上周五,我们WordPress中文网与大家分享了2016年1季度WordPress安全趋势报告,其中有3个过期插件引发8000多个网站遭黑客入侵,给我们留下了深刻的印象。那么,如何才能保护你的WordPress网站安全呢?今天,WordPress中文网就给你分享一个32步的检查清单,保护你WordPress网站免受入侵。
网站安全至关重要
不管你的网站是个人博客,还是企业网站,网站数据安全都十分重要。
有许多用户总觉得自己只是一个小网站,应该没人感兴趣,不会有人专门来黑自己的网站。但实际上并非如此。黑客寻找网站,往往是通过程序来自动寻找的,并不是手动一个个查找,因此哪个网站中招,都是随机的。
我们WordPress中文网同时向用户提供专业的WordPress主机,几乎每一两个月就会有用户反应网站被黑。这些网站,大部分也都是普通的企业或个人网站。这其中有的网站是主页变成了恐怖组织的骷髅头,有的是成为诈骗钓鱼网站的帮凶,还有的向外发送垃圾邮件。
正如WordPress安全趋势报告所说,网站被黑并不说明WordPress这样的开源平台不安全,因为这些平台本身都会在第一时间来修补发现的漏洞,他们的安全性要比其他软件更高。网站被黑的主要原因是,用户没有及时更新到最新版本,以及使用了来源不可靠的或者过期的扩展,包括主题、插件等。
那么,怎么才能确保WordPress网站的安全呢?除了选择安全可靠的WordPress主机外,以下这份32步检查清单,可以有效帮你保护你的网站。
32步安全检查清单 – 目录
这是一个来自国外知名网站WPMU DEV推荐的安全检测清单,其中内容基本上涉及到了常见安全问题的方方面面。我们来一起看一下这份清单,我们今后几天将详细介绍如何进行32步安全检查:
- 32步WordPress网站安全终极检查清单:第1~5步
- 保持使用最新版本的WordPress;
- 不要修改WordPress的内核代码;
- 确保所有插件更新到最新版本;
- 移除所有未激活、未启用的插件;
- 确保所有主题更新到最新版本;
- 32步WordPress网站安全终极检查清单:第6~12步
- 仅安装下载自其官方网站的插件、主题和脚本程序;
- 选择安全可靠的WordPress主机服务商;
- 确保你的网站运行在最新版的PHP版本上;
- 修改默认的admin用户名;
- 使用强健安全的密码;
- 不要重复使用密码;
- 注意保护密码的安全,不要使用文本格式来保存密码;
- 32步WordPress网站安全终极检查清单:第13~17步
- 只在可信任网络中更新你的网站;
- 本地计算机要安装杀毒软件;
- 使用Google Search Console等类似服务监控网站安全;
- 使用安全防护插件来保护你的WordPress网站;
- 如果其他步骤失败了,那使用备份文件恢复网站;
- 32步WordPress网站安全终极检查清单:第18~22步
- 限制尝试登录的行为;
- 启用双重认证(可参考本站推荐的25个最受欢迎的WordPress插件之25)
- 确保文件权限设置正确;
- 修改默认的数据库表前缀;
- 确保设置了WordPress秘密认证验证密钥;
- 32步WordPress网站安全终极检查清单:第23~27步
- 禁用执行PHP代码;
- 隔离数据库;
- 限制数据库用户的权限;
- 禁止文件编辑;
- 保护wp-config.php文件的安全;
- 32步WordPress网站安全终极检查清单:第28~32步
- 禁用xml-rpc功能(如果你不需要这一功能的话);
- 禁用PHP错误报告功能;
- 安装防火墙;
- 使用CDN防火墙;
- 通过安全日志监视WordPress网站安全。
各位使用WordPress建站的用户及站长,请对照以上清单进行检查,做好网站安全防范工作,以免你的网站遭遇入侵,给你带来更大的损失。
-
1 20个你可能还不知道的WordPress隐秘功能(16~20)
-
2 20个你可能还不知道的WordPress隐秘功能(11~15)
-
3 20个你可能还不知道的WordPress隐秘功能(6~10)
-
4 20个你可能还不知道的WordPress隐秘功能(1~5)
-
5 32步WordPress网站安全终极检查清单:第28~32步
-
6 32步WordPress网站安全终极检查清单:第23~27步
-
7 32步WordPress网站安全终极检查清单:第18~22步
-
8 32步WordPress网站安全终极检查清单:第13~17步
-
9 32步WordPress网站安全终极检查清单:第6~12步
-
10 32步WordPress网站安全终极检查清单:第1~5步
Pingback: CentOS 7.2 部署LAMP并运行WordPress的过程 – What I Write Just What I Know
Pingback: 32步WordPress网站安全终极检查清单 - 奇诺分享 | ccino.org
楼下是疯子。哈哈
zhuiliang7 http://www.zhuiliang7.cn/