问题描述
你如何去保护默认的 WordPress 安装?
你使用什么清单,最佳做法,提示和技巧等?
任何关于插件的建议,欢迎 third-party 工具。
最佳解决方案
在 wordpress 网站–Hardening WordPress 上实际上是一个非常好的指南。
但是我的个人简短检查表是
-
mod_security – @atdre 已经提到了 mod_security 这是一个非常好的一步。然而,它需要大量的核心规则集的调整,以便允许 wordpress 正常运行。您也可能需要根据您使用的插件自定义规则集。
-
文件权限 – 参见 here
-
通过 SSL 管理 – 对管理区域使用 SSL 请参阅 here 。
-
更新 – 在我看来最关键的是保持 WordPress up-to-date 。通过使用内置的工具,通过手动修补或使用更新脚本 (我写了 this) 。
次佳解决方案
具有核心规则集的 ModSecurity 并不错,但是最好对应用程序的每个输入进行显式配置,以及修复在出站时发送的未转义的输出。这在全代理模式下效果最佳,但嵌入式还具有其他独特优势。使用这两者可能很聪明,特别是因为 Wordpress 疯狂地不安全。
第三种解决方案
一步将是保护服务器 (通常是 Apache),这是在我之前的 Hardening Apache Server 问题的回复中所概述的
第四种方案
-
更改管理员帐户用户名。如果一个黑客已经知道你的用户名是战斗的一半,他会尝试猜测你的密码。
-
在安装过程中更改 WordPress 表前缀。
-
使用
.htaccess
文件,您可以通过 IP 地址锁定您的 wp-admin 目录。这意味着只有您指定的 IP 地址可以访问您的管理控制台网址。 -
为 admin 登录和 ftp 访问设置一个强大的密码。
参考文献
注:本文内容整合自 Google/Baidu/Bing 辅助翻译的英文资料结果。如果您对结果不满意,可以加入我们改善翻译效果:薇晓朵技术论坛。