WordPress中的5种默认安全威胁及其修复方法

WordPress安全

WordPress是一种非常流行的完全开放源代码的软件。在安全性方面,最棒的事情是,有一个庞大的社区与之合作,与使用内部CMS解决方案相比,他们能够更快地发现错误和安全风险。 (当发现缺陷的一种方法实际上是利用缺陷时,很难发现缺陷,而庞大的用户群使发现的可能性更大。)


不利之处在于,出于恶意目的的黑客会确切地知道您网站的构建方式。他们已经拥有您网站的“蓝图”。而且,如果您使用的核心,主题或插件中存在任何弱点,那么他们就可以知道这些,而无需访问您网站的后端.

因此,在这篇文章中,我将向您展示如何解决WordPress的任何完全默认安装中存在的5种安全威胁。 (如果您已经采取了一些预防措施,则可能会发现已经修复了一两个问题,但是重要的是修复所有五个问题,以最大程度地降低被黑客入侵的风险。)

您的网站显示您正在使用WordPress,以及版本

WordPress版本

WordPress的默认版本将包含几行代码,这些代码可以表明您的网站是使用WordPress构建的,甚至包括知道位置的人。根据主题,它甚至可能以可视方式显示在您网站的每个页面上.

之所以会带来安全风险,是因为人们可能将目标锁定在基于WordPress的网站上。如果有人在WordPress核心,主题或插件中发现安全漏洞,则他们可能会找到通往您网站的途径来加以利用。而如果您成功隐藏了您的网站是使用WordPress构建的,那么使用漫游器或爬网程序搜索WordPress网站的人就会被欺骗,以为您的网站不是可行的目标.

解决方法:
要解决此问题,您可以使用“隐藏我的WP插件”。使用这个有用的小插件,您可以避免服务器上不必要的流量,同时,避免受到专门针对WordPress网站的攻击.

每个人都知道您的登录页面/管理区域的位置

WordPress登录

如果您仍在显示使用了WordPress(也就是没有通过例如使用“隐藏我的WP”之类的插件主动隐藏它),则出于恶意的人将已经知道在何处尝试对您的网站进行暴力攻击.

解决方法:
为了解决此威胁,并大幅度降低被黑客入侵的机率,并减轻服务器压力,我们需要阻止恶意人员和机器人进入我们的登录页面。.

有两种主要方法可以做到这一点。您可以使用插件(或几行代码)将登录页面的物理位置更改为其他位置,或者可以通过IP地址限制对登录页面和管理区域的访问。您可以使用专用于此特定事物的插件或诸如Sucuri的安全插件来执行此操作, 围栏, iThemes Security Pro或 多合一WP安全性和防火墙.

WordPress具有每个人都使用的默认表前缀

WordPress表格前缀

表前缀是数据库中表名称的前面。使用标准WordPress前缀代替用户,而是wp_users。如果使用默认表前缀,则它可以使人们通过利用可能的sql注入弱点更轻松地访问您的站点。因为他们确切地知道将信息注入数据库的位置,然后才能访问您的网站.

实际上,我的一个网站由于sql注入而被黑,因此这是一个非常现实的威胁,您需要采取对策.

解决方法:
幸运的是,消除这种威胁非常容易。如果您已经使用默认的wp_前缀安装了WordPress,则可以使用Sucuri之类的插件轻松地对其进行更改。首先,在使用该选项之前,需要备份数据库,因为极有可能出现问题。您可以通过单击按钮来执行此操作。然后,您可以选择一个新的前缀,或者简单地让Sucuri为您随机生成新的前缀.

注意:如果您是初次安装WordPress,可以在安装界面中进行更改.

WordPress主题和插件文件可通过仪表板进行编辑

WordPress插件编辑器

这样做的问题是,如果黑客获得了对您网站的访问权限,则可能造成很多损失。他们可以使您的网站受到恶意软件的感染(可能导致您的网站被Google列入黑名单并从搜索引擎中删除索引),破坏您的网站或轻易打开后门.

解决方法:
您可以将以下代码行添加到wp-config.php文件中:

define('DISALLOW_FILE_EDIT',true);

或使用安全性插件为您完成操作(基本上只会为您插入该行代码)。唯一的问题是,有一些插件可以使人们打开和关闭此功能,因此非常敬业的黑客可能能够安装插件,打开插件,然后无需FTP访问即可访问编辑代码.

如果您想非常彻底地防止这种情况的发生,可以通过将以下代码行添加到wp-config.php来禁用所有插件和主题更新/安装:

define('DISALLOW_FILE_MODS',true);

但这显然意味着您每次想更新或安装插件或主题时都必须将其值更改为false(我们不建议您使用此选项,因为保持主题和插件为最新是最好的方法之一)以确保您的网站不那么脆弱).

WordPress具有非常开放的防火墙设置,该设置甚至可以允许已知的恶意机器人进行攻击

WordPress防火墙服务

WordPress的默认防火墙设置实际上在自由方面。这意味着一些令人不快的机器人和其他不需要的访客获得了绿灯.

解决方法:
您可以通过安装基本的5G黑名单防火墙规则,将其手动复制到您的.htaccess文件(在此处找到)或通过安装将其变得更好。 这个插件, 或使用安全性插件更好地优化.htaccess中的规则.

无限的WordPress登录尝试

虽然默认设置确实是无限制的登录尝试,但是当您在站点上安装WordPress时,您可能已经选择限制登录尝试。但是,如果您没有这样做,那么这将是非常容易的修复.

解决方法:
只需安装 限制登录尝试插件. 或者,如果您正在使用WPEngine托管,则此功能已为您内置,无需插件!如果您已经通过仅允许您自己的IP地址访问dasbhboard来保护登录区域,则无需这样做。但是,如果您只是隐藏登录页面的地址,则可以很好地防止潜在的暴力攻击.

结论

网络犯罪正在迅速发展,并且互联网正在成为更多犯罪分子的住所,而不是“现实世界”。在某些国家,这已经发生了。尽管其中大部分是信用卡和银行欺诈,但越来越多的黑客在那里,作为网站所有者,我们必须尽最大努力保护自己和我们的网站.

虽然WordPress的默认安装有一些弱点,但WordPress的优点确实在于它可以轻松解决您网站上的几乎所有问题,包括本文中提到的安全威胁。除了具有唯一的用户名和强密码之外,通过安装安全插件,编辑一些设置以及可能插入一两行代码,您还可以大大降低您的网站被恶意软件入侵或感染的风险。.

您是否采取了任何措施来提高WordPress网站的安全性?哪一种?我们很想听听您的一些提示和技巧!请在评论中告诉我们.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map