問題描述

你如何去保護默認的 WordPress 安裝?

你使用什麼清單,最佳做法,提示和技巧等?

任何關於插件的建議,歡迎 third-party 工具。

最佳解決方案

在 wordpress 網站–Hardening WordPress 上實際上是一個非常好的指南。

但是我的個人簡短檢查表是

  • mod_security – @atdre 已經提到了 mod_security 這是一個非常好的一步。然而,它需要大量的核心規則集的調整,以便允許 wordpress 正常運行。您也可能需要根據您使用的插件自定義規則集。

  • 文件權限 – 參見 here

  • 通過 SSL 管理 – 對管理區域使用 SSL 請參閲 here

  • 更新 – 在我看來最關鍵的是保持 WordPress up-to-date 。通過使用內置的工具,通過手動修補或使用更新腳本 (我寫了 this) 。

次佳解決方案

具有核心規則集的 ModSecurity 並不錯,但是最好對應用程序的每個輸入進行顯式配置,以及修復在出站時發送的未轉義的輸出。這在全代理模式下效果最佳,但嵌入式還具有其他獨特優勢。使用這兩者可能很聰明,特別是因為 Wordpress 瘋狂地不安全。

第三種解決方案

一步將是保護服務器 (通常是 Apache),這是在我之前的 Hardening Apache Server 問題的回覆中所概述的

第四種方案

  1. 更改管理員帳户用户名。如果一個黑客已經知道你的用户名是戰鬥的一半,他會嘗試猜測你的密碼。

  2. 在安裝過程中更改 WordPress 表前綴。

  3. 使用.htaccess 文件,您可以通過 IP 地址鎖定您的 wp-admin 目錄。這意味着只有您指定的 IP 地址可以訪問您的管理控制枱網址。

  4. 為 admin 登錄和 ftp 訪問設置一個強大的密碼。

參考文獻

注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。