备案控制台
探索云世界
开发者社区 数据库 文章 正文

十条关于 WordPress 安全性的小贴士

2018-03-13 1493
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云数据库 RDS MySQL Serverless,0.5-2RCU 50GB
推荐场景:
学生管理系统数据库设计 搭建个人博客
简介: WordPress 本质上并没大家认为的那么危险,而且开发者也在努力工作,以确保危险漏洞能被快速修复。但不幸的是,WordPress 的成功使其成为众矢之的:如果你能攻破一个 WordPress 安装,那么可能会有数以百万计的网站向你 “开放”。

WordPress 本质上并没大家认为的那么危险,而且开发者也在努力工作,以确保危险漏洞能被快速修复。但不幸的是,WordPress 的成功使其成为众矢之的:如果你能攻破一个 WordPress 安装,那么可能会有数以百万计的网站向你 “开放”。而且即使 WordPress 是安全的,也并不是所有的主题和插件都会有同样级别的开发重视程度。

有些人攻击 WordPress 是为了挑战或造成恶意的损害,这些行为都很容易被发现。最糟糕的罪魁祸首是那种潜入内容的行为,它们会将钓鱼网站深入到文件夹结构,或使用你的服务器发送垃圾邮件。一旦你安装的 WordPress 被破解,可能需要删除所有内容并从头重新安装。

庆幸的是,有很多简单的方案来提升安全性。下面提到的安全修复方案都不会超过几分钟。

1. 切换到 HTTPS

HTTPS 可阻止第三方侦听或修改客户端和服务器之间通信的 中间人攻击 。理想情况下,应该在安装 WordPress 前激活 HTTPS,如果在安装后再添加,可能需要更新 WordPress 设置。

HTTPS 还可以提升网站的 Goggle PageRank。诸如 SiteGround 这类网站托管服务提供商会提供免费的 SSL 证书。

2. 限制 MySQL 连接地址

确保你的 MySQL 数据库拒绝来自外部的人员和系统连接到本地服务器的行为。大多数受管理的 Web 主机默认情况下都会执行此操作,但那些使用专用服务器的主机可以将下面的代码添加到 MySQL my.cnf  配置文件的 [mysqld] 部分:

bind-address = 127.0.0.1

3. 使用强大的数据库凭据

在安装 WordPress 之前创建 MySQL 数据库时,建议使用强大的、随机生成的数据库用户 ID 和密码。在安装 WordPress 过程中使用一次凭据连接到数据库 — 你不需要记住它们。你还应该使用一个不同于默认值 wp_  的表前缀。

用户 ID 和密码可以在安装后更改,但请记住相应地更新 WordPress 的 wp-config.php  配置文件。

4. 使用强大的管理员帐户凭据

同样地,在安装过程中创建的管理员账户也应使用强大的 ID 和密码。任何使用 ‘admin’ 作为 ID,‘password’ 作为密码的人都活该被黑客入侵。还应考虑到为日常编辑任务这些行为创建更少权限的账户。

5. 移动或保护 wp-config.php 配置文件

wp-config.php  包含了数据库访问凭据和其他一些对入侵系统有助的有用信息。大多数人都将其保留在主要的 WordPress 文件夹中,但可以将其移动到上层的文件夹。大多数情况下,该文件夹位于 Web 服务器根目录之外,而且无法通过 HTTP 请求进行访问。

或者,也可以通过配置 Web 服务器(如 Apache .htaccess  文件)来保护它:

order allow,deny
deny from all

6. 尽可能授予用户最低权限角色

用户是任何系统最弱的一点 — 特别是当他们可以选择使用自己的弱口令并将其传给任何问他们索要的人时。WordPress 提供了 一系列的角色和功能 。大多数情况下,用户应该是:

  • 编辑: 可以发布和管理自己和其他人的帖子的人
  • 作者: 可以发布和管理自己的帖子的人
  • 贡献者: 可以编写和管理自己的帖子但不能发布的人

这些角色都不能授权配置 WordPress 或安装插件的权限。

7. 限制 IP 地址访问

如果你有几个具有静态 IP 地址的编辑器,则可以通过向 wp-admin  文件夹添加另一个  .htaccess  文件来限制访问:

order deny, allow
allow from 1.2.3.4 # user 1 IP
allow from 5.6.7.8 # user 2 IP, etc
deny from all

8. 隐藏 WordPress 版本号

某些版本的 WordPress 存在已知的漏洞。任何人也都可以轻松发现你正在使用的版本,因为它显示在每个页面的 HTML <head> 标签里面。通过在主题的 functions.php 文件中添加下面的代码来删除该信息:

remove_action('wp_head', 'wp_generator');

9. 理智选择第三方插件和主题

WordPress 的插件和主题拥有着用户梦寐以求的功能。但一个不好的插件会影响性能、泄露隐私数据或授予使用者另一种访问方式。除非绝对必要,否则最好避免安装代码。而且在进行在线安装时,还要注意验证插件的真实性并在本地服务器上进行测试。

10. 定期更新 WordPress 和插件

WordPress 会自动更新,但主要版本需要一键激活过程。当然,在备份数据库和文件之后再更新。同样地,记得定期检查主题和插件的更新。

风险规避应该在更新在线系统之前检测副本测试服务器上的更新。也就是说,WordPress 更新过程和向后兼容性很少引起问题。

还有其他快速和简单的 WordPress 安全性小贴士吗?在评论区和我们分享吧~

编译自:sitepoint


原文发布时间:2017-04-26
本文来自云栖社区合作伙伴“ Debian社区”,了解相关信息可以关注“ Debian社区”。
文章标签:
云数据库 RDS MySQL 版
数据库
关系型数据库
安全
数据安全/隐私保护
MySQL
关键词:
wordpress安全性
相关实践学习
基于CentOS快速搭建LAMP环境
本教程介绍如何搭建LAMP环境,其中LAMP分别代表Linux、Apache、MySQL和PHP。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
行者武松
目录
相关文章
北京六翼开源
|
监控 安全 Ubuntu
重视WordPress建站安全性,WordPress定制开发如何发挥其安全性不被攻击
WordPress网站上每分钟有超过90,978次攻击,尽管这个数字听起来很大,但如果您遵循基本的安全规则,则可以防止大多数潜在攻击并使您的网站免受攻击。或者至少让它很难闯入,以至于黑客宁愿瞄准数千个安全性差的人之一。这并不难做到,特别是如果您考虑到许多攻击是在自动漏洞扫描程序找到潜在途径后执行的。那么,如何飙升WordPress网站安全性?WordPress定制开发如何发挥其安全性不被攻击? 北京六翼信息技术有限公司的开发工程师给出以下是 6 个基本提示重视WordPress建站安全性的建议。
北京六翼开源
118 0
重视WordPress建站安全性,WordPress定制开发如何发挥其安全性不被攻击
玄学酱
|
安全 Linux 网络安全
怎样用 WPScan,Nmap 和 Nikto 扫描和检查一个 WordPress 站点的安全性
玄学酱
1599 0
知与谁同
|
Ubuntu Linux 网络安全
用 Google Authenticator 加强 VPS 及 WordPress 甚至桌面电脑的安全性
知与谁同
1581 0
suboysugar
|
Web App开发 安全 测试技术
修改WordPress后台登录地址,提高安全性
使用 Stealth Login Page 插件 该插件设置非常简单,设置一个非法访问后台地址 /wp-admin 或 /wp-login.php 时,重定向到指定网址;然后设置自定义登录地址的链接参数,具体见下图: 保存设置后,只能通过那个自定义登录地址才能访问到登录表单,其他后台地址一律重定向到所设置的重定向地址。
suboysugar
1376 0
杨振平
|
安全 PHP 数据库
加强您的wordpress网站安全性的13条建议
 加强您的wordpress网站安全性的13条建议 1.运行最新版本的wordpress2.运行最新版本的主题和插件3.有选择性地选择插件和主题4.
杨振平
922 0
govgfw
|
1月前
|
安全
SiteGround如何设置WordPress网站自动更新
iteGround Autoupdate功能会自动帮我们更新在他们这里托管的所有WordPress网站,这样做是为了保证网站安全,并且让它们一直保持最新状态。他们会根据我们选择的设置自动更新不同版本的WordPress,包括主要版本和次要版本。在每次自动更新之前,他们都会为我们的网站做一个完整的备份,这样如果有什么问题,我们可以轻松地恢复到之前的状态。在本文中,我们将介绍如何在SiteGround中设置WordPress网站自动更新。
govgfw
36 0
SiteGround如何设置WordPress网站自动更新
govgfw
|
3月前
WordPress网站更换域名后如何重新激活elementor
本文讲解WordPress网站更换域名后如何重新激活elementor。首先你需要在WordPress后台elementor下点击Disconnect断开原elementor连接,然后登录elementor官网,在后台解除原网站授权;接着在WordPress后台重新连接并激活elementor。
govgfw
64 2
WordPress网站更换域名后如何重新激活elementor
疯狂的猿
|
3月前
给WordPress网站增加一个带时间的led广告牌
给WordPress网站增加一个带时间的led广告牌
疯狂的猿
31 3
灰灰快醒醒
|
1月前
|
关系型数据库 MySQL Apache
怎么在树莓派上搭建WordPress博客网站,并发布到外网可访问?
怎么在树莓派上搭建WordPress博客网站,并发布到外网可访问?
灰灰快醒醒
62 1
海拥
|
3月前
|
域名解析 弹性计算 数据安全/隐私保护
阿里云ECS免费搭建WordPress个人博客网站
阿里云ECS免费搭建WordPress个人博客网站
海拥
452 2
阿里云ECS免费搭建WordPress个人博客网站

热门文章

最新文章

  • 1
    wordpress博客系统详细安装部署教程
  • 2
    基于WordPress开发的高颜值的自适应主题,支持白天与黑夜模式
  • 3
    VPS搭建WordPress
  • 4
    SiteGround搭建WordPress
  • 5
    WordPress外贸建站教程
  • 6
    WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析
  • 7
    怎么在树莓派上搭建WordPress博客网站,并发布到外网可访问?
  • 8
    分享58个wordpress模板,总有一款适合您
  • 9
    SiteGround如何设置WordPress网站自动更新
  • 10
    Docker部署WordPress LNMP(Nginx PHP MySQL)环境实践
  • 1
    WordPress未经身份验证的远程代码执行CVE-2024-25600漏洞分析
    67
  • 2
    SiteGround如何设置WordPress网站自动更新
    36
  • 3
    WordPress外贸建站教程
    98
  • 4
    SiteGround搭建WordPress
    101
  • 5
    怎么在树莓派上搭建WordPress博客网站,并发布到外网可访问?
    62
  • 6
    信息收集 -- WordPress网站
    25
  • 7
    VPS搭建WordPress
    111
  • 8
    分享58个wordpress模板,总有一款适合您
    61
  • 9
    WordPress动漫图片主题cxudy模板
    26
  • 10
    服务器搭建记录 · Wordpress
    59

    • 相关课程

    更多
  • 机器阅读技术与应用
  • 线上Linux服务器优化经验

    • 相关电子书

    更多
  • 代码未写,漏洞已出——谈谈设计不当导致的安全问题
  • 代码未写,漏洞已出
  • SEO学习步骤

    • 相关实验场景

    更多
  • 通过Helm CLI部署wordpress到ACK集群
  • 手动搭建WordPress(CentOS 8)
  • 通过Docker部署WordPress 论坛
  • 基于Linux命令实现WordPress手动建站
  • 使用阿里云容器服务和容器网络文件系统搭建WordPress网站
  • 基于函数计算快速搭建Wordpress博客系统
    • 下一篇
    阿里云oss简介和使用流程