32步WordPress网站安全终极检查清单:第6~12步

分享本文:
security-checklist-step-6-12
32步WordPress网站安全终极检查清单:第6~12步
5 分, 共 1

网站安全,是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全,也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤,来保护你WordPress网站的安全。这一些列步骤共分32步,今天介绍第6~12步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

6. 仅安装下载自其官方网站的插件、主题和脚本程序

有的用户没有正版意识,喜欢从一些不靠谱的网站下载本应付费购买的主题和插件。

我们不对这些用户的盗版行为做过多的价值评判。但根据WordPress主机主机用户的实际情况来看,使用盗版主题,是国内WordPress网站被黑的最主要的原因之一。

许多人并没有认识到,你从盗版网站免费下载的这些盗版主题,很多已经被置入了木马病毒等恶意程序。很多时候,这些主题里包含有后门程序,这样黑客就可以通过后门程序来远程控制你的网站。

你愿意把你的钱包交给一个骗子吗?我想不会的。同样,你也不应该把你的网站交给骗子。不要轻易相信那些偷盗别人付费主题来“免费”提供给你的盗版网站。

一个正版主题,价格通常在500元人民币之内,为了节省这点钱而冒着巨大的风险,并不值得。

那么,哪些安全网站可以获得高质量的主题呢?

WordPress.org官网是最为常用的下载插件和主题的网站。我们WordPress中文网每月为大家推荐的精选主题,基本上都是以该网站为主。付费主题和插件通常也有自己的官方网站。

如果你的WordPress网站比较重要,请记住远离盗版网站

7. 选择安全可靠的WordPress主机服务商

好的WordPress主机服务商,可以保护你的网站远离黑客攻击。

重视安全的主机服务商,往往有独立的安全团队来监控各种最新漏洞(甚至包括0day暴露出来的尚无解决办法漏洞),并及时在防火墙中设置规则来缓和针对你网站的各种黑客攻击。

如何选择WordPress主机,是一个大的话题,我们以后将专门展开讨论。

我们WordPress中文网专门为用户提供专业的WordPress主机,非常重视用户数据安全,可靠性极高。上次出现的ImageTragick漏洞,影响了全球所有的PHP服务器,我们WordPress中文网主机的安全团队第一时间对所用服务器及时打了补丁,修复了此次安全漏洞包。

8. 确保你的网站运行在最新版的PHP版本上

根据全球WordPress网站统计数据,目前有7.3%的WordPress运行在PHP 7.1版本至上,2.3%运行在PHP 7上,22.1%运行在PHP 5.6上。而另外68.3%的WordPress网站安装在PHP 5.5以及更低版本之上。

wordpress-php-version-stat

这是PHP官方对于各个版本的支持时间表

php-version-support-timeline

其中绿色版本号表示官方提供技术支持,绿色长条表示官方提供技术支持的日期范围;橙色长条表示官方仅针对严重安全漏洞提供修复;红色版本号,表示官方不再对该版本提供的技术支持,即使发现漏洞也不再进行修复。

如果你的网站仍在使用旧版本的PHP,那么你不仅无法享受新版PHP带来的性能飞跃,而且对今后出现PHP安全漏洞也无法进行修补。这样你的网站将会面临数据安全问题。

因此,和及时升级WordPress内核版本一样,你也要及时升级服务器的PHP版本,这样才能让你的网站更安全。

对于我们WordPress中文网的WordPress专业主机的用户,要升级PHP版本很简单。我们主机空间已经支持到最新版本的PHP 7(目前PHP 7.1仍处于beta测试状态,尚未发布正式版)。你可以登陆主机管理系统后,通过php版本来进行设置:

cpanel-php-version

选择其他主机服务商的用户,请记住,升级PHP版本是你主机空间服务商的责任。如果你发现自己空间的PHP版本太低,你可以联系服务商进行升级。好的服务商就应该和我们一样,及时升级PHP至最新版本。

WordPress目前仍支持在最低PHP 5.2的环境中运行,但官方推荐的PHP版本为5.6以上;明年年中,WordPress官方会将推荐的PHP版本修改为7.0

特别提醒:目前有一部分插件仍不兼容最新版的PHP 7.0。如果你要将升级到PHP 7.0,我们建议你先进行测试,不要直接在生产网站中直接升级PHP版本。你可以先做一个独立的备份网站,先进行测试之后,确认没有问题之后再进行升级操作。

9. 修改默认的admin用户名

WordPress 3.0之前,WordPress默认的用户名都是 admin 。这样的设定,使得许多网络黑客根本不需要猜测网站的管理员用户名。直到今天,仍然有许多WordPress新手选择admin作为默认的管理员账户。

要增加WordPress网站管理员账户的安全性,最快捷的一招就是,修改默认的admin用户名,改成其他难以猜到的名字。

你可以在安装WordPress的时候,来设置自己的管理员用户名。

如果你的WordPress网站已经安装好了,使用了admin作为用户名,那么你可以在WordPress后台里添加一个新管理员账户,然后用新管理员账户登录,删除之前的admin账户。

这一步也可以通过操作数据库来完成。在phpMyAdmin或者其他数据库客户端来重命名admin用户名:

UPDATE wp_users SET user_login = 'newcomplexusernameforadmin' WHERE user_login = 'admin'

注意,这里wp_users是WordPress数据库中的用户表,wp_是安装WP时设置的默认数据库表前缀。使用默认置是不安全的,我们将在本文后面第21条专门进行介绍。如果你安装WordPress时使用了其他的数据库表前缀,比如是mytableprefix_,那么这里要改成mytableprefix_users。上面代码中的newcomplexusernameforadmin,是新的管理员用户名,你可以选一个自己好记的用户名。

这样简单的修改,就可以让你的WordPress免受很多黑客攻击。

10. 使用强健安全的密码

不得不说,很多用户的安全意识确实比较低,他们在设置密码的时候,根本没有经过太多的考虑。

很多用户选择使用12345678或者admin作为密码,看起来就让人担心。

即便在你输入密码的时候,不会有别人在旁边偷看,使用简单密码也很容易被黑客利用。虽然WordPress对用户密码做了md5加密处理,但是密码太短太简单的话,很容易通过技术手段来破解。

国内最近常见不鲜的某邮箱服务商用户密码泄密,某大型购物商场用户密码泄密等,其中有一些例子都是因为用户密码过于简单,可以直接通过对比md5加密结果而被泄露的。

因此,一定要使用足够强健安全的密码

如果你不知道怎么设置复杂的密码,可以直接使用WordPress的密码生成器来帮你设置,然后记得把密码保存在安全的位置。WordPress密码生成器可以在WordPress后台的用户,个人资料中找到。

11. 不要重复使用密码

永远不要重复使用密码!

很多用户喜欢在所有的网站上使用同一个密码。要记住各个网站的密码,简单太难了,因此,他们选择使用相同的密码。

这实在是大错特错了。

再次强调,黑客了解人类的缺点。因此,他们一旦知道你其中某个账户的密码,那么很容易就知道了你在其他所有网站中的密码。

近年来,国内屡屡被爆的某邮箱用户资料泄露,某东用户密码泄露等,其中有些就是因为用户其他网站密码泄露后,用其账户和密码尝试登录的方式被破解的。据说,黑客将这种方式叫做撞库。

因此,为了你的网络资料安全,请不要重复使用密码。如果你觉得密码过于复杂不好记,你可以使用密码管理软件。

这不仅关系你WordPress网站的安全。

12. 注意保护密码的安全,不要使用纯文本格式来保存密码

众所周知,网络上有各种各样的偷窥者。敏感的数据,比如信用卡号、密码等,应该保存为加密模式。

有很多双眼睛盯着你的数据。请务必遵循以下步骤来保护你的密码:

  1. 不要通过邮件、聊天软件、社交网络以及其他未加密的形式来发送密码;
  2. 对你的网站部署HTTPS,尤其是网站后台,来避免以纯文本形式传输密码;
  3. 避免使用纯FTP来访问你的网站。要使用SSH和FTPS。FTP协议开发于互联网的黑暗年代,并不太安全。密码和文件都将以纯文本形式传输,数据根本不进行加密处理。而FTPs(即Secure FTP,加密的FTP)协议,对所有通过FTP传输的数据都进行加密。要使用FTPs协议,你需要首先在主机空间中进行设置;
  4. 当然,多个用户不应该共享密码,也不应该将密码保存为纯文本形式,不管这样有多麻烦。共享登录用户名和密码,将会面临安全和责任风险。

我们提供的WordPress专业主机支持用户部署HTTPS(需额外购买独立IP,SSL证书,以及设置费),支持FTPs(免费)加密传输数据。

(未完,待续…)

 

 

32步WordPress网站安全终极检查清单:第6~12步
5 分, 共 1
分享本文:


发表一下评论

电子邮件地址不会被公开。 必填项已用*标注

Menu Title