WordPress是一款非常潮流的CMS系統(tǒng)�����,市場(chǎng)上安裝占有率一直遙遙領(lǐng)先���。正因?yàn)槿绱耍涓资艿椒N種攻擊,因此WordPress安全性是非常緊要的����。卓網(wǎng)信息將針對(duì)怎樣保證你的WordPress站點(diǎn)安全問(wèn)題,從服務(wù)器與及WordPress本身進(jìn)行講解�,進(jìn)而防止網(wǎng)站被攻擊者攻破。
服務(wù)器篇
1�����、禁用目錄索引
如果你的主機(jī)沒(méi)有開(kāi)啟禁止目錄索引功能�����,請(qǐng)加上以下語(yǔ)法�����,以保護(hù)沒(méi)有index目錄的目錄����,防止被惡意者下載網(wǎng)站全部?jī)?nèi)容。
Options –Indexes
2��、使用HTTPS SSL加密
HTTPS 可阻止第三方監(jiān)聽(tīng)或修改 用戶端和服務(wù)器之間通信的中間人攻擊����。理想情況下��,應(yīng)當(dāng)在安裝 WordPress 前激活 HTTPS,如果在安裝后再添加�,可能需要額外更新 WordPress 設(shè)立。
3���、設(shè)立請(qǐng)求大小限制
防止黑客通過(guò)Dos攻擊�,利用傳輸大文件來(lái)沖爆你的流量��,所以能夠通過(guò)限制文件流大小來(lái)避免這樣的情況發(fā)生���,將以下語(yǔ)法加入到根目錄的.htaccess文件中即可����。如下設(shè)立為10M�,可按自身業(yè)務(wù)情況進(jìn)行設(shè)立。
LimitRequestBody 10240000
4�、禁用不必要的模塊
根據(jù)自身業(yè)務(wù),禁用一些多余的模塊�。
5、隱藏您的Apache或Nginx的版本
攻擊者往往通過(guò)Apache或nginx版本信息進(jìn)行針對(duì)性攻擊��,所以需第一時(shí)間隱藏它的版本信息。
6���、保持PHP最新
7�、隱藏PHP版本
避免攻擊者針對(duì)性的PHP版本漏洞攻擊��。
8����、控制POST和內(nèi)存請(qǐng)求的大小
避免攻擊者啟用大流量請(qǐng)求造成DDoS攻擊。
9����、保持MySQL最新
10、禁用MySQL遠(yuǎn)程訪問(wèn)
避免攻擊者遠(yuǎn)程連接MySQL數(shù)據(jù)庫(kù)�����,在my.cnf(Linux)my.ini(Windows)添加如下代碼����。
bind-address = 127.0.0.1
11、禁用FTP服務(wù)器(服務(wù)器)或只允許特定的IP訪問(wèn)它
12�、良好的備份習(xí)慣
WordPress篇
1. 時(shí)常保持你的WordPress和插件更新。
2. 謹(jǐn)防虛假或可疑的主題和插件�。
3. 只啟用已知的��、合格的插件��。
4. 切勿啟用默認(rèn)客戶“admin”��。
手法一:后臺(tái)新建一個(gè)客戶��,角色為管理員,然后啟用新客戶登錄�,刪除默認(rèn)的 admin 客戶。
手法二:登錄phpmyAdmin����,瀏覽當(dāng)前數(shù)據(jù)庫(kù)的 wp_users 數(shù)據(jù)表,將 user_login 和 user_nicename 修改為新客戶名�����。
建議在后臺(tái)管理中“自己的個(gè)人資料”中的昵稱(chēng)�,設(shè)立“公開(kāi)顯示”為非客戶名的昵稱(chēng)。
5. 啟用超過(guò)8位數(shù)的強(qiáng)密碼��,大寫(xiě)和小寫(xiě)字母��,特殊字符和數(shù)字���。
6. 禁用“任何人都能夠注冊(cè)”選項(xiàng)����。
根據(jù)業(yè)務(wù)需求來(lái)決定是否禁用此選項(xiàng)。
7. 刪除readme.html和install.php文件�����。
8. 啟用雙原因身份驗(yàn)證登錄�。
9. 安裝網(wǎng)站安全防護(hù)軟件或者硬件waf防火墻。
