WordPress 的确是一个很出色的平台,有着丰富的第三方插件和主题,也给博客主和广大读者提供了很棒的体验。但是,如果你不重视网站安全的话,你的博客很快就会成为黑 客眼中甜美的蛋糕了。在本文中,我们将会讨论到一下 WordPress 的安全隐患和一些应对方法。
问题出在哪了?
对于一个像 WordPress 一样复杂的 CMS,用户的程序是在不同的服务器上运行的,第三方插件,第三方主题也可能会存在一些缺陷。当破坏者通过某些缺陷进入了你的网站的话,你就有麻烦了。
如果你运行的是一个易受攻击的 WordPress,黑客可以进行以下几种破坏:
1、在你的网站上执行任意代码。
2、注入脚本,HTML代码或者是直接编辑你的帖子。
3、导致无法访问(使网站崩溃,CPU 和带宽过载)。
4、注入或者执行 SQL 命令。
5、获取重要数据,例如你的密码。
6、把用户带到另外的网站,可能还是钓鱼网站。
7、跨站伪造记录(CSRF)。
8、在你的网站上创建一个隐藏的帖子,这个帖子只对搜索引擎可见,而且是导向到黑客的站点的。
9、植入后门。这样就算你修复了那些缺陷黑客还是可以进入你的网站。
10、在你的 PHP 核心代码和主题文件里面植入一段加密代码。
被黑的主要原因
一个很重要的原因就是你用的是过时的东西,比如 WordPress 核心程序,插件,主题。这就是为什么现在有那么多的相关服务来把升级变得更简单。其中 WP remote 和 InfitniteWP 是两个免费又好用的服务。
还有一些其他常见的原因:
1、在下载了没有来源的主题,通常这些主题都是有后门的。
2、从一个感染了病毒的电脑进入你的 WordPress 网站。
3、管理员帐号的密码过于简单。
在哪里获得潮流的漏洞信息
在 WordPress 3.X,已知的漏洞已经有30个,如果你的 WordPress 还是更旧的版本,漏洞就会更加多。这里有一个 Secunia 提供的所有已知 WordPress 漏洞的列表,或者你可以直接去关注一下 WordPress 的开发进展,订阅开发团队的博客 WordPress development blog。
给你的博客上把锁
1、定时备份博客。这样就能确保你在任何时候都可以重建网站。
2、确保你的 WordPress 核心系统是潮流的。
3、确保插件和主题是潮流的。
4、不要使用未知来源的主题,通常都是有后门的,特别是那些放到免费网盘里面的破解主题。
5、用一个没有其他站点使用过的高强度密码。
6、确保你用来登录 WordPress 站点的电脑是没有病毒的。
7、监控服务器和用户数据,调查可疑的行为。
8、使用空白的 index.html 文件来禁止其他用户访问主题和插件目录。
9、在你的 meta 描述里面把你的 WordPress 版本好去掉。
10、通过 htaccess 文件来保护 WordPress 的 wp-admin 文件夹。
还有一些很好用的插件,我个人推荐以下几个:
Wordfence 提供免费的防火墙,病毒扫描,和流量监控。
Bulletproof 针对 XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL 注入的防护。
Better WordPress security 提供傻瓜式的操作。
Lockerpress 自定义登录 URL,更换管理员,还有一些自定义过滤的选项。
WordPress 的博客众多,一直被黑帽们牢牢盯住,即便开了Antispam插件,很多博友可能还是每天收到成千上万的垃圾评论,spam成了站长们必须面对的问题。以上给的一些工具和方法,希望可以在大家选择工具时提供一点帮助。 我的解读SEO博客用了Akismet,评论审核和黑名单,以及小墙,小墙将机器人评论屏蔽掉后,WordPress 评论审核和黑名单功能过滤掉那些我认为有问题的内容,Z后 Antispam帮我解决掉部分人肉的不存在含特殊关键字的评论。以前我只用 Antispam,每天spam 数量都是4位数的,现在小墙部分直接删除,一个月的spam 也就十几条,需要我手动去设为spam的评论也就几条。
网站优化服务
云优化专注搜索引擎优化推广服务。