WordPress是一款非常流行的CMS系統(tǒng)����,市面上安裝占有率一直遙遙領(lǐng)先。正因?yàn)槿绱耍涓资艿礁鞣N攻擊�,因此WordPress安全性是非常重要的����。卓網(wǎng)信息將針對如何保證你的WordPress站點(diǎn)安全問題���,從服務(wù)器與及WordPress本身進(jìn)行講解,進(jìn)而避免網(wǎng)站被攻擊者攻破��。
服務(wù)器篇
1��、禁用目錄索引
如果你的主機(jī)沒有開啟禁止目錄索引功能,請加上以下語法����,以保護(hù)沒有index目錄的目錄��,避免被惡意者下載網(wǎng)站全部內(nèi)容。
Options –Indexes
2、啟用HTTPS SSL加密
HTTPS 可阻止第三方監(jiān)聽或修改客戶端和服務(wù)器之間通信的中間人攻擊。理想情況下���,應(yīng)該在安裝 WordPress 前激活 HTTPS,如果在安裝后再添加,可能需要額外更新 WordPress 設(shè)置��。
3��、設(shè)置請求大小限制
避免黑客通過Dos攻擊��,利用傳輸大文件來沖爆你的流量,所以可以通過限制文件流大小來防止這樣的情況發(fā)生,將以下語法加入到根目錄的.htaccess文件中即可����。如下設(shè)置為10M,可按自身業(yè)務(wù)情況進(jìn)行設(shè)置���。
LimitRequestBody 10240000
4、禁用不必要的模塊
根據(jù)自身業(yè)務(wù)�����,禁用一些多余的模塊����。
5、隱藏您的Apache或Nginx的版本
攻擊者往往通過Apache或nginx版本信息進(jìn)行針對性攻擊�,所以需第一時間隱藏它的版本信息���。
6�����、保持PHP最新
7�����、隱藏PHP版本
防止攻擊者針對性的PHP版本漏洞攻擊。
8、控制POST和內(nèi)存請求的大小
防止攻擊者使用大流量請求造成DDoS攻擊。
9�����、保持MySQL最新
10�、禁用MySQL遠(yuǎn)程訪問
防止攻擊者遠(yuǎn)程連接MySQL數(shù)據(jù)庫,在my.cnf(Linux)my.ini(Windows)添加如下代碼。
bind-address = www.mzzuf.com
11���、禁用FTP服務(wù)器(服務(wù)器)或只允許特定的IP訪問它
12、良好的備份習(xí)慣
WordPress篇
1. 時常保持你的WordPress和插件更新。
2. 謹(jǐn)防虛假或可疑的主題和插件��。
3. 只使用已知的���、合格的插件��。
4. 切勿使用默認(rèn)用戶“admin”。
方法一:后臺新建一個用戶�,角色為管理員���,然后使用新用戶登錄�,刪除默認(rèn)的 admin 用戶����。
方法二:登錄phpmyAdmin,瀏覽當(dāng)前數(shù)據(jù)庫的 wp_users 數(shù)據(jù)表��,將 user_login 和 user_nicename 修改為新用戶名���。
建議在后臺管理中“我的個人資料”中的昵稱�,設(shè)置“公開顯示”為非用戶名的昵稱。
5. 使用超過8位數(shù)的強(qiáng)密碼�,大寫和小寫字母�����,特殊字符和數(shù)字。
6. 禁用“任何人都可以注冊”選項(xiàng)�����。
根據(jù)業(yè)務(wù)需求來決定是否禁用此選項(xiàng)����。
7. 刪除readme.html和install.php文件。
8. 使用雙因素身份驗(yàn)證登錄�。
9. 安裝網(wǎng)站安全防護(hù)軟件或者硬件waf防火墻���。
