美女18禁黄无遮挡下载网站_韩国免费婬毛A级毛片HD_亚洲永久免费观看_国产成人综合另类_日本在线高清视频一区_成人网站日韩在线视频观看_日本入室强伦姧在线观看第65_偷拍 综合 亚洲 校园_美女脱内衣内裤摸屁屁_久久大香蕉国产精品

如何保護(hù)您的WordPress網(wǎng)站免受攻擊并保證其安全

如今，WordPress 為所有網(wǎng)站提供了驚人的三分之一。自從中期開始實(shí)施WordPress的許多優(yōu)化功能以來，它一直是我們社區(qū)的CMS平臺。因此，它受到了無情的攻擊，主要是出于優(yōu)化垃圾郵件的原因，但攻擊可能會更加惡化。

以下是一些WordPress基礎(chǔ)知識以及確保您的WordPress網(wǎng)站保持安全的方法。

WordPress安全嗎？

最新版本的WordPress開箱即用。然而，忽視更新它可能會使其不安全。這就是許多安全專業(yè)人士和開發(fā)人員不是WordPress粉絲的原因。WordPress也類似于本質(zhì)上不安全的PHP意大利面條代碼，其中WordPress本身警告說，漏洞“源于平臺的可擴(kuò)展部分，特別是插件和主題”。

WordPress更新

沒有100％安全系統(tǒng)這樣的東西。WordPress需要安全更新才能安全運(yùn)行，這些更新不會對您產(chǎn)生負(fù)面影響。打開自動安全更新。但是，更新WordPress核心確實(shí)需要確保所有內(nèi)容都兼容。只要兼容版本可用，請立即更新插件和主題。

開源

WordPress是開源的，既有風(fēng)險也有好處。該項(xiàng)目受益于為核心提供代碼的開發(fā)人員社區(qū)，核心團(tuán)隊(duì)修補(bǔ)了社區(qū)發(fā)現(xiàn)的安全漏洞，而流氓則發(fā)現(xiàn)了撬開內(nèi)容的方法。漏洞通過漏洞利用應(yīng)用程序編寫到掃描中，漏洞利用程序可以檢測正在運(yùn)行的內(nèi)容的哪些版本以匹配您的版本的已知漏洞。

先保護(hù)自己

即使您沒有管理員角色，也可以采取一些措施來保護(hù)自己。確保您使用定期掃描的工作站在安全的網(wǎng)絡(luò)上工作。阻止廣告以防止偽裝成圖像的復(fù)雜攻擊。當(dāng)您在公共WiFi熱點(diǎn)工作時，使用VPN進(jìn)行端到端加密，以防止會話劫持和MITM攻擊。

安全密碼

無論您擁有什么樣的角色，安全地管理密碼都很重要。確保您的密碼是唯一且足夠長的。當(dāng)密碼不夠長時，即使是標(biāo)點(diǎn)符號，數(shù)字和字母的組合也不夠安全。你需要長密碼。如果您需要記憶，請使用串在一起的四個或五個單詞的短語，但最好使用為您生成密碼的密碼管理器。

密碼長度

為什么長度如此重要？換句話說，使用名為HashCat的免費(fèi)開源實(shí)用程序，八個字符的密碼在不到2.5小時內(nèi)破解。無論你的密碼是多么難以理解，破解短密碼只需要幾個小時。從13個字符開始，破解開始變得無法克服，至少目前如此。

管理員

如果您具有管理員用戶角色，請為自己創(chuàng)建一個僅限于編輯角色的新用戶。開始使用新配置文件而不是管理員。這樣，廣域網(wǎng)攻擊將集中于攻擊您的編輯器角色憑據(jù)，如果您的會話被劫持，您就擁有管理員權(quán)限來更改密碼并從入侵者手中奪取控制權(quán)。通過使用插件強(qiáng)制每個人遵循強(qiáng)密碼策略。

安全政策

如果您有安全經(jīng)驗(yàn)，請執(zhí)行插件和主題的代碼審核（顯然）。為所有用戶建立最小特權(quán)原則。然后你強(qiáng)迫黑客執(zhí)行shell彈出技巧和權(quán)限升級，這涉及攻擊除WordPress憑據(jù)之外的目標(biāo)。

更改文件權(quán)限

如果您控制主機(jī)，請通過使用控制面板為自己提供SFTP帳戶（如果有），或者嘗試使用您可以訪問的管理員用戶界面。它可能具有配置憑據(jù)以打開安全shell終端窗口（SSH）的副作用。這樣，您可以使用系統(tǒng)實(shí)用程序等執(zhí)行其他安全措施。

鎖定關(guān)鍵文件

除了運(yùn)行WordPress的PHP進(jìn)程之外，有一些文件永遠(yuǎn)不應(yīng)該被訪問。您可以更改文件權(quán)限并編輯.htaccess文件以進(jìn)一步鎖定這些文件。要更改文件權(quán)限，請使用SFTP客戶端（如果有選項(xiàng)），或打開終端shell窗口并運(yùn)行chmod utility命令。

$ chmod 400 .wp-config
$ ls -la

這意味著只有運(yùn)行WordPress的PHP進(jìn)程才能讀取該文件，而沒有別的。該文件永遠(yuǎn)不應(yīng)該設(shè)置“執(zhí)行位”，就像使用chmod 700一樣。你應(yīng)該總是在第二和第三位有零 - 這就是真正鎖定它的原因。使用-la選項(xiàng)驗(yàn)證運(yùn)行l(wèi)s實(shí)用程序的更改并查看。

擁有嚴(yán)格的文件權(quán)限設(shè)置意味著即使是通過WordPress，也無法將任何內(nèi)容寫入文件。$ chmod 600 .wp-config當(dāng)有一個主要的WordPress更新，其中配置文件有修改時，您將要授予寫權(quán)限。如果有的話，那應(yīng)該極少發(fā)生。

WordPress登錄文件

我喜歡使用.htaccess規(guī)則鎖定wp-login.php文件。限制只訪問我的IP地址非常適合我從一個靜態(tài)分配的IP工作，或者為我自己和一些用戶工作的少量地址。如果您從其他位置登錄，只要您可以在主機(jī)上獲取shell，就不難更改設(shè)置。只需注釋掉deny指令，使用瀏覽器登錄，然后取消注釋即可。

XSS和SQL注入

到目前為止，您將遇到的最可怕的攻擊是跨站點(diǎn)腳本（XSS）和SQL注入。您可以使用.htaccess查詢字符串重寫規(guī)則來阻止其中的一些，并且最好使用可以為您管理此插件的插件。一些安全插件將掃描您的安裝，尋找妥協(xié)的跡象。如果您知道如何使用重寫，請重定向或阻止查詢字符串簽名，以查找您在日志中閱讀或查看的攻擊。

安全插件

一些安全插件將掃描您的安裝，尋找妥協(xié)的跡象。Wordfense是一個流行的安全插件，它會定期更新。Sucuri Scanner有一個付費(fèi)選項(xiàng)，可以掃描您的安裝。Ninja防火墻將嘗試限制基于請求的攻擊，在它們到達(dá)WordPress核心之前阻止它們。您還可以使用Google的新Web Risk API編寫應(yīng)用程序來掃描您網(wǎng)站的頁面。