起源
個人近期做了一個WordPress站點,目前處於內測階段,雖然公網還沒部署起來,但是先在這學習整理一下安全防護的問題。
第一:及時更新WordPress
由於33%的互聯網都在使用WordPress站點,免不了被不懷好意的人盯上,所以官方對安全性非常看重,有專業團隊監控並修復各種安全漏洞,可能會頻繁的更新補丁,所以我們一定要及時的安裝更新官方發佈的穩定版本。這是官方設置的第一道防線。
第二:站點部署在可靠的主機上
不要貪圖便宜使用不知名公司的主機,要防火牆沒防火牆,一堆漏洞,沒什麼專業的人維護。還有不要使用免費的主機,本身服務器維護成本不低,還給你免費使用,想想都不對勁兒。
如果被DDOS攻擊,靠譜的主機方解決起來有實力。還可以使用CDN加速(付費),來隱藏真實IP。
第三:數據自動備份--主機鏡像備份
養成不管做什麼,都要有備份的好習慣,即便被黑了,核心數據還在,根就在,怕啥;
最壞的事故就是網站徹底做雞了,還沒備份,那心裡的噶應感覺真是簡直了。
推薦的還有服務器端快照備份和景象備份
數據備份插件推薦: UpdraftPlus 200多萬的安裝 當前更新時間2019年3月 (備份插件恢復的話不是100%)
有個簡單的方法就是 在你的主機服務器上使用快照備份或者鏡像備份。
第四:垃圾評論過濾
網站經常會收到一堆垃圾評論,你看就不正經,你看著像廣告,但其實可能是XSS(跨站腳本攻擊),危害性不可小看
你可以使用 插件: Akismet,千百萬人使用,保護自己的站點免受垃圾評論的困擾
第五:身份轉換
當網站被人擼了後,應該不會閒的去告訴你,所以沒事的時候可以使用技術手段定時檢查一下網站的安全漏洞啥的。有不少專業工具可以掃描,Kali Linux就可以攻擊WordPress,轉換下身份可以自己攻擊自己玩玩,又能增長知識還能提前發現安全隱患。
掃描插件推薦: WordFence 當前更新於2019年3月
第五:插件安全性
網站的漏洞可能來源於插件,所以插件儘量少裝,能用代碼替換用代碼替換,再者安裝插件的話從WordPress官方的插件中心下載,避免來源不明的插件。
第六:管理員帳號安全性要高
怎麼個高法?用戶名和密碼多種字符串聯使用,比如:用戶名D2e+@6~p;8[I 密碼 k8/*W&^/j6>b.0
那些黑客會利用腳本自動化訪問輸入用戶名密碼來暴力破解。如果你的網站裝有流量分析或者請求監控的話你可以看看,可以看到請求者的IP和他想訪問的地址,從中篩選出"嫌疑犯",當然如果你的站點訪問挺多的,這確實不好篩選,如果你有什麼好的方法,留言一起學習。
還可以限制登錄次數,插件推薦 Login LockDown 當前更新於2016年9月
篇幅有限,明天來第二波!
閱讀更多 科技加載中 的文章
