客户反映自己新装了wordpress第二天一看被黑了,文件全删了,留了个PHP马
可我们 365网站管家认为 不是 WordPress 的问题,可能是插件或主题的锅
365网站管家同时托管2000个WordPress网站的经历,WordPress安全相关的问题解决过不少次。
下面这篇文章就来说一下我们平常使用WordPress的时候,应该注意那些安全问题、以及如果出现安全问题应该如何补救
1、不要再网络上随便下载汉化/破解的主题或插件
哪有那么多免费的“午餐“,你在“享受”便利的同时也在给自己带来麻烦,黑产从业者会把木马/后门植入主题/插件从而利用你的主机去DDoS别人的网站,或者获取你的数据
2、不要使用弱口令管理员密码
什么112233、123456、admin、1314521类似的简直和没有密码一样。最起码要大小写字母加数字不少于8位
3、尽量修改默认的后台登录地址
WordPress默认的后台地址是域名/wp-admin,改成其他的目录降低密码被爆破的可能性
4、限制访问文件和目录
如果文件和目录的访问权限不够安全,这些文件可能会被黑客访问并用于破坏你的网站。建议将 wp-config 文件的权限设为 600,其它文件的权限设为 644,目录的权限设为 755
5、关闭目录浏览
有的主机环境默认没有关闭目录浏览,这样会带来很多安全隐患
6、禁止执行 wp-includes 目录中的 PHP 脚本
wp-includes 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站
7、禁止执行 wp-content/uploads 目录中的 PHP 脚本
wp-content/uploads 目录可能包含不安全的 PHP 文件,这些文件可执行用于控制和利用您的网站
8、关闭 pingbacks
通过 Pingbacks,当其它的 WordPress 网站链接到您的帖子时,会允许这些站点自动在您的帖子下留言。Pingbacks 可用于在您的网站上启动 DDoS 攻击,造成性能负载
9、更改默认的数据库表前缀
在所有 WordPress 安装实例上的 WordPress 数据库表都具有相同的标准名称。当标准的 wp_ 前缀用于数据库表名时,整个 WordPress 数据库结构是透明的,使得恶意脚本很容易从其中获取任何数据。此安全措施会将数据库表名称前缀更改为与默认的 wp_ 前缀不同的内容
10、养成备份的好习惯
有备无患,备份可以让数据丢失/损坏后即使恢复,不受损失。
11、保持插件、模板、WordPress是最新的
本文来自投稿,不代表重蔚自留地立场,如若转载,请注明出处https://www.cwhello.com/212271.html
如有侵犯您的合法权益请发邮件951076433@qq.com联系删除
