32步WordPress网站安全终极检查清单:第28~32步

分享本文:
security-checklist-step-28-32
请为本文打分

网站安全,是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全,也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤,来保护你WordPress网站的安全。这一些列步骤共分32步,今天介绍第28~32步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

28. 禁用XML-RPC功能(如果你用不到它的话)

WordPress允许其他应用软件通过应用程序接口(简称API)来进行远程访问。也就是说,其他应用程序可以可以访问你的网站。一个典型的应用就是XML-RPC,你可以用它来更新网站内容。

有很多插件也依赖于XML-RPC功能,比如Jetpack插件包就用到了XML-RPC功能。

然而,XML-RPC也可能被黑客用来攻击你的网站。

今天,很多用户相信XML-RPC和WordPress内核一样安全,然而实际上XML-RPC有可能被黑客用来进行钓鱼诈骗。如果你的网站开启XML-RPC的话,你可能会发现每天有一二十次访问记录。

如果你确信自己不会去用第三方的应用来访问WordPress,网站上的WordPress插件也不需要这一功能,那么你可以安装插件来禁用XML-RPC功能

29. 禁用PHP错误报告功能

在你进行网站开发的时候,错误报告就像是一个救生圈。在错误来临的时候,它可以精确地告诉你错误的位置,这样你可以很快修复错误。

然而,在生产网站上,错误报告会给黑客可乘之机,让他们可以轻易获取一些有价值的信息。

比如说,下面这是一条错误报告:

php-error-reporting

这条报告泄露了该账户的用户名。如果别人正要找机会入侵你的网站,那么这是一条非常关键的信息。

这只是一条错误信息,如果你要查找攻击目标的弱点的话,其他的错误报告还会给你更多。

要关闭PHP错误报告,你可以将以下代码放到你的 php.ini 文件之中:


error_reporting = 4339
display_errors = Off
display_startup_errors = Off
log_errors = On
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = On
ignore_repeated_source = Off
html_errors = Off

这样可以加强你WordPress网站的安全性,减少网站敏感信息暴露的可能性。

30. 安装防火墙

防火墙可以分为两大类,或者说主要有两种用途。在网络安全领域,防火墙主要用于分隔不同类型的网络。要么阻止外部的进入,要么阻止内部的出去。

如果要做类比的话,防火墙就像是保镖:只有在派对邀请名单上的重要人物,才可以进入。如同派对保票禁止非受邀人士进入派对一样,软件防火墙通常用于禁止黑客接近你的网站。

对于WordPress网站的安全,我们通常使用网络应用防火墙(Web Application Firewall,简称WAF)来组织黑客使用他们的小脏手进入不欢迎他们的地盘。

WAF有很多种,但是在WordPress服务器上,可以用到的最为可靠、免费、并且开源的防火墙,就是ModSecurity防火墙。

你可以询问你的主机服务商,来看看你的服务器空间上是否有安装并开启这个防火墙。一旦启用这个防火墙,你的主机服务商以及你聘请的WordPress程序员,就可以来设置ModSecurity规则,来保护你的WordPress网站的安全。

WordPress中文网为用户提供的专业WP主机空间,全部安装有ModSecurity防火墙,安全可靠。

31. 使用CDN防火墙

CDN(全称Content Delivery Network,内容分发网络)主要是通过存储网页资源来优化网站性能。

同时,CDN还提供额外的功能:绝大多数CDN可以保护WordPress网站的安全。

如果你在使用CDN(如果网站访问量较大,你也有必要使用),那么你同样应该设置好安全规则,来提升对你WordPress网站的保护。

32. 通过安全日志监视WordPress网站安全

如果你不知道网站遇到了什么样的攻击,那么你也就无法阻止这些攻击,对吧?

通过监控日志,你可以提升对WordPress安全的保护。比如说,如果你发现有大量的攻击尝试,都来自于某个国家,而这个国家并不是你关注的对象,那么你可以设置一个规则来屏蔽这个国家。

当然,这只是一个监控日志的简单例子。

如果你可以直接访问主机服务器,也可以选择OSSEC来监控服务器的日志。否则,你也可以选择安装WordPress Security Audit Log插件来监控你的安全日志。

结论

本系列文章详细介绍了增强WordPress网站安全的终极32个步骤。如果你之前没有考虑过加强WordPress安全的问题,那么文本或许可以给你更多的启示和建议。幸运的是,文中介绍的这些步骤,都不需要太多的专业知识,就可以轻松完成。

WordPress的安全问题至关重要。或许此刻,你的网站正在被黑客攻击。

即便你不打算对以上的32个步骤全部实施一遍,我们也强烈建议你执行曲中绝大多数的举措,这些措施可以实实在在地增强你WordPress网站的安全。

请为本文打分
分享本文:


发表一下评论

电子邮件地址不会被公开。 必填项已用*标注

Menu Title