共计 1567 个字符,预计需要花费 4 分钟才能阅读完成。
据 Imperva 最新公布的报告显示,在过去一年中,采用 WordPress 医疗行业网站和托管网站最容易受到黑客攻击。
这些数据显示,每款 Web 应用程至少包含所有攻击类型中的 75% 攻击类型,这表明黑客们在过去一年中进行了攻击类型方面的多元化投资组合,其中,XSS(跨站脚本)和 SQLI(SQL 注入)在 2015 年增长幅度最大,SQLI(SQL 注入)攻击次数和去年同期相比增长了 3 倍。
而在 2015 年,托管在 WordPress 的网站受到的网络攻击次数比非 CMS 的网站高出 250 倍以上,同时获得的垃圾邮件数量也比非 CMS 网站多出 7 倍以上。另外,2015 年 WordPress 网站受到 RFI(远程文件攻击)也比去年同期多出 7 倍。
WordPress 是一款开源软件,所有人都可以拿来建站,同样的所有人也可以拿来研究这个软件的漏洞,了解到以上 WordPress 网站攻击数据后,作为 WordPress 网站所有者,我们很有必要采取多重措施来保护 WordPress 网站安全,下面小编就来分享几种方法。
1、首先检查的是网站否存在安全隐患,通过各大主流平台提供的检测工具,不定时的检测自己的网站是否存在漏洞,是否有安全隐患。
2、则尽可能的少用垃圾插件,那些评价 3 星以下的插件,意味着可能存在漏洞或者后门,慎重安装,原则上尽可能的使用代码来代替插件,而且减少插件使用还可以提升网站访问速度。
3、及时更新 WordPress 版本,用过 WordPress 的朋友都知道,其版本会经常更新,大家不要怕麻烦,最好是及时更新到最新版本。另外还有很多插件以及你使用的主题也要更新,这样至少能保证官方已知的漏洞已经被修补。
4、使用复杂的用户名和密码,很多站长日 IP 已经有好几百了,用的帐号还是 admin,这个一定注意,否则会让你辛苦建起来的网站瞬间被毁,因此建议大家在搭建 WordPress 时密码尽量设置复杂些,用户名也不要用默认的 admin。
5、善于利用.htaccess 文件,.htaccess 文件是位于根目录下的配置文件,它可以帮我们实现很多功能,其中就有允许 / 阻止特定的用户或者目录的访问、禁止目录列表等功能,常见的安全配置有下面两种:
a、在.htaccess 中,增加如下配置 Allow from xx.xx.xx.xx/xx,比如你只想让公网 ip 123.123.123.0/24 这个段所有 IP 访问,可以设置 Allow from 123.123.123.0/24,详细的 .htaccess 功能应用可去站长百科 Wiki 词条上面了解,都说明的很详细。
b、关闭目录列表共享查看功能,这个很重要,很多人容易忽视,如果不设置的话则会列出当前目录下所有的插件文件夹,网站目录结构一目了然,这当然很危险了,所以大家需要在.htaccess 中添加 Options -Indexes 就可以了。
6、如果站点使用的是自带操作系统的服务器、虚拟服务器等,则需要进一步对操作系统进行安全加固,如果是租用主机的话,那么一定要选择类似 HostEase、RAKSmart 等正规的主机商。如果选择不正规的主机商,那么如果机房被 DDOS 攻击的话,那么你的 WordPress 网站安全肯定是幸免不了的。
7、安装安全防护插件,常见的插件有 Acunetix WP Security、Wordpress Security Scan 等来进一步加固你的 WordPress,一些安全插件可以去搜索下,最好去 WordPress 官网进行下载。
以上几种方法可进一步保护你的 WordPress 网站安全,大家在做好安全加固的同时,也要养成定时备份站点的习惯,现在很多插件以及主机控制面板都有自动备份功能,不是很麻烦,熟悉的话几分钟就可以解决。另外,当前 WordPress 网站攻击种类多、频率高,做好网站安全保护是每位站长需要长期解决的事情。
