WordPress 的確是一個很出色的平台,有着豐富的第三方插件和主題,也給博客主和廣大讀者提供了很棒的體驗。但是,如果你不重視網站安全的話,你的博客很快就會成為黑 客眼中甜美的蛋糕了。在本文中,我們將會討論到一下 WordPress 的安全隱患和一些應對方法。
問題出在哪了?
對於一個像 WordPress 一樣複雜的 CMS,用户的程序是在不同的服務器上運行的,第三方插件,第三方主題也可能會存在一些缺陷。當破壞者通過某些缺陷進入了你的網站的話,你就有麻煩了。
如果你運行的是一個易受攻擊的 WordPress,黑客可以進行以下幾種破壞:
1 、在你的網站上執行任意代碼。
2 、注入腳本,HTML 代碼或者是直接編輯你的帖子。
3 、導致無法訪問 (使網站崩潰,CPU 和帶寬過載) 。
4 、注入或者執行 SQL 命令。
5 、獲取重要數據,例如你的密碼。
6 、把用户帶到另外的網站,可能還是釣魚網站。
7 、跨站偽造記錄 (CSRF) 。
8 、在你的網站上創建一個隱藏的帖子,這個帖子只對搜索引擎可見,而且是導向到黑客的站點的。
9 、植入後門。這樣就算你修復了那些缺陷黑客還是可以進入你的網站。
10 、在你的 PHP 核心代碼和主題文件裏面植入一段加密代碼。
被黑的主要原因
一個很重要的原因就是你用的是過時的東西,比如 WordPress 核心程序,插件,主題。這就是為什麼現在有那麼多的相關服務來把升級變得更簡單。其中 WP remote 和 InfitniteWP 是兩個免費又好用的服務。
還有一些其他常見的原因:
1 、在下載了沒有來源的主題,通常這些主題都是有後門的。
2 、從一個感染了病毒的電腦進入你的 WordPress 網站。
3 、管理員帳號的密碼過於簡單。
在哪裏獲得最新的漏洞信息
在 WordPress 3.X,已知的漏洞已經有 30 個,如果你的 WordPress 還是更舊的版本,漏洞就會更加多。這裏有一個 Secunia 提供的所有已知 WordPress 漏洞的列表,或者你可以直接去關注一下 WordPress 的開發進展,訂閲開發團隊的博客 WordPress development blog 。
給你的博客上把鎖
1 、定時備份博客。這樣就能確保你在任何時候都可以重建網站。
2 、確保你的 WordPress 核心系統是最新的。
3 、確保插件和主題是最新的。
4 、不要使用未知來源的主題,通常都是有後門的,特別是那些放到免費網盤裏面的破解主題。
5 、用一個沒有其他站點使用過的高強度密碼。
6 、確保你用來登錄 WordPress 站點的電腦是沒有病毒的。
7 、監控服務器和用户數據,調查可疑的行為。
8 、使用空白的 index.html 文件來禁止其他用户訪問主題和插件目錄。
9 、在你的 meta 描述裏面把你的 WordPress 版本好去掉。
10 、通過 htaccess 文件來保護 WordPress 的 wp-admin 文件夾。
還有一些很好用的插件,我個人推薦以下幾個:
Wordfence 提供免費的防火牆,病毒掃描,和流量監控。
Bulletproof 針對 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防護。
Better WordPress security 提供傻瓜式的操作。
Lockerpress 自定義登錄 URL,更換管理員,還有一些自定義過濾的選項。
希望本文可以幫到各種讀者朋友。