WordPress 的確是一個很出色的平台,有著豐富的第三方插件和主題,也給博客主和廣大讀者提供了很棒的體驗。但是,如同加強織夢CMS安全性一樣,如果你不重視網站安全的話,你的博客很快就會成為黑 客眼中甜美的蛋糕了。在本文中,我們將會討論到一下 WordPress 的安全隱患和一些應對方法。
問題出在哪了?
對於一個像 WordPress 一樣複雜的 CMS,用戶的程序是在不同的伺服器上運行的,第三方插件,第三方主題也可能會存在一些缺陷。當破壞者通過某些缺陷進入了你的網站的話,你就有麻煩了。
如果你運行的是一個易受攻擊的 WordPress,黑客可以進行以下幾種破壞:
1、在你的網站上執行任意代碼。
2、注入腳本,HTML代碼或者是直接編輯你的帖子。
3、導致無法訪問(使網站崩潰,CPU 和帶寬過載)。
4、注入或者執行 SQL 命令。
5、獲取重要數據,例如你的密碼。
6、把用戶帶到另外的網站,可能還是釣魚網站。
7、跨站偽造記錄(CSRF)。
8、在你的網站上創建一個隱藏的帖子,這個帖子只對搜尋引擎可見,而且是導向到黑客的站點的。
9、植入後門。這樣就算你修復了那些缺陷黑客還是可以進入你的網站。
10、在你的 PHP 核心代碼和主題文件裡面植入一段加密代碼。
WordPress被黑的主要原因
一個很重要的原因就是你用的是過時的東西,比如 WordPress 核心程序,插件,主題。這就是為什麼現在有那麼多的相關服務來把升級變得更簡單。其中 WP remote 和 InfitniteWP 是兩個免費又好用的服務。
還有一些其他常見的原因:
1、在下載了沒有來源的主題,通常這些主題都是有後門的。
2、從一個感染了病毒的電腦進入你的 WordPress 網站。
3、管理員帳號的密碼過於簡單。
在哪裡獲得最新的漏洞信息
在 WordPress 3.X,已知的漏洞已經有30個,如果你的 WordPress 還是更舊的版本,漏洞就會更加多。這裡有一個 Secunia 提供的所有已知 WordPress 漏洞的列表,或者你可以直接去關注一下 WordPress 的開發進展,訂閱開發團隊的博客 WordPress development blog。
給你的博客上把鎖
1、定時備份博客。這樣就能確保你在任何時候都可以重建網站。
2、確保你的 WordPress 核心系統是最新的。
3、確保插件和主題是最新的。
4、不要使用未知來源的主題,通常都是有後門的,特別是那些放到免費網盤裡面的破解主題。
5、用一個沒有其他站點使用過的高強度密碼。
6、確保你用來登錄 WordPress 站點的電腦是沒有病毒的。
7、監控伺服器和用戶數據,調查可疑的行為。
8、使用空白的 index.html 文件來禁止其他用戶訪問主題和插件目錄。
9、在你的 meta 描述裡面把你的 WordPress 版本好去掉。
10、通過 htaccess 文件來保護 WordPress 的 wp-admin 文件夾。
還有一些很好用的插件,我個人推薦以下幾個:
Wordfence 提供免費的防火牆,病毒掃描,和流量監控。
Bulletproof 針對 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防護。
Better WordPress security 提供傻瓜式的操作。
Lockerpress 自定義登錄 URL,更換管理員,還有一些自定義過濾的選項。