google Authenticator 。
  2. 登录到Sucuri仪表板,然后导航到“网站防火墙”
  3. 单击您要保护的网站,然后从顶部导航中选择访问控制
  4. 输入您要保护的页面名称(即/wp-login.php),然后从下拉菜单中选择2FA with Google Auth。
  5. 点击保护页面,然后使用您的移动设备使用Google Authenticator扫描QR码。

用Sucuri添加2FA

从Sucuri仪表板添加2FA

2.3 –限制WordPress登录尝试

WordPress默认允许用户无限次数地尝试登录,但这会使您的站点容易受到暴力攻击,因为黑客试图尝试使用不同的密码组合。

您可以通过限制通过插件针对某个帐户的登录尝试次数或使用Web应用程序防火墙(WAF)来增加安全性。

一些为您提供此功能的流行插件包括:限制登录尝试,WP限制登录尝试和Loginizer。

2.4 –使用预登录验证码

首字母缩写词代表完全自动公共图灵测试,以告诉计算机和人类分开。此功能对于阻止自动机器人访问WordPress仪表板以及通过表单提交不需要的垃圾邮件非常有用。

在您的WordPress登录页面上添加验证码的流行插件包括Captcha和Really Simple Captcha。

登录前验证码

登录前Captchas WordPress指南Sucuri

2.5 –限制访问经过身份验证的URL

将对WordPress登录页面的访问限制为仅授权IP,可以防止未经授权的输入并更好地保护您的网站。

有可用的插件可以做到这一点。如果您使用的是基于云的WAF(例如Sucuri防火墙),则可以通过仪表板限制对这些URL的访问,而无需弄乱.htaccess文件。

允许列表IP地址

回到顶部
3

WordPress监控与检测

在信息安全(InfoSec)领域中,我们喜欢深入使用“防御”一词。

要欣赏这种意识形态,您必须遵循一个非常简单的原则:没有100%完整的解决方案能够保护任何环境。

在本节中,我们列出了许多可在WordPress网站上采用的解决方案,以提供有效的纵深防御策略。通过对这些防御性控件进行分层,您将能够识别和缓解针对您网站的攻击。

3.1 – WordPress安全插件

如果您访问官方的WordPress存储库并快速搜索安全性,则会发现超过4,298个具有不同分类和功能集的插件。如果您正在寻找较小的列表,请确保查看我们的最佳WordPress安全插件列表,以帮助确保您的网站安全。

我们将细分类别并说明其重要性,以便您找到适合您需要的解决方案。

WordPress安全插件–预防类别

这些插件旨在提供某种程度的防护,或者称为网站的外围防御。他们的目标是通过过滤传入流量来阻止黑客入侵。

预防插件通常仅限于在应用程序层工作,这意味着攻击必须击中WordPress应用程序才能做出响应。安全插件无法阻止针对服务器软件的攻击,这就是为什么我们建议考虑考虑基于云的WAF的原因。

WordPress安全插件–检测类别

保护对于已知问题很重要,但对未知问题却不是那么重要。能够检测到超出您的外围防御能力的任何东西都非常有价值,这就是检测发挥作用的地方。

这些插件将尝试通过文件完整性检查来识别入侵者,扫描是否有破坏迹象,或者将两种机制结合使用。

这些插件的有效性完全由安装顺序决定。例如,如果该插件基于完整性检查,则需要将其安装在一个新的,已知良好的环境中,以便它可以创建一个基准进行检查,以确保WordPress的安全。

某些插件可能会将已知的第三方主题和插件与其自己的存储库进行比较,以与已经受到威胁的网站一起使用,但这些网站与自定义文件或鲜为人知的文件不兼容。

小费

检测插件对于识别您的网站是否出了问题很重要。这些工具可确保在发生安全事件时通知您。

WordPress安全插件–审核类别

与流行的看法相反,WordPress的安全性并非一成不变,而是忘记了它所承担的责任。您必须花时间在流程中,并了解正在发生的事情,正在登录的人,正在更改的内容以及进行更改的时间。

审核插件可以通过提供基本的管理功能来帮助您回答上述问题,这些功能可以帮助您识别,阻止或响应折衷方案。

WordPress安全插件–实用工具类别

这也许是整个WordPress安全插件生态系统中最多样化的存储桶。有些插件是我们认为是安全领域的瑞士军刀的插件。这些实用程序插件的功能集要少得多。

这些插件的安全性配置选项可能很详尽。它们具有您可能或曾经希望使用的所有可能的配置,并且最适合喜欢修改或希望能够配置特定选项以满足其需求的用户。例如,某些安全插件仅禁用XML-RPC或移动您的登录页面。

我们也为解决特定安全功能的工具集(例如备份或维护插件)保留此类别。

3.2 –网站托管安全

网站托管安全性近年来已经成熟,这是一个复杂的话题。

大多数主机在堆栈的各个级别提供您所需的安全性,但网站本身却不提供。有许多托管服务提供商提供额外的安全性,但是除非您从他们那里购买了安全产品,否则他们不太可能为您解决妥协。

WordPress安装可使用四种主要的托管环境:

  • 共享主机环境
  • 虚拟专用服务器(VPS)环境
  • 托管主机环境
  • 专用服务器

从理论上讲,从用户消除最大依赖性的环境将提供最大的安全性。如果您有时间和技能来保护自己的环境,那么您将拥有更多选择,但也将承担更多责任。

但是,实际上,您选择的托管环境的类型应由您的需求和专业知识决定:

  • 如果您对网站的工作原理了解甚少,那么最好选择托管环境。
  • 如果您是拥有自己的网络运营中心(NOC),信息安全运营中心(SOC)或专门的系统管理员的组织,则VPS或专门的服务器可以更好地隔离您的环境(假设已正确配置)。

您也可以与托管服务提供商进行对话,以确定他们对安全性的立场。一些关键点应该解决:

  • 他们采取了哪些安全预防措施来保护您的网站(不仅仅是服务器)?
  • 如果他们在您的网站之一上发现恶意软件,他们将采取什么措施?
  • 他们多久寻找一次恶意软件?
  • 他们提供事件响应服务吗?
  • 如果您的网站被黑客入侵,您是否需要与第三方联系?

注意

在共享服务器环境上使用仔细隔离的FTP和用户帐户,以防止跨站点污染。

SFTP / SSH连接

在主机环境中,往返服务器的安全文件传输是网站安全的重要方面。加密可确保所有发送的数据都受到保护,以免被窥探您的网络流量的窥视。

我们建议使用以下方法之一连接到服务器并保持WordPress安全:

SSH:安全套接字外壳是一种安全的网络协议,是安全管理远程服务器的最常用方法。使用Secure Socket Shell,可以对所有类型的身份验证(包括密码身份验证和文件传输)进行完全加密。

SFTP: SSH文件传输协议是SSH的扩展,并允许通过安全通道进行身份验证。如果使用FileZilla或其他FTP客户端,则通常可以选择SFTP。大多数FTP服务中SFTP的默认端口为22。

3.3 –备份您的WordPress

为了提高安全性,维护WordPress网站的备份应该是管理员最重要的重复任务之一。

如果绝对其他所有地方都出问题了,那么好的备份集可以保存您的网站。如果恶意攻击者决定他们要清除其所有站点文件或使用其错误脚本破坏站点文件,则可以通过从备份中还原站点来消除损害。

成功使用备份解决方案有四个关键要求:

  1. 异地位置:您的备份应异地存储,而不应与网站位于同一服务器上。存储在您的Web服务器上的备份会带​​来严重的安全风险,因为它们通常包含带有漏洞的未打补丁的旧软件,并且由于其可公开访问的位置,因此任何人都可以利用它们来攻击您的实时网站。异地备份还有助于防止硬件故障。如果您的Web服务器硬盘驱动器发生故障,您很容易丢失所有数据-实时站点和备份。
  2. 自动:备份系统应完全自动化,以确保定期进行备份。人类是懒惰而健忘的,因此您可以通过自动化来减轻用户错误。如果手动解决方案是唯一的选择,请确保安排时间定期执行备份。
  3. 冗余: Schofield的第二计算定律指出,除非至少有两个副本,否则数据不存在。这意味着您的备份策略必须包括备份的冗余或备份。
  4. 已测试&正确:请确保还原过程确实有效。首先从一个空的Web目录开始,然后确保可以使用这些备份将所有数据恢复到正常状态,并使网站通过测试域恢复在线状态,仅使用备份文件。

3.4 –入侵检测工具

您可以使用多种工具来帮助确定网站何时出了问题。为了帮助您快速响应安全漏洞,请使用包含以下服务的工具。

完整性监控

完整性检查是审核WordPress安装的重要方面,可以为您提供入侵网站的预警。

文件完整性监视工具通常安装在服务器上,它们在其中创建关键文件和注册表项的基线加密校验和。如果文件或记录有任何修改,您将收到有关更改的通知。

您可以为WordPress安装免费的Sucuri Scanner插件,以使用我们的核心文件完整性监控系统。

审核/警报

审核工具使您可以查看网站上的用户活动。

作为您网站的管理员,您应该提出以下问题:

  1. 谁在登录?
  2. 他们应该登录吗?
  3. 他们为什么要更改该职位?
  4. 他们为什么要在应该睡觉的时候登录?
  5. 谁安装了该插件?

我们不能充分强调伐木活动的重要性。使用一种工具记录并警告您在您的网站上采取的任何操作,包括:

  1. 用户认证成功与失败
  2. 用户创建/删除
  3. 文件上传
  4. 帖子和页面创建
  5. 帖子和页面发布
  6. 小部件修改/激活
  7. 插件安装
  8. 主题修改
  9. 设置修改

WordPress完整性监控警报

Sucuri插件的完整性警报

创建响应和恢复计划

响应和恢复不只是对入侵或事件做出响应,还涉及分析攻击的影响以了解发生了什么,并实施控制措施以防止再次发生。

保护和清理您的WordPress

我们会积极维护一个免费的WordPress安全插件,该插件包含上面列出的所有功能,以增强安全性并确定危害指标。

如果您认为自己的WordPress网站已被黑客入侵,请阅读我们的《如何清理WordPress黑客指南》,或与我们的恶意软件清除小组联系。我们的专业安全分析师可在24/7/365提供服务。

4

强化WordPress网站

警告:以下建议适用于了解这些文件如何工作的服务器管理员。如果您对这些建议不满意,建议您使用包含虚拟加固的网站防火墙。

4.1 –安全的基本.htaccess配置

大多数供应商在说他们正在加固WordPress环境时,将修改.htaccess文件。

此关键配置文件特定于在Apache上运行的Web服务器。如果您正在使用Apache在LAMP堆栈上运行WordPress实例,那么我们建议通过使用以下规则更新.htaccess文件来强化您的网站。

注意

以下某些规则取决于您所运行的Apache版本。在这些情况下,我们包含了针对Apache Server 2.2和2.4版本的说明。

/。成功

规则说明

  1. #开始WordPress
  3. #重写规则
  4. <IfModule mod_rewrite.c>
  5. RewriteEngine开
  6. RewriteBase /
  7. RewriteRule ^ index \ .php $ – [L]
  8. RewriteCond%{REQUEST_FILENAME}!-f
  9. RewriteCond%{REQUEST_FILENAME}!-d
  10. RewriteRule。/index.php [L]
  11. </ IfModule>
  13. #结束WordPress

重写规则:

如果该规则具有对服务器的写访问权,则该规则由WordPress生成,最值得注意的是用于修复永久链接的问题。

如果它不在文件的顶部,请放在.htaccess文件的顶部。其他任何规则应在#BEGIN WordPress和#END WordPress语句之后。

  1. #阻止IP地址登录Apache 2.2
  2. <文件/wp-login.php>
  3. 拒绝订单,允许
  4. 从MYIP允许
  5. 从MYIP2允许
  6. 所有人都否认
  7. </ files>
  9. #阻止IPS登录Apache 2.4
  10. <文件“ wp-login.php”>
  11. 要求全部拒绝
  12. </文件>

将登录限制为IP范围

该规则将对wp-login.php的访问限制为一个IP,从而保护您免受其他位置的未经授权的登录尝试。即使您没有静态IP,也可以将登录名限制在ISP公共范围内。

在您要限制的其他经过身份验证的URL(包括/ wp-admin)上使用相同的条目。如果您使用的是动态IP,则可以参考我们的说明:如何使用动态IP锁定WordPress管理面板

  1. #保护wp-config Apache 2.2
  2. <文件wp-config.php>
  3. 订购允许,拒绝
  4. 所有人都否认
  5. </ files>
  7. #保护wp-config Apache 2.4
  8. <文件“ wp-config.php”>
  9. 要求全部拒绝
  10. 需要IP 1.1.1.1
  11. </文件>

保护wp-config.php

该规则限制访问者访问您的wp-config.php文件,该文件包含有关数据库的敏感信息,包括名称,主机,用户名和密码。该文件还用于定义高级设置,安全密钥和开发人员选项。

  1. #防止目录浏览
  2. 选项全部-索引

防止目录浏览

此规则可防止攻击者查看您网站的文件夹内容,从而限制他们利用您的网站所必须的信息。

  1. #防止图像热链接
  2. 在RewriteEngine上
  3. RewriteCond%{HTTP_REFERER}!^ $
  4. RewriteCond%{HTTP_REFERER} \
  5. !^ http://(www \。)example.com/.*$ [NC]
  6. RewriteRule \。(gif | jpg | jpeg | bmp | png)$ – [NC,F,L]

防止图像热链接

此规则可防止其他网站使用您网站上托管的图像。虽然热链接不会使您的站点被黑客入侵,但它可能导致对服务器资源的破坏性利用。将example.com更改为您的网站。

  1. #保护htaccess Apache 2.2
  2. <文件〜“ ^。* \。([[Hh] [Tt] [Aa])”>
  3. 订购允许,拒绝
  4. 所有人都否认
  5. 满足所有人
  6. </ files>
  8. #保护htaccess Apache 2.4
  9. <FilesMatch“ ^。* \。([Hh] [Tt] [Aa])”>
  10. 要求全部拒绝
  11. </ FilesMatch>

保护.htaccess

此规则可防止攻击者访问以“ hta”开头的任何文件-这可确保.htaccess文件在服务器的所有目录中均受到保护。

  1. #块包括
  2. <IfModule mod_rewrite.c>
  3. RewriteEngine开
  4. RewriteBase /
  5. RewriteRule ^ wp-admin / includes / – [F,L]
  6. RewriteRule!^ wp-includes / – [S = 3]
  7. RewriteRule ^ wp-includes / [^ /] + \。php $ – [F,L]
  8. RewriteRule ^ wp-includes / js / tinymce / langs /.+ \。php \
  9. – [F,L]
  10. RewriteRule ^ wp-includes / theme-compat // [F,L]
  11. </ IfModule>

阻止包括

该规则阻止黑客将恶意文件插入用于包括的四个主要文件夹中的任何一个:

  • / wp-admin / includes /
  • / wp-includes
  • / wp-includes / js / tinymce / langs /
  • / wp-includes / theme-compat /

如果您运行WordPress的多站点实例,则这些指令可能会引起问题。始终测试并谨慎使用。

/WP-INCLUDES/.HTACCESS
/WP-CONTENT/UPLOADS/.HTACCESS

 

规则说明

 

  1. #后门保护Apache 2.2
  2. <文件* .php>
  3. 所有人都否认
  4. </文件>
  6. #后门保护Apache 2.4
  7. <FilesMatch“。+ \。php $”>
  8. 要求全部拒绝
  9. </ FilesMatch>

防止PHP后门

此规则可防止黑客将PHP后门放置在/ wp-includes // wp-content / uploads /文件夹中,这是恶意文件上传的两个常见位置。

4.2 – WordPress安全应用程序配置

将WP-Config移动到根文件夹之外

wp-config.php文件是一个非常重要的配置文件,其中包含有关WordPress网站的敏感信息,包括数据库连接。

如果根目录中不存在wp-config.php文件,WordPress将在根目录上方的文件夹中自动查找该文件。将此文件移出根文件夹会阻止从Internet访问wp-config.php。

设置盐和键

wp-config文件包括专用于身份验证盐和密钥的部分。这些盐和密钥可提高在浏览器和Web服务器之间传输的cookie和密码的安全性。

您可以通过在wp-config.php文件中的其他define语句之后包含或编辑这些行来设置密钥:

define('AUTH_KEY','在这里加盐');
define('SECURE_AUTH_KEY','在这里加盐');
define('LOGGED_IN_KEY','在这里加盐');
define('NONCE_KEY','在这里加盐');

您可以导航到wordpress.org盐生成器,或使用我们的WordPress插件中的reset salt + keys选项,轻松生成盐。

重要

如果您怀疑密钥已被泄露,请尽快重新生成它们。所有用户将需要重新认证。

禁用文件编辑

默认情况下,可以通过WordPress仪表板的“外观”>“编辑器”进行文件更改。

您可以通过从仪表板禁用文件编辑来提高WordPress的安全性。这样可以防止攻击者通过后端或wp-admin更改文件。您仍然可以通过SFTP / SSH进行更改。

要从仪表板禁用文件编辑,请在wp-config.php文件末尾包含以下两行代码:

##在资讯主页中停用编辑
define('DISALLOW_FILE_EDIT',true);

注意

一些插件在其强化过程中​​或作为其他设置禁用文件编辑。

虚拟强化

虚拟强化是深度防御策略的一部分,该策略可以保护Web服务器和数据库免受漏洞利用。虚拟强化是向网站添加多层保护以减少攻击面的行为。

如果发布了安全补丁,但您无法更新站点,那么它就很容易成为黑客的目标。减轻这种风险的一种有效方法是在您的网站上使用虚拟补丁服务。

可以通过使用Web应用程序防火墙来完成虚拟补丁程序,其中将自动修补漏洞以防御已知的安全威胁。

----- end -----

上一篇:
下一篇:
返回

0755-82126668

229056498

peter@huaqiutong.com

深圳市龙华区三联创业路汇海广场C栋1806

华球通公众号二维码

扫一扫关注公众号

电话沟通 在线沟通 在线留言