如今,WordPress在所有网站中占据了惊人的三分之一。自从mid-aughts实现了WordPress的许多SEO特性以来,它一直是我们社区的CMS平台的首选。因此,它受到了无情的攻击,主要是由于搜索引擎优化垃圾邮件的原因,但攻击可以升级到更糟的程度。
以下是一些WordPress的基本原理和确保你的WordPress网站安全的方法。
WordPress安全吗?
最新版本的WordPress是非常安全的。然而,除了其他事情之外,忽略更新可能会使其不安全。这就是为什么许多安全专家和开发人员不是WordPress的粉丝。WordPress也类似于PHP的意大利面条代码,这在本质上是不安全的,WordPress本身警告说,漏洞“源于平台的可扩展部分,特别是插件和主题。”
WordPress更新
没有什么是百分之百安全的系统。WordPress需要安全更新才能安全运行,这些更新不会给你带来负面影响。打开自动安全更新。然而,更新WordPress的核心,确实需要你确保一切都是兼容的。只要兼容版本可用,就更新插件和主题。
开源
WordPress是开源的,这有利有弊。该项目受益于开发人员社区为核心贡献代码,核心团队对社区发现的安全缺陷进行补丁,而流氓则设法撬开一些东西。漏洞被编写成扫描程序,利用应用程序可以检测出正在运行的东西的版本,以匹配已知的缺陷到您的版本。
首先保护自己
即使您没有管理员角色,您也可以做一些事情来保护自己。确保你工作在一个安全的网络上,有一个定期扫描的工作站。阻止广告,以防止伪装成图像的复杂攻击。当你在公共WiFi热点工作时,使用VPN进行端到端加密,以防止会话劫持和MITM攻击。
安全的密码
无论您是什么角色,安全管理密码都很重要。确保你的密码是唯一的和足够长的。当密码不够长时,数字和字母的组合不够安全,即使使用标点也不行。你需要很长的密码。如果你需要记忆的话,可以使用四到五个单词串在一起的短语,但是最好使用密码管理器来为你生成密码。
密码长度
为什么长度如此重要?这样说来,使用一种名为HashCat的免费开源工具,八个字符的密码在不到2.5小时内被破解。不管你的密码多么难懂,破解短密码只需要几个小时。从13个字符开始,破解开始变得不可逾越,至少现在是这样。
管理员
如果您具有admin用户角色,请为自己创建一个仅限于editor角色的新用户。开始使用新的配置文件,而不是admin。这样,广域网攻击将集中于攻击您的编辑器角色凭据,如果您的会话被劫持,您就有管理能力更改密码并从入侵者手中夺取控制权。强迫每个人,也许通过使用插件,遵循一个强大的密码策略。
安全策略
如果你有安全经验,执行你的插件和主题的代码审计(显然)。建立所有用户权限最小的原则。这样就迫使黑客执行shell弹出技巧和特权升级,包括攻击WordPress证书以外的目标。
改变文件权限
如果您控制主机,通过使用控制面板(如果您有)为自己提供一个SFTP帐户,或者尝试您可以访问的管理员用户界面。它可能会产生配置凭据以打开安全shell终端窗口(SSH)的副作用。这样,您就可以使用系统实用程序等执行额外的安全措施。
锁定关键文件
有一些文件除了运行WordPress的PHP进程之外永远不应该被访问。您可以更改文件权限和编辑。htaccess文件,以进一步锁定这些文件。要更改文件权限,要么使用您的SFTP客户端(如果它有选项),要么打开一个终端shell窗口并运行chmod实用程序命令。
$ chmod 400 .wp-config
$ ls拉
WordPress配置文件安全性
WordPress配置文件安全性
这意味着只有运行WordPress的PHP进程能够读取该文件,而不能读取其他文件。文件不应该设置“执行位”,就像chmod 700一样。你应该总是在第二和第三位有零-这才是真正锁定它的地方。使用-la选项运行ls实用程序验证您的更改并查看。
有严格的文件权限设置意味着什么都不能写入文件,即使是WordPress。您将希望授予写权限返回$ chmod 600 .wp-