WordPress 的確是一個很出色的平臺,有著豐富的第三方外掛和主題,也給部落格主和廣大讀者提供了很棒的體驗。但是,如果你不重視網站安全的話,你的部落格很快就會成為黑 客眼中甜美的蛋糕了。在本文中,我們將會討論到一下 WordPress 的安全隱患和一些應對方法。
問題出在哪了?
對於一個像 WordPress 一樣複雜的 CMS,使用者的程式是在不同的伺服器上執行的,第三方外掛,第三方主題也可能會存在一些缺陷。當破壞者透過某些缺陷進入了你的網站的話,你就有麻煩了。
如果你執行的是一個易受攻擊的 WordPress,駭客可以進行以下幾種破壞:
1 、在你的網站上執行任意程式碼。
2 、注入指令碼,HTML 程式碼或者是直接編輯你的帖子。
3 、導致無法訪問 (使網站崩潰,CPU 和頻寬過載) 。
4 、注入或者執行 SQL 命令。
5 、獲取重要資料,例如你的密碼。
6 、把使用者帶到另外的網站,可能還是釣魚網站。
7 、跨站偽造記錄 (CSRF) 。
8 、在你的網站上建立一個隱藏的帖子,這個帖子只對搜尋引擎可見,而且是導向到駭客的站點的。
9 、植入後門。這樣就算你修復了那些缺陷駭客還是可以進入你的網站。
10 、在你的 PHP 核心程式碼和主題檔案裡面植入一段加密程式碼。
被黑的主要原因
一個很重要的原因就是你用的是過時的東西,比如 WordPress 核心程式,外掛,主題。這就是為什麼現在有那麼多的相關服務來把升級變得更簡單。其中 WP remote 和 InfitniteWP 是兩個免費又好用的服務。
還有一些其他常見的原因:
1 、在下載了沒有來源的主題,通常這些主題都是有後門的。
2 、從一個感染了病毒的電腦進入你的 WordPress 網站。
3 、管理員帳號的密碼過於簡單。
在哪裡獲得最新的漏洞資訊
在 WordPress 3.X,已知的漏洞已經有 30 個,如果你的 WordPress 還是更舊的版本,漏洞就會更加多。這裡有一個 Secunia 提供的所有已知 WordPress 漏洞的列表,或者你可以直接去關注一下 WordPress 的開發進展,訂閱開發團隊的部落格 WordPress development blog 。
給你的部落格上把鎖
1 、定時備份部落格。這樣就能確保你在任何時候都可以重建網站。
2 、確保你的 WordPress 核心系統是最新的。
3 、確保外掛和主題是最新的。
4 、不要使用未知來源的主題,通常都是有後門的,特別是那些放到免費網盤裡面的破解主題。
5 、用一個沒有其他站點使用過的高強度密碼。
6 、確保你用來登入 WordPress 站點的電腦是沒有病毒的。
7 、監控伺服器和使用者資料,調查可疑的行為。
8 、使用空白的 index.html 檔案來禁止其他使用者訪問主題和外掛目錄。
9 、在你的 meta 描述裡面把你的 WordPress 版本好去掉。
10 、透過 htaccess 檔案來保護 WordPress 的 wp-admin 資料夾。
還有一些很好用的外掛,我個人推薦以下幾個:
Wordfence 提供免費的防火牆,病毒掃描,和流量監控。
Bulletproof 針對 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防護。
Better WordPress security 提供傻瓜式的操作。
Lockerpress 自定義登入 URL,更換管理員,還有一些自定義過濾的選項。
希望本文可以幫到各種讀者朋友。