問題描述

你如何去保護預設的 WordPress 安裝?

你使用什麼清單,最佳做法,提示和技巧等?

任何關於外掛的建議,歡迎 third-party 工具。

最佳解決方案

在 wordpress 網站–Hardening WordPress 上實際上是一個非常好的指南。

但是我的個人簡短檢查表是

  • mod_security – @atdre 已經提到了 mod_security 這是一個非常好的一步。然而,它需要大量的核心規則集的調整,以便允許 wordpress 正常執行。您也可能需要根據您使用的外掛自定義規則集。

  • 檔案許可權 – 參見 here

  • 透過 SSL 管理 – 對管理區域使用 SSL 請參閱 here

  • 更新 – 在我看來最關鍵的是保持 WordPress up-to-date 。透過使用內建的工具,透過手動修補或使用更新指令碼 (我寫了 this) 。

次佳解決方案

具有核心規則集的 ModSecurity 並不錯,但是最好對應用程式的每個輸入進行顯式配置,以及修復在出站時傳送的未轉義的輸出。這在全代理模式下效果最佳,但嵌入式還具有其他獨特優勢。使用這兩者可能很聰明,特別是因為 Wordpress 瘋狂地不安全。

第三種解決方案

一步將是保護伺服器 (通常是 Apache),這是在我之前的 Hardening Apache Server 問題的回覆中所概述的

第四種方案

  1. 更改管理員帳戶使用者名稱。如果一個駭客已經知道你的使用者名稱是戰鬥的一半,他會嘗試猜測你的密碼。

  2. 在安裝過程中更改 WordPress 表字首。

  3. 使用.htaccess 檔案,您可以透過 IP 地址鎖定您的 wp-admin 目錄。這意味著只有您指定的 IP 地址可以訪問您的管理控制檯網址。

  4. 為 admin 登入和 ftp 訪問設定一個強大的密碼。

參考文獻

注:本文內容整合自 Google/Baidu/Bing 輔助翻譯的英文資料結果。如果您對結果不滿意,可以加入我們改善翻譯效果:薇曉朵技術論壇。