问题描述

你如何去保护默认的 WordPress 安装?

你使用什么清单,最佳做法,提示和技巧等?

任何关于插件的建议,欢迎 third-party 工具。

最佳解决方案

在 wordpress 网站–Hardening WordPress 上实际上是一个非常好的指南。

但是我的个人简短检查表是

  • mod_security – @atdre 已经提到了 mod_security 这是一个非常好的一步。然而,它需要大量的核心规则集的调整,以便允许 wordpress 正常运行。您也可能需要根据您使用的插件自定义规则集。

  • 文件权限 – 参见 here

  • 通过 SSL 管理 – 对管理区域使用 SSL 请参阅 here

  • 更新 – 在我看来最关键的是保持 WordPress up-to-date 。通过使用内置的工具,通过手动修补或使用更新脚本 (我写了 this) 。

次佳解决方案

具有核心规则集的 ModSecurity 并不错,但是最好对应用程序的每个输入进行显式配置,以及修复在出站时发送的未转义的输出。这在全代理模式下效果最佳,但嵌入式还具有其他独特优势。使用这两者可能很聪明,特别是因为 WordPress 疯狂地不安全。

第三种解决方案

一步将是保护服务器 (通常是 Apache),这是在我之前的 Hardening Apache Server 问题的回复中所概述的

第四种方案

  1. 更改管理员帐户用户名。如果一个黑客已经知道你的用户名是战斗的一半,他会尝试猜测你的密码。

  2. 在安装过程中更改 WordPress 表前缀。

  3. 使用.htaccess 文件,您可以通过 IP 地址锁定您的 wp-admin 目录。这意味着只有您指定的 IP 地址可以访问您的管理控制台网址。

  4. 为 admin 登录和 ftp 访问设置一个强大的密码。

参考文献

注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。