|
這幾年來�����,我聽過很多外貿(mào)人抱怨自己辛苦建的 WordPress 網(wǎng)站被黑了�����! 甚至有人質(zhì)疑 WordPress 這種開源的程序,是否是建站的最佳選擇�����,因為開源程序總是更容易被黑客研究和攻擊�����。 不可否認(rèn)�����,開源的建站程序的確存在這種情況�����,就像任何事物都有兩面性一樣�����。 被黑客攻擊的 WordPress網(wǎng)站�����,可能會對公司的業(yè)務(wù)造成嚴(yán)重?fù)p害�����。黑客可以竊取用戶信息和密碼�����,安裝惡意軟件�����,甚至是勒索軟件。 2016年3月�����,一份來自谷歌的報告稱�����,超過5000萬網(wǎng)站用戶�����,被警告他們訪問的網(wǎng)站可能包含惡意軟件或可能竊取信息�����。 此外�����,谷歌每周約記錄 20,000 個惡意軟件網(wǎng)站,和大約 50,000 個網(wǎng)絡(luò)釣魚網(wǎng)站�����。 所以無論是自建站還是外包建站�����,都一定要特別注意 WordPress 網(wǎng)站的安全性�����。 防黑教程 一. 注意更新PHP版本 和WordPress版本為了安全起見,建議 PHP 至少升級到 7.2 版本�����。當(dāng)然�����,參考這篇文章升級到最新的 7.3 版本也OK�����。 關(guān)于原因�����,我前面寫過一篇文章: 虛擬主機和VPS升級PHP到7.2版本 https://www./upgrade-php-version-to-7-x.html 至于WordPress,盡量安裝最新版本�����。如果一直沒怎么更新的�����,建議更新一下�����。 這里再說點題外話:
關(guān)于 Gutenberg(古騰堡)編輯器WordPress從5.0版本起,使用了一個基于 Block 布局的 Gutenberg編輯器�����。 雖然 WordPress 官方極力推薦這種編輯器�����,但是90%以上的用戶試用過一陣子后�����,都感覺非常不習(xí)慣。 很多WP的使用者�����,都已經(jīng)使用習(xí)慣了老版本默認(rèn)的經(jīng)典的編輯器�����,使用這種新的編輯器�����,會非常不方便。 于是我們需要安裝一個額外的插件來解決這個問題�����。 在 WP 后臺菜單里找到 Plugins(插件)�����,選擇安裝插件,在彈出的搜索頁面輸入 Classic Editor�����,找到這款插件�����。 安裝之后�����,啟用即可。這樣編輯器就又變成以前的經(jīng)典編輯器了�����。 二. 隱藏版本號這一步你可以按照下面的代碼�����,去手動添加代碼�����,也可以使用第四部分所說的 WordFence 插件來完成。 在你的主題文件夾(如果有子主題并啟用了子主題�����,則在子主題文件夾下)找到 functions.php 文件�����,使用 FTP 或 XFTP 等工具下載到本地�����。
使用 notepad++(還沒下載安裝的去下載安裝一下),鼠標(biāo)右鍵選擇 edit with notepad++�����。
添加一段代碼: function liao_remove_version() {
return '';
}
add_filter('the_generator', 'liao_remove_version'); 代碼的作用是�����,在系統(tǒng)默認(rèn)顯示版本的地方�����,顯示為空�����。 三. 禁止修改 config.php 文件config.php 文件是 WordPress 的重要配置文件�����,里面包含了數(shù)據(jù)庫名稱,數(shù)據(jù)庫用戶名和密碼等敏感信息�����。 如果不加以保護(hù)�����,信息可能會被黑客掌握�����。 在 WordPress 網(wǎng)站根目錄下,在wp-config.php 文件內(nèi)最后添加這行代碼�����,來禁止通過線上方式修改設(shè)置�����,代碼如下: define('DISALLOW_FILE_EDIT', true );
保存�����,上傳覆蓋原 wp-config.php 文件�����。 四. 安全掃描可以通過 WordFence 插件來搞定�����,這個插件功能還挺強大的�����。 它不但可以設(shè)置上面提到的�����,隱藏 WordPress 版本號�����、禁止上傳文件夾執(zhí)行代碼的功能�����。 同時還限制了登陸嘗試次數(shù)�����,而且能監(jiān)控文件修改改動�����,防止暴力破解�����。 安裝此插件的方法:后臺-插件-安裝插件�����,搜名稱即可�����。類似的安全類插件其實很多,選一個用就可以了�����。 你也可以直接復(fù)制這個鏈接打開:
https:///plugins/wordfence/ 
啟用�����。 
然后先試用免費版的功能。
Wordfence 這個安全插件�����,除了可以進(jìn)行基本的防護(hù)之外�����,還可以進(jìn)行安全掃描(Scan)�����、完成一些防火墻(FireWall)的類似功能�����,以及發(fā)送警報郵件�����。 也有一些有趣的小東西�����,比如 Tool 里面的 Whois Lookup�����,你絕對想不到�����,安全插件還帶一個查詢域名 whois 信息的功能�����。 
很多基本的功能�����,在【All Options】- 【W(wǎng)ordfence Global Options】- General Wordfence Options 里面設(shè)置: 
比如�����,Hide WordPress version 和 Disable Colde Execution for Uploads directory 都是建議去勾選的�����。 當(dāng)然�����,付費版的功能更多�����,如: 兩步驗證(two-factor-Authentication) 
再如:地理位置 IP Block 訪問付費版還有一些功能,比如可以阻隔某個特定國家 IP 過來的訪客的訪問�����,或登錄嘗試等。 
另外�����,免費版的 Wordfence 插件,也是默認(rèn)防范暴力攻擊和鎖定的�����。 如果有人嘗試暴力破解�����,會被鎖定,并自動進(jìn)入黑名單�����。 五�����、開啟 CouldFlare CDN 服務(wù)CouldFlare 是全球知名的 CDN 服務(wù)商,CDN 是一種內(nèi)容分發(fā)機制�����。 簡單來說�����,就是可以把你網(wǎng)站上的內(nèi)容,預(yù)讀到離訪客國家最近的 CDN 服務(wù)器上�����,加快讀取網(wǎng)頁的速度�����。 雖然 CDN 起不到防止黑客侵入的作用�����,但是可以防范一些掃描和流量攻擊�����。 如果有條件,可以開啟付費的服務(wù)�����。 六、其他重要的防黑步驟還有一些防范措施是 WordFence 插件沒有做到的�����,比如你的用戶名和密碼的設(shè)置�����。 用戶名太簡單,密碼太簡單�����,很多時候都是你網(wǎng)站被輕易攻陷的直接原因�����。 建議你再次耐心閱讀下面這篇我之前寫過的文章�����,這里面的一些防范方法,你仍然需要參考�����,有些是 WordFence 插件沒有涉及到的防范措施�����。 你的wordpress網(wǎng)站足夠安全嗎?專業(yè)防黑安全措施分享 https://www./security-your-wordpress-website-with-sams-suggestions.html 當(dāng)然�����,上面 WordFence 插件基本功能中已經(jīng)覆蓋的安全措施�����,就沒必要重復(fù)做了,如上傳文件夾中禁止執(zhí)行任何 php 文件等�����。 如此一來�����,你的網(wǎng)站即可安全無憂。 定期備份才是王道 按上面的防黑步驟走�����,相信你的WordPress 網(wǎng)站被黑的可能性�����,已經(jīng)降低了很多很多�����。 當(dāng)然�����,凡事沒有絕對,定期備份才是王道�����! 不管怎么樣�����,先做好防范�����,當(dāng)然�����,我希望你們都不會碰到這種情況�����。 關(guān)于WordPress 網(wǎng)站被黑這件事�����,你有什么想和大家說的嗎�����? 歡迎留言交流分享經(jīng)驗。 最后�����,祝大家假期快樂!
|
