鑰匙要點(diǎn)

通過(guò)根據(jù)安全性和聲譽(yù)而不是價(jià)格選擇主機(jī)來(lái)確定服務(wù)器安全性的優(yōu)先級(jí)。確保主機(jī)運(yùn)行穩(wěn)定的服務(wù)器軟件版本，啟用服務(wù)器級(jí)防火墻，允許頻繁備份和還原，并具有入侵檢測(cè)。
• >
>始終將WordPress，主題和插件更新到最新版本后，它們可用。使用密碼管理器生成復(fù)雜的密碼并將其安全存儲(chǔ)。
• >
>通過(guò)使用HTTP Auth在登錄屏幕級(jí)別添加額外的保護(hù)層，以防止蠻力攻擊，監(jiān)視試圖登錄，鎖定它們并將管理用戶名更改為您自己的名稱或其他內(nèi)容的IP地址否則。
>使用WordPress社區(qū)定期更新并高度評(píng)價(jià)的WordPress安全插件。定期刪除未使用的插件并替換未支撐的插件以最大程度地減少潛在漏洞。
• >

>沒(méi)有爭(zhēng)議WordPress的受歡迎程度，WordPress為全球7460萬(wàn)個(gè)網(wǎng)站提供動(dòng)力，而Technorati的前100位博客中有48％由該平臺(tái)管理。但是，在在線世界中，任何受歡迎的事物都更開(kāi)放，并且WordPress也不例外。但是，往往會(huì)擊中WordPress網(wǎng)站的攻擊類型（除非您是一個(gè)大品牌）通常是由沒(méi)有大量技術(shù)知識(shí)的人進(jìn)行的。這些通常被稱為“腳本孩子”，因?yàn)樗鼈兪褂贸Ｒ?jiàn)的代碼，技術(shù)和套件來(lái)破解目標(biāo)站點(diǎn)。

好消息是，這意味著通?？梢暂p松，輕松地處理攻擊。不必進(jìn)入攻擊會(huì)造成損害的階段，因?yàn)榇蠖鄶?shù)人首先可以防止大多數(shù)。因此，今天，我們將研究如何確保安裝并避免使用常見(jiàn)的黑客。 從服務(wù)器開(kāi)始

>在考慮確保網(wǎng)站之前，您應(yīng)該從頭開(kāi)始，這意味著要確保您的托管服務(wù)器首先是安全的。從基礎(chǔ)知識(shí)開(kāi)始，您應(yīng)該根據(jù)安全性和聲譽(yù)選擇主機(jī)，而不是基于價(jià)格。雖然我確定那里有一些不錯(cuò)的便宜主人，但在大多數(shù)情況下，每月花費(fèi)2美元不會(huì)削減芥末。

>

>大多數(shù)托管的WordPress托管服務(wù)都在安全托管方面享有聲譽(yù)。但是，它們不允許某些與性能相關(guān)的插件，因此您應(yīng)該先檢查一下，以確切查看您擁有哪些訪問(wèn)和級(jí)別的控制級(jí)別。

大多數(shù)提供：

• >托管WordPress托管
• 自動(dòng)安全更新
• 每日備份
• 一鍵式還原點(diǎn)
• >自動(dòng)緩存
• >頂級(jí)安全

您決定與您一起去的任何主機(jī)都應(yīng)該檢查他們提供以下內(nèi)容：>

運(yùn)行服務(wù)器軟件的穩(wěn)定版本和補(bǔ)丁
啟用服務(wù)器級(jí)防火墻
>允許您備份并經(jīng)常輕松地恢復(fù)（站點(diǎn)和數(shù)據(jù)庫(kù)）
• >
入侵檢測(cè)

>托管主機(jī)（例如WPEngine）使用通過(guò)CDN傳遞的緩存，因此，如果您真的不想使用托管的WordPress主機(jī)，那么請(qǐng)考慮使用與W3總數(shù)等緩存插件實(shí)現(xiàn)CDN緩存。這是一種設(shè)置網(wǎng)站的簡(jiǎn)單方法，以便所有通過(guò)CDN卡車的流量也通過(guò)安全套接字層（SSL/TLS）。如果您需要手掌握這些技術(shù)，我建議MaxCDN的以下視覺(jué)指南。為了完全披露，我為MaxCDN工作，但我敢肯定，您會(huì)發(fā)現(xiàn)它們是有用的資源：

什么是cdn？
> SSL的工作原理
>使用W3的WordPress使用CDN
• >
不幸的是，在共享服務(wù)器上的WordPress安裝，而不是VPS或?qū)Ｓ梅?wù)器上的WordPress安裝通常以最容易容易的方式安裝和配置，但不一定是最安全的。

>

請(qǐng)注意，以下配置適用于熟悉編碼或基本Sysadmin任務(wù)的高級(jí)用戶。如果不是，請(qǐng)要求您的網(wǎng)絡(luò)開(kāi)發(fā)人員為您設(shè)置此設(shè)置。

>登錄，密碼和插件

對(duì)此的快速詞可以重復(fù)重復(fù)，因?yàn)槌^(guò)70％的WordPress安裝很容易受到攻擊。始終確保在安裝WordPress后，您就可以在最新版本后立即更新到最新版本。您的主題和您使用的所有插件也是如此。您的服務(wù)器軟件也是如此。對(duì)于你們中的許多人來(lái)說(shuō)，這聽(tīng)起來(lái)可能很明顯，但是統(tǒng)計(jì)數(shù)據(jù)不言而喻，安裝了該平臺(tái)的許多較舊版本。 在密碼方面，我每天都會(huì)遇到人們，他們?nèi)匀皇褂谩?CompanyName123”作為密碼，這些人是技術(shù)行業(yè)中的人，應(yīng)該更了解。因此，對(duì)于您自己和其他所有用戶，生成復(fù)雜的密碼并存儲(chǔ)在密碼管理器中，例如LastPass，它更安全。>

應(yīng)用自動(dòng)更新

為了確保自動(dòng)在WordPress中進(jìn)行次要更新和重大更新，您可以對(duì)將應(yīng)用它們的代碼進(jìn)行少量更改。這消除了您手動(dòng)執(zhí)行此操作的需求（僅將次要更新應(yīng)用于WordPress v.3.7及以后），但是您應(yīng)該確保您可以在出現(xiàn)問(wèn)題并將您的網(wǎng)站帶走的情況下啟用自動(dòng)，頻繁的備份。
啟用更新，將以下代碼應(yīng)用于您的wp-config.php文件：>
>更常見(jiàn)的是，如果您使用不經(jīng)常更新的插件，則會(huì)在自動(dòng)更新中遇到問(wèn)題，因此請(qǐng)嘗試確保維護(hù)您安裝的插件并在可能的情況下提供支持。

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

禁用PHP錯(cuò)誤報(bào)告
>如果您使用的插件或主題會(huì)引發(fā)錯(cuò)誤，那么結(jié)果錯(cuò)誤消息可能會(huì)顯示您的服務(wù)器路徑，而黑客可能會(huì)截獲?？紤]到這一點(diǎn)，您應(yīng)該通過(guò)將以下代碼添加到wp-config.php文件中禁用錯(cuò)誤??報(bào)告：>

另外，如果您在編輯配置文件時(shí)不自信，那么您可以要求您的Web主機(jī)為您禁用它。

停止蠻力攻擊

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

如果您要監(jiān)視WordPress網(wǎng)站上有多少登錄嘗試，您可能會(huì)感到震驚。這些是通用攻擊，可以通過(guò)使用復(fù)雜的密碼在某種程度上預(yù)防。蠻力攻擊通常來(lái)自試圖猜測(cè)您的管理員密碼的僵尸網(wǎng)絡(luò)。您可以通過(guò)使用HTTP Auth。 為此，您首先需要通過(guò)設(shè)置.htaccess密碼保護(hù)來(lái)保護(hù)您的目錄。完成此操作后，您需要將以下代碼添加到您的.htaccess文件：>
>這將添加身份驗(yàn)證框，該驗(yàn)證框提示您輸入用戶名和密碼，然后您將需要在普通的WordPress登錄屏幕上登錄 - 您當(dāng)然應(yīng)該對(duì)這兩個(gè)密碼使用不同的密碼。

>您還可以通過(guò)監(jiān)視試圖登錄然后將其鎖定的IP地址來(lái)防止蠻力攻擊。或者，您只需將管理用戶名從“ admin”更改為您自己的名稱或其他內(nèi)容，然后刪除默認(rèn)的管理用戶配置文件。您和您的網(wǎng)站管理員/開(kāi)發(fā)人員確實(shí)應(yīng)該是整個(gè)網(wǎng)站上唯一具有行政權(quán)利的人。 基于URL的exploits

對(duì)于試圖通過(guò)提出應(yīng)該返回錯(cuò)誤但有時(shí)完成的URL請(qǐng)求來(lái)找到網(wǎng)站中的弱點(diǎn)的黑客來(lái)說(shuō)，這些確實(shí)是一個(gè)黑暗中的刺傷。

>

URL可能看起來(lái)像這樣：http：//yourwebsite.com/your/files/%3g/config >

>通常，黑客將在URL中使用開(kāi)放式支架，首先要克服這一點(diǎn)，因此有必要生成403禁止頁(yè)面以停止任何包含括號(hào)的請(qǐng)求。為此，只需將以下行粘貼到您的.htaccess文件中：>

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

要?jiǎng)?chuàng)建一個(gè)更復(fù)雜的規(guī)則集，您不需要自己編寫所有代碼。如果您熟悉使用.htaccess，并且您的網(wǎng)站在Apache服務(wù)器上，那么您可以使用5G防火墻，這是公共漏洞的黑名單。您也不必使用所有線路，因?yàn)樗哪K化，如果確實(shí)會(huì)產(chǎn)生錯(cuò)誤，則可以逐條刪除線路直到發(fā)現(xiàn)問(wèn)題為止。

您可以通過(guò)在文件中添加以下行來(lái)保護(hù).htaccess文件本身：>

WordPress安全插件

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

>當(dāng)然，您也可以使用一個(gè)可用于WordPress的安全插件之一。在安裝之前，您應(yīng)該檢查使用您使用的任何插件是否經(jīng)常支持和更新。如果是這樣，那么您還應(yīng)該查看評(píng)分和評(píng)論，以確定WordPress社區(qū)認(rèn)為是最好的。

也請(qǐng)記住，如果您的安裝中有很多插件，請(qǐng)定期刪除任何不使用的內(nèi)容。問(wèn)問(wèn)自己，任何給定插件允許您的功能是否真的是必要的，并削減了您可以做的功能。對(duì)于您已停用的那些插件，您還應(yīng)該刪除它們，因?yàn)樗鼈優(yōu)楹诳吞峁┝藵撛诘姆椒?。如果不再支持插件，那么您?yīng)該尋找替代方案，因?yàn)樗欢〞?huì)在某個(gè)時(shí)候創(chuàng)建??漏洞，如果尚未創(chuàng)建漏洞。

> 在大多數(shù)情況下，WordPress安全是使用常識(shí)，并理解在很多時(shí)候，黑客和惡意軟件都可以被最終用戶置于錯(cuò)誤。在大多數(shù)情況下，黑客通過(guò)軟件中的利用來(lái)進(jìn)入，因此，如果您確保始終擁有最新版本，則可以在保護(hù)自己方面做得很好。黑客尋找最簡(jiǎn)單的路線，除非他們具體針對(duì)您，否則請(qǐng)加強(qiáng)您的網(wǎng)站，并且不要讓他們輕松。

>

進(jìn)一步閱讀
如果您在閱讀更多信息方面很有趣，這里有一些與SitePoint上WordPress安全有關(guān)的文章，值得一看：

>

您可能對(duì)WordPress安全插件不了解的知識(shí)

>如何保護(hù)自己免受Rogue WordPress插件的侵害

WordPress維護(hù)的權(quán)威指南
• >托管WordPress托管：PROS和CONS
• >使用Google Authenticator
使用WordPress的2步驗(yàn)證
• >輕松地發(fā)現(xiàn)WordPress漏洞
>更新WordPress，插件和主題的指南
防止蠻力攻擊WordPress網(wǎng)站

• 經(jīng)常詢問(wèn)有關(guān)從黑客和DDOS攻擊中授予WordPress的問(wèn)題

  >將我的WordPress網(wǎng)站免于黑客的最佳實(shí)踐是什么？

  以保護(hù)您的WordPress網(wǎng)站免受黑客的保護(hù)，至關(guān)重要的是，將WordPress核心，主題和插件更新到最新版本至關(guān)重要。這些更新通常包括可以保護(hù)您的網(wǎng)站免受已知漏洞的安全補(bǔ)丁。此外，在WordPress管理員帳戶中使用強(qiáng)，獨(dú)特的密碼，并限制登錄嘗試以防止蠻力攻擊。安裝信譽(yù)良好的安全插件還可以通過(guò)掃描惡意軟件并阻止可疑活動(dòng)來(lái)提供額外的保護(hù)。

  >

  >如何保護(hù)我的WordPress站點(diǎn)免受DDOS攻擊？通過(guò)實(shí)施可以過(guò)濾惡意流量的Web應(yīng)用程序防火墻（WAF）。 CloudFlare和Sucuri之類的服務(wù)提供可以保護(hù)您的網(wǎng)站免受DDOS攻擊的WAF。此外，使用內(nèi)容輸送網(wǎng)絡(luò)（CDN）可以幫助跨多個(gè)服務(wù)器分配流量，從而減少DDOS攻擊的影響。定期備份您的網(wǎng)站還可以確保您可以在攻擊時(shí)快速恢復(fù)。
  什么是Web應(yīng)用程序防火墻（WAF），它如何保護(hù)我的WordPress網(wǎng)站？ Web應(yīng)用程序防火墻（WAF）是一種安全措施，可監(jiān)視，過(guò)濾和阻止Web應(yīng)用程序的HTTP流量。它通過(guò)識(shí)別和阻止常見(jiàn)攻擊模式（例如SQL注入和跨站點(diǎn)腳本（XSS））來(lái)保護(hù)您的WordPress站點(diǎn)。通過(guò)實(shí)施WAF，您可以保護(hù)網(wǎng)站免受各種類型的攻擊，包括DDOS攻擊。

  >

  >我如何確保我的WordPress密碼堅(jiān)固且安全？

  確保您的WordPress密碼堅(jiān)固且安全，結(jié)合使用大寫字母和小寫字母，數(shù)字和特殊字符。避免使用通用單詞或短語(yǔ)，并且切勿使用您的個(gè)人信息，例如您的名字或出生日期。考慮使用密碼管理器生成和存儲(chǔ)復(fù)雜的密碼。此外，定期更改密碼，從不為多個(gè)帳戶使用相同的密碼。

  >使用內(nèi)容輸送網(wǎng)絡(luò)（CDN）為我的WordPress站點(diǎn)使用什么好處？ （CDN）可以提高WordPress網(wǎng)站的性能和安全性。通過(guò)在世界各地的多個(gè)服務(wù)器上分發(fā)網(wǎng)站的內(nèi)容，CDN可以減少主服務(wù)器上的負(fù)載并更快地將內(nèi)容交付給用戶。這可以改善您網(wǎng)站的速度和用戶體驗(yàn)。此外，CDN可以通過(guò)在其網(wǎng)絡(luò)上分發(fā)流量來(lái)幫助保護(hù)您的網(wǎng)站免受DDOS攻擊。

  >如何將登錄嘗試限制到我的WordPress站點(diǎn)？

  >將登錄嘗試限制到WordPress站點(diǎn)可以幫助防止蠻力攻擊。您可以通過(guò)安裝提供此功能的安全插件來(lái)做到這一點(diǎn)。在一定數(shù)量的登錄嘗試失敗后，這些插件可以阻止IP地址。您還可以設(shè)置鎖定的持續(xù)時(shí)間并自定義允許的登錄嘗試次數(shù)。

  >

  >我應(yīng)該多久備份一次WordPress網(wǎng)站？

  >

  備份的頻率取決于您多久更新一次地點(diǎn)。如果您定期添加或更新內(nèi)容，則應(yīng)考慮每日備份。如果您的網(wǎng)站不經(jīng)常變化，則每周或每月備份可能就足夠了。無(wú)論頻率如何，請(qǐng)確保將備份存儲(chǔ)在安全的位置中，并考慮使用提供自動(dòng)備份的備份服務(wù)。

  > WordPress的一些知名安全插件是什么？ WordPress的知名安全插件，包括WordFence，Sucuri和Ithemes Security。這些插件提供了一系列功能，例如惡意軟件掃描，防火墻保護(hù)和登錄安全性。如果他們?cè)谀木W(wǎng)站上檢測(cè)到任何可疑活動(dòng)，他們也可以向您發(fā)送警報(bào)。

  >如何監(jiān)視WordPress網(wǎng)站的安全性？

  >可以通過(guò)監(jiān)視WordPress網(wǎng)站的安全性。各種方法。安全插件通常提供監(jiān)視功能，使您了解任何潛在的威脅或可疑活動(dòng)。定期查看網(wǎng)站的訪問(wèn)日志也可以幫助確定任何異常行為。此外，考慮使用提供實(shí)時(shí)監(jiān)視和警報(bào)的服務(wù)。

  >

  如果我的WordPress站點(diǎn)被黑客入侵，該怎么辦？

  如果您的WordPress網(wǎng)站被黑客入侵，則第一步是識(shí)別并刪除惡意軟件。這可以使用安全插件或?qū)I(yè)惡意軟件刪除服務(wù)來(lái)完成。刪除惡意軟件后，將所有WordPress核心，主題和插件更新為最新版本。更改所有密碼并查看用戶帳戶，以確保未創(chuàng)建未經(jīng)授權(quán)的帳戶。最后，從干凈的備份恢復(fù)您的網(wǎng)站，并密切監(jiān)視您的網(wǎng)站以進(jìn)行任何其他可疑活動(dòng)。

  >

以上是確保WordPress抵抗黑客和DDOS攻擊的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！