压箱底的5个WordPress安全设置技巧 让WordPress网站免受黑客攻击
之前搬主题也分享过一些对WordPress网站的安全设置,如【任意代码执行漏洞攻击及WordPress网站防护方法】、【文件包含漏洞攻击介绍及WordPress网站防护办法】,而且大部分的小伙伴基本已经了解了一些安全设置内容。如
选择可靠的托管服务提供商
安装定期更新
自动进行异地备份
使用强密码
隐藏 wp-admin 登录链接
使用安全插件
但在本文中,搬主题还将介绍其他一些鲜为人知的技术,也就是压箱底的一些安全防护设置技巧,它们可以最大程度帮助你防止黑客入侵WordPress网站。
不仅仅是隐藏 – 禁用wp-admin
其实有很多方法可以隐藏网站的 wp-admin 部分,也有很多方法可以禁用它,只在需要时才启用。这可以通过插件实现,例如 WPS 隐藏登录,也可以通过 .htaccess 文件手动实现。
可在 .htaccess 文件中添加以下代码,它将把所有用户(您的 IP 地址除外)重定向到 404 页面。这种方法在攻击者/爬虫机器人看来就像 wp-admin 不存在一样,但不会破坏 WP 核心代码或硬编码 wp-admin 路径的插件。
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ 11\.22\.33\.44$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>将以上11.22.33.44替换为您的 IP 地址。
另一个解决方案是,除了你自己的 IP 地址外,完全禁止所有 IP 地址访问 wp-admin,而不是重定向。只需在wp-admin文件夹中创建一个新的 .htaccess 并在其中添加以下内容:
## .htaccess inside the wp-admin folderorder deny,allow
deny from all
allow from 11.22.33.44
将 11.22.33.44 替换为您的 IP 地址。
将wp-config向上移动
wp-config.php 包含一些敏感信息:您的数据库用户名/密码等,良好的安全做法是将该文件移到网站根目录(您的 /public_html 文件夹)之外。要移动 wp-config.php 文件,只需将其中的所有内容复制到另一个文件中即可。
然后,在 wp-config.php 文件中添加以下代码段,就可以简单地包含其他文件了。
<?php
include('/home/cpanel-username/wp-config.php');
| /home/username/public_html/wp-config.php | 只是包含了另一个 wp-config.php 文件 |
| /home/username/wp-config.php | 真正的wp-config.php 文件 |
在WordPress中添加内容安全策略(CSP)
HTTP 内容-安全策略响应标头允许网站管理员控制允许用户代理(浏览器)加载给定页面的资源。这有助于防范跨站脚本攻击(Cross-site_scripting)。
对于 WordPress 网站,您可以通过在 .htaccess 文件中添加 CSP 规则来使用它。
<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: .gravatar.com; scrip-src 'self' 'unsafe-inline' http: https: .google-analytics.com;"
</IfModule>
这将允许从网站加载任何内容,以及 Gravatar 和 Google Analytics 的个人资料照片(通过 http 和 https)。其他任何内容都将被浏览器屏蔽。
当然,某些插件可能会损坏,因为它们依赖于从其他域加载 javascript、图像或数据。例如,如果您想使用 Jetpack,就需要允许相应的域 : scrip-src 'self' 'unsafe-inline' http: https: *.wp.com;.
您可以在浏览器开发工具的控制台中查看任何违反这些规则的情况,并将它们添加到上述代码中!
搬主题还建议只在网站前台启用 CSP,并在 wp-admin/.htaccess 中添加此 CSP,从而禁用后台:
<IfModule mod_headers.c>
Header unset Content-Security-Policy
</IfModule>
您的网络服务器必须激活标头模块才能运行。如果不确定,请咨询您的主机提供商!
使用多因素身份验证
这样并没有很复杂,但实际上只有不到1%的WordPress网站启用了某种形式的多因素身份验证。
WordPress.org网站对双因素身份验证(2FA)进行了详细介绍,并列出了您可以用来设置双因素身份验证的插件列表:https://wordpress.org/support/article/two-step-authentication/。
除了 2FA,您还可以使用Magic Links等插件启用电子邮件登录链接
测试网站安全性
目前全世界的黑客们的创造力与日俱增,对WordPress网站的威胁也越来越大。因此,定期对 WordPress 网站进行测试至关重要。最好能在别人利用之前发现漏洞并自行修复。使用安全漏洞扫描仪发现安全弱点。测试您的 WordPress 应用程序、网络服务器、系统和防火墙是否存在任何问题。以上就是搬主题分享的压箱底的5个WordPress安全设置技巧。
<br/>