鑰匙要點(diǎn)

通過根據(jù)安全性和聲譽(yù)而不是價(jià)格選擇主機(jī)來確定服務(wù)器安全性的優(yōu)先級(jí)。確保主機(jī)運(yùn)行穩(wěn)定的服務(wù)器軟件版本，啟用服務(wù)器級(jí)防火牆，允許頻繁備份和還原，並具有入侵檢測(cè)。
• >
>始終將WordPress，主題和插件更新到最新版本後，它們可用。使用密碼管理器生成複雜的密碼並將其安全存儲(chǔ)。
• >
>通過使用HTTP Auth在登錄屏幕級(jí)別添加額外的保護(hù)層，以防止蠻力攻擊，監(jiān)視試圖登錄，鎖定它們並將管理用戶名更改為您自己的名稱或其他內(nèi)容的IP地址否則。
>使用WordPress社區(qū)定期更新並高度評(píng)價(jià)的WordPress安全插件。定期刪除未使用的插件並替換未支撐的插件以最大程度地減少潛在漏洞。
• >

>沒有爭(zhēng)議WordPress的受歡迎程度，WordPress為全球7460萬個(gè)網(wǎng)站提供動(dòng)力，而Technorati的前100位博客中有48％由該平臺(tái)管理。但是，在在線世界中，任何受歡迎的事物都更開放，並且WordPress也不例外。但是，往往會(huì)擊中WordPress網(wǎng)站的攻擊類型（除非您是一個(gè)大品牌）通常是由沒有大量技術(shù)知識(shí)的人進(jìn)行的。這些通常被稱為“腳本孩子”，因?yàn)樗鼈兪褂贸Ｒ姷拇a，技術(shù)和套件來破解目標(biāo)站點(diǎn)。

好消息是，這意味著通?？梢暂p鬆，輕鬆地處理攻擊。不必進(jìn)入攻擊會(huì)造成損害的階段，因?yàn)榇蠖鄶?shù)人首先可以防止大多數(shù)。因此，今天，我們將研究如何確保安裝並避免使用常見的黑客。 從服務(wù)器開始

>在考慮確保網(wǎng)站之前，您應(yīng)該從頭開始，這意味著要確保您的託管服務(wù)器首先是安全的。從基礎(chǔ)知識(shí)開始，您應(yīng)該根據(jù)安全性和聲譽(yù)選擇主機(jī)，而不是基於價(jià)格。雖然我確定那裡有一些不錯(cuò)的便宜主人，但在大多數(shù)情況下，每月花費(fèi)2美元不會(huì)削減芥末。

>

>大多數(shù)託管的WordPress託管服務(wù)都在安全託管方面享有聲譽(yù)。但是，它們不允許某些與性能相關(guān)的插件，因此您應(yīng)該先檢查一下，以確切查看您擁有哪些訪問和級(jí)別的控制級(jí)別。

大多數(shù)提供：

• >託管WordPress託管
• 自動(dòng)安全更新
• 每日備份
• 一鍵式還原點(diǎn)
• >自動(dòng)緩存
• >頂級(jí)安全

您決定與您一起去的任何主機(jī)都應(yīng)該檢查他們提供以下內(nèi)容：>

運(yùn)行服務(wù)器軟件的穩(wěn)定版本和補(bǔ)丁
啟用服務(wù)器級(jí)防火牆
>允許您備份並經(jīng)常輕鬆地恢復(fù)（站點(diǎn)和數(shù)據(jù)庫）
• >
入侵檢測(cè)

>託管主機(jī)（例如WPEngine）使用通過CDN傳遞的緩存，因此，如果您真的不想使用託管的WordPress主機(jī)，那麼請(qǐng)考慮使用與W3總數(shù)等緩存插件實(shí)現(xiàn)CDN緩存。這是一種設(shè)置網(wǎng)站的簡(jiǎn)單方法，以便所有通過CDN卡車的流量也通過安全套接字層（SSL/TLS）。如果您需要手掌握這些技術(shù)，我建議MaxCDN的以下視覺指南。為了完全披露，我為MaxCDN工作，但我敢肯定，您會(huì)發(fā)現(xiàn)它們是有用的資源：

什麼是cdn？
> SSL的工作原理
>使用W3的WordPress使用CDN
• >
不幸的是，在共享服務(wù)器上的WordPress安裝，而不是VPS或?qū)Ｓ梅?wù)器上的WordPress安裝通常以最容易容易的方式安裝和配置，但不一定是最安全的。

>

請(qǐng)注意，以下配置適用於熟悉編碼或基本Sysadmin任務(wù)的高級(jí)用戶。如果不是，請(qǐng)要求您的網(wǎng)絡(luò)開發(fā)人員為您設(shè)置此設(shè)置。

>登錄，密碼和插件

對(duì)此的快速詞可以重複重複，因?yàn)槌^70％的WordPress安裝很容易受到攻擊。始終確保在安裝WordPress後，您就可以在最新版本後立即更新到最新版本。您的主題和您使用的所有插件也是如此。您的服務(wù)器軟件也是如此。對(duì)於你們中的許多人來說，這聽起來可能很明顯，但是統(tǒng)計(jì)數(shù)據(jù)不言而喻，安裝了該平臺(tái)的許多較舊版本。 在密碼方面，我每天都會(huì)遇到人們，他們?nèi)匀皇褂谩?CompanyName123”作為密碼，這些人是技術(shù)行業(yè)中的人，應(yīng)該更了解。因此，對(duì)於您自己和其他所有用戶，生成複雜的密碼並存儲(chǔ)在密碼管理器中，例如LastPass，它更安全。 >

應(yīng)用自動(dòng)更新

為了確保自動(dòng)在WordPress中進(jìn)行次要更新和重大更新，您可以對(duì)將應(yīng)用它們的代碼進(jìn)行少量更改。這消除了您手動(dòng)執(zhí)行此操作的需求（僅將次要更新應(yīng)用於WordPress v.3.7及以後），但是您應(yīng)該確保您可以在出現(xiàn)問題並將您的網(wǎng)站帶走的情況下啟用自動(dòng)，頻繁的備份。
啟用更新，將以下代碼應(yīng)用於您的wp-config.php文件：>
>更常見的是，如果您使用不經(jīng)常更新的插件，則會(huì)在自動(dòng)更新中遇到問題，因此請(qǐng)嘗試確保維護(hù)您安裝的插件並在可能的情況下提供支持。

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

禁用PHP錯(cuò)誤報(bào)告
>如果您使用的插件或主題會(huì)引發(fā)錯(cuò)誤，那麼結(jié)果錯(cuò)誤消息可能會(huì)顯示您的服務(wù)器路徑，而黑客可能會(huì)截獲?？紤]到這一點(diǎn)，您應(yīng)該通過將以下代碼添加到wp-config.php文件中禁用錯(cuò)誤??報(bào)告：>

另外，如果您在編輯配置文件時(shí)不自信，那麼您可以要求您的Web主機(jī)為您禁用它。

停止蠻力攻擊

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

如果您要監(jiān)視WordPress網(wǎng)站上有多少登錄嘗試，您可能會(huì)感到震驚。這些是通用攻擊，可以通過使用複雜的密碼在某種程度上預(yù)防。蠻力攻擊通常來自試圖猜測(cè)您的管理員密碼的殭屍網(wǎng)絡(luò)。您可以通過使用HTTP Auth。 為此，您首先需要通過設(shè)置.htaccess密碼保護(hù)來保護(hù)您的目錄。完成此操作後，您需要將以下代碼添加到您的.htaccess文件：>
>這將添加身份驗(yàn)證框，該驗(yàn)證框提示您輸入用戶名和密碼，然後您將需要在普通的WordPress登錄屏幕上登錄 - 您當(dāng)然應(yīng)該對(duì)這兩個(gè)密碼使用不同的密碼。

>您還可以通過監(jiān)視試圖登錄然後將其鎖定的IP地址來防止蠻力攻擊。或者，您只需將管理用戶名從“ admin”更改為您自己的名稱或其他內(nèi)容，然後刪除默認(rèn)的管理用戶配置文件。您和您的網(wǎng)站管理員/開發(fā)人員確實(shí)應(yīng)該是整個(gè)網(wǎng)站上唯一具有行政權(quán)利的人。 基於URL的exploits

對(duì)於試圖通過提出應(yīng)該返回錯(cuò)誤但有時(shí)完成的URL請(qǐng)求來找到網(wǎng)站中的弱點(diǎn)的黑客來說，這些確實(shí)是一個(gè)黑暗中的刺傷。

>

URL可能看起來像這樣：http：//yourwebsite.com/your/files/%3g/config >

>通常，黑客將在URL中使用開放式支架，首先要克服這一點(diǎn)，因此有必要生成403禁止頁面以停止任何包含括號(hào)的請(qǐng)求。為此，只需將以下行粘貼到您的.htaccess文件中：>

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

要?jiǎng)?chuàng)建一個(gè)更複雜的規(guī)則集，您不需要自己編寫所有代碼。如果您熟悉使用.htaccess，並且您的網(wǎng)站在Apache服務(wù)器上，那麼您可以使用5G防火牆，這是公共漏洞的黑名單。您也不必使用所有線路，因?yàn)樗哪K化，如果確實(shí)會(huì)產(chǎn)生錯(cuò)誤，則可以逐條刪除線路直到發(fā)現(xiàn)問題為止。

您可以通過在文件中添加以下行來保護(hù).htaccess文件本身：>

WordPress安全插件

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

>當(dāng)然，您也可以使用一個(gè)可用於WordPress的安全插件之一。在安裝之前，您應(yīng)該檢查使用您使用的任何插件是否經(jīng)常支持和更新。如果是這樣，那麼您還應(yīng)該查看評(píng)分和評(píng)論，以確定WordPress社區(qū)認(rèn)為是最好的。

也請(qǐng)記住，如果您的安裝中有很多插件，請(qǐng)定期刪除任何不使用的內(nèi)容。問問自己，任何給定插件允許您的功能是否真的是必要的，並削減了您可以做的功能。對(duì)於您已停用的那些插件，您還應(yīng)該刪除它們，因?yàn)樗鼈優(yōu)楹诳吞峁┝藵撛诘姆椒?。如果不再支持插件，那麼您應(yīng)該尋找替代方案，因?yàn)樗欢〞?huì)在某個(gè)時(shí)候創(chuàng)建??漏洞，如果尚未創(chuàng)建漏洞。

> 在大多數(shù)情況下，WordPress安全是使用常識(shí)，並理解在很多時(shí)候，黑客和惡意軟件都可以被最終用戶置於錯(cuò)誤。在大多數(shù)情況下，黑客通過軟件中的利用來進(jìn)入，因此，如果您確保始終擁有最新版本，則可以在保護(hù)自己方面做得很好。黑客尋找最簡(jiǎn)單的路線，除非他們具體針對(duì)您，否則請(qǐng)加強(qiáng)您的網(wǎng)站，並且不要讓他們輕鬆。

>

進(jìn)一步閱讀
如果您在閱讀更多信息方面很有趣，這裡有一些與SitePoint上WordPress安全有關(guān)的文章，值得一看：

>

您可能對(duì)WordPress安全插件不了解的知識(shí)

>如何保護(hù)自己免受Rogue WordPress插件的侵害

WordPress維護(hù)的權(quán)威指南
• >託管WordPress託管：PROS和CONS
• >使用Google Authenticator
使用WordPress的2步驗(yàn)證
• >輕鬆地發(fā)現(xiàn)WordPress漏洞
>更新WordPress，插件和主題的指南
防止蠻力攻擊WordPress網(wǎng)站

• 經(jīng)常詢問有關(guān)從黑客和DDOS攻擊中授予WordPress的問題

  >將我的WordPress網(wǎng)站免於黑客的最佳實(shí)踐是什麼？

  以保護(hù)您的WordPress網(wǎng)站免受黑客的保護(hù)，至關(guān)重要的是，將WordPress核心，主題和插件更新到最新版本至關(guān)重要。這些更新通常包括可以保護(hù)您的網(wǎng)站免受已知漏洞的安全補(bǔ)丁。此外，在WordPress管理員帳戶中使用強(qiáng)，獨(dú)特的密碼，並限制登錄嘗試以防止蠻力攻擊。安裝信譽(yù)良好的安全插件還可以通過掃描惡意軟件並阻止可疑活動(dòng)來提供額外的保護(hù)。

  >

  >如何保護(hù)我的WordPress站點(diǎn)免受DDOS攻擊？通過實(shí)施可以過濾惡意流量的Web應(yīng)用程序防火牆（WAF）。 CloudFlare和Sucuri之類的服務(wù)提供可以保護(hù)您的網(wǎng)站免受DDOS攻擊的WAF。此外，使用內(nèi)容輸送網(wǎng)絡(luò)（CDN）可以幫助跨多個(gè)服務(wù)器分配流量，從而減少DDOS攻擊的影響。定期備份您的網(wǎng)站還可以確保您可以在攻擊時(shí)快速恢復(fù)。
  什麼是Web應(yīng)用程序防火牆（WAF），它如何保護(hù)我的WordPress網(wǎng)站？ Web應(yīng)用程序防火牆（WAF）是一種安全措施，可監(jiān)視，過濾和阻止Web應(yīng)用程序的HTTP流量。它通過識(shí)別和阻止常見攻擊模式（例如SQL注入和跨站點(diǎn)腳本（XSS））來保護(hù)您的WordPress站點(diǎn)。通過實(shí)施WAF，您可以保護(hù)網(wǎng)站免受各種類型的攻擊，包括DDOS攻擊。

  >

  >我如何確保我的WordPress密碼堅(jiān)固且安全？

  確保您的WordPress密碼堅(jiān)固且安全，結(jié)合使用大寫字母和小寫字母，數(shù)字和特殊字符。避免使用通用單詞或短語，並且切勿使用您的個(gè)人信息，例如您的名字或出生日期?？紤]使用密碼管理器生成和存儲(chǔ)複雜的密碼。此外，定期更改密碼，從不為多個(gè)帳戶使用相同的密碼。

  >使用內(nèi)容輸送網(wǎng)絡(luò)（CDN）為我的WordPress站點(diǎn)使用什麼好處？ （CDN）可以提高WordPress網(wǎng)站的性能和安全性。通過在世界各地的多個(gè)服務(wù)器上分發(fā)網(wǎng)站的內(nèi)容，CDN可以減少主服務(wù)器上的負(fù)載並更快地將內(nèi)容交付給用戶。這可以改善您網(wǎng)站的速度和用戶體驗(yàn)。此外，CDN可以通過在其網(wǎng)絡(luò)上分發(fā)流量來幫助保護(hù)您的網(wǎng)站免受DDOS攻擊。

  >如何將登錄嘗試限製到我的WordPress站點(diǎn)？

  >將登錄嘗試限製到WordPress站點(diǎn)可以幫助防止蠻力攻擊。您可以通過安裝提供此功能的安全插件來做到這一點(diǎn)。在一定數(shù)量的登錄嘗試失敗後，這些插件可以阻止IP地址。您還可以設(shè)置鎖定的持續(xù)時(shí)間並自定義允許的登錄嘗試次數(shù)。

  >

  >我應(yīng)該多久備份一次WordPress網(wǎng)站？

  >

  備份的頻率取決於您多久更新一次地點(diǎn)。如果您定期添加或更新內(nèi)容，則應(yīng)考慮每日備份。如果您的網(wǎng)站不經(jīng)常變化，則每週或每月備份可能就足夠了。無論頻率如何，請(qǐng)確保將備份存儲(chǔ)在安全的位置中，並考慮使用提供自動(dòng)備份的備份服務(wù)。

  > WordPress的一些知名安全插件是什麼？ WordPress的知名安全插件，包括WordFence，Sucuri和Ithemes Security。這些插件提供了一系列功能，例如惡意軟件掃描，防火牆保護(hù)和登錄安全性。如果他們?cè)谀木W(wǎng)站上檢測(cè)到任何可疑活動(dòng)，他們也可以向您發(fā)送警報(bào)。

  >如何監(jiān)視WordPress網(wǎng)站的安全性？

  >可以通過監(jiān)視WordPress網(wǎng)站的安全性。各種方法。安全插件通常提供監(jiān)視功能，使您了解任何潛在的威脅或可疑活動(dòng)。定期查看網(wǎng)站的訪問日誌也可以幫助確定任何異常行為。此外，考慮使用提供實(shí)時(shí)監(jiān)視和警報(bào)的服務(wù)。

  >

  如果我的WordPress站點(diǎn)被黑客入侵，該怎麼辦？

  如果您的WordPress網(wǎng)站被黑客入侵，則第一步是識(shí)別並刪除惡意軟件。這可以使用安全插件或?qū)I(yè)惡意軟件刪除服務(wù)來完成。刪除惡意軟件後，將所有WordPress核心，主題和插件更新為最新版本。更改所有密碼並查看用戶帳戶，以確保未創(chuàng)建未經(jīng)授權(quán)的帳戶。最後，從乾淨(jìng)的備份恢復(fù)您的網(wǎng)站，並密切監(jiān)視您的網(wǎng)站以進(jìn)行任何其他可疑活動(dòng)。

  >

以上是確保WordPress抵抗黑客和DDOS攻擊的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！