域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
WordPress 的確是一個(gè)很出色的平臺(tái),有著豐富的第三方插件和主題,也給博客主和廣大讀者提供了很棒的體驗(yàn)。但是,如果你不重視網(wǎng)站安全的話,你的博客很快就會(huì)成為黑 客眼中甜美的蛋糕了。在本文中,我們將會(huì)討論到一下 WordPress 的安全隱患和一些應(yīng)對(duì)方法。
問題出在哪了?
對(duì)于一個(gè)像 WordPress 一樣復(fù)雜的 CMS,用戶的程序是在不同的服務(wù)器上運(yùn)行的,第三方插件,第三方主題也可能會(huì)存在一些缺陷。當(dāng)破壞者通過某些缺陷進(jìn)入了你的網(wǎng)站的話,你就有麻煩了。
如果你運(yùn)行的是一個(gè)易受攻擊的 WordPress,黑客可以進(jìn)行以下幾種破壞:
1、在你的網(wǎng)站上執(zhí)行任意代碼。
2、注入腳本,HTML代碼或者是直接編輯你的帖子。
3、導(dǎo)致無法訪問(使網(wǎng)站崩潰,CPU 和帶寬過載)。
4、注入或者執(zhí)行 SQL 命令。
5、獲取重要數(shù)據(jù),例如你的密碼。
6、把用戶帶到另外的網(wǎng)站,可能還是釣魚網(wǎng)站。
7、跨站偽造記錄(CSRF)。
8、在你的網(wǎng)站上創(chuàng)建一個(gè)隱藏的帖子,這個(gè)帖子只對(duì)搜索引擎可見,而且是導(dǎo)向到黑客的站點(diǎn)的。
9、植入后門。這樣就算你修復(fù)了那些缺陷黑客還是可以進(jìn)入你的網(wǎng)站。
10、在你的 PHP 核心代碼和主題文件里面植入一段加密代碼。
被黑的主要原因
一個(gè)很重要的原因就是你用的是過時(shí)的東西,比如 WordPress 核心程序,插件,主題。這就是為什么現(xiàn)在有那么多的相關(guān)服務(wù)來把升級(jí)變得更簡(jiǎn)單。其中 WP remote 和 InfitniteWP 是兩個(gè)免費(fèi)又好用的服務(wù)。
還有一些其他常見的原因:
1、在下載了沒有來源的主題,通常這些主題都是有后門的。
2、從一個(gè)感染了病毒的電腦進(jìn)入你的 WordPress 網(wǎng)站。
3、管理員帳號(hào)的密碼過于簡(jiǎn)單。
在哪里獲得最新的漏洞信息
在 WordPress 3.X,已知的漏洞已經(jīng)有30個(gè),如果你的 WordPress 還是更舊的版本,漏洞就會(huì)更加多。這里有一個(gè) Secunia 提供的所有已知 WordPress 漏洞的列表,或者你可以直接去關(guān)注一下 WordPress 的開發(fā)進(jìn)展,訂閱開發(fā)團(tuán)隊(duì)的博客 WordPress development blog。
給你的博客上把鎖
1、定時(shí)備份博客。這樣就能確保你在任何時(shí)候都可以重建網(wǎng)站。
2、確保你的 WordPress 核心系統(tǒng)是最新的。
3、確保插件和主題是最新的。
4、不要使用未知來源的主題,通常都是有后門的,特別是那些放到免費(fèi)網(wǎng)盤里面的破解主題。
5、用一個(gè)沒有其他站點(diǎn)使用過的高強(qiáng)度密碼。
6、確保你用來登錄 WordPress 站點(diǎn)的電腦是沒有病毒的。
7、監(jiān)控服務(wù)器和用戶數(shù)據(jù),調(diào)查可疑的行為。
8、使用空白的 index.html 文件來禁止其他用戶訪問主題和插件目錄。
9、在你的 meta 描述里面把你的 WordPress 版本好去掉。
10、通過 htaccess 文件來保護(hù) WordPress 的 wp-admin 文件夾。
還有一些很好用的插件,我個(gè)人推薦以下幾個(gè):
Wordfence 提供免費(fèi)的防火墻,病毒掃描,和流量監(jiān)控。
Bulletproof 針對(duì) XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防護(hù)。
Better WordPress security 提供傻瓜式的操作。
Lockerpress 自定義登錄 URL,更換管理員,還有一些自定義過濾的選項(xiàng)。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!