如何打造一个安全的WordPress站点

释放双眼,带上耳机,听听看~!

目录

    现在全球有超过33%的网站在使用WordPress程序,这意味着,WordPress已经是关注的焦点,那么会被更多的研究,读源代码,测试网站安全性。

    虽然WordPress程序一致在更新,但过一段时间WordPress官方还是会发布新版的WordPress程序,基本上是小版本更新,主要是修复已经存在且被验证过的安全问题。

    而且经常有使用WordPress程序的朋友问,说网站手机版会跳转到一些乱七八杂的网站,网站根目录及一些目录出现一些不规则的目录及文件,在根目录的index.php和wp-config.php出现一些类似乱码的代码。这些都表明,WordPress网站并没有想象中的那么安全。

    所以,打造一个安全,稳定运行的WordPress是一件非常重要的事情,醉疯怪做了这么多年WordPress相关服务,今天写下这篇文章,把一些经验分享给有需要的朋友。

    1. 确保使用云主机;在过去几年这是不现实的,但是最近两三年,云主机价格已经降低很多了,降低到可以接受的价格了,另外就是,使用共享主机,你可以确保自己的账户安全,但没办法保证共享主机其他主机账户的安全,虽然会相互隔离,但这增加了不稳定的风险。
    2. 使用安全的域名DNS;域名DNS一致都是不被重视的,但确实网站稳定运行的重要一环,有兴趣的朋友可以去新浪微博搜索一下域名DNS故障,看看能搜索出来多少信息。比较出名的域名DNS服务商:一般域名注册商都提域名DNS服务,但这些并不是非常稳定,又或者不是很好用。dnspod是一个,腾讯云使用的也是dnspod,阿里云自己研发了dns,还开发了收费的DNS服务器。从某一个角度来说,所有的域名提供商都希望卖域名而不提供域名DNS服务,毕竟优质的DNS服务是需要很大投入的。
    3. 从正确的途径购买或者下载使用WordPress主体及插件。正确的途径包含但不仅有:收费WordPress主题/插件作者官网,WordPress.org;尽量不要从第三方网站下载主题(淘宝是最大的源头,购买的主题没售后,而且没升级的保证,没升级的保证就没有安全的保证)。
    4. 及时升级WordPress程序,主题及插件。
    5. WordPress插件如果超过6个月没更新,大概率这款插件作者已经不会再更新了,所以,需要删除这个插件,然后找一个功能类似的插件替换。WordPress主题也有类似的问题。一个比较普遍的问题是:WordPress已经发布超过10年了。国内最早一批的网站时2011/2012年制作的,而且是展示为主,这样的网站有几个问题比较严重:使用的主题/插件大多数已经没有更新,因为日常疏于管理,WordPress程序也没更新。但因为安全我呢提不得不更新,发现最新版的WordPress程序已经不能运行之前使用的模板了,但是模板也已经没更新,所以,如果更细网站,相当于重新做一个网站。但不更新,网站随时有可能被攻击,所以,这样的境地非常尴尬,但却是很多网站遇到的问题。所以,一旦出现不兼容的情况,就要找人看是否有修复兼容性的可能,如果没有,就要及时寻找新的主题了,所以,模板选择是一件非常重要的事情。
    6. 安装WordPress安全插件,Wopus之前推荐过一款WordPress安全插件 。
    7. 最后分享一下网站已经被植入恶意代码的修复思路:
    1. 如果是共享主机,就要先联系主机提供商,问问是否是服务器的问题,如果不是,就可以开始检查网站代码了;恶意的代码一般分为两种,一种是恶意文件,这些文件一般分为两类:一类是完全不规则的命名,一类是类似WordPress系统默认文件,都是PHP结尾的,所以一定要检查清楚。另外一种就是恶意代码,会插入到已经存在的系统php文件里,这个也是不规则的,但wp-config.php,首页index.php肯定会被插入恶意代码。
    2. 接着继续检查WordPress主题和插件,这两个是最容易的出问题的,因为主题和插件来源有不可控,所以最容易出问题,还是上面的一个原则,尽量选择来路正常的,插件一定要选择wordpress.org官方收录而且一直更新的。
    3. 当然WordPress程序是一定要更新到最新版的。
    4. 这里说回最开始,恶意代码如果非常多的,比如使用安全插件处理也非常麻烦,比如要有几百个,这样就要重装网站了,重装网站只需要备份一下内容:
      • 数据库;
      • wp-content目录下的所有主题,插件和uploads目录。
      • 备份所有的主题和插件只是为了做检查对比使用,不能上传到重置后台的主机对应目录上,而uploads目录就是要压缩上传的,所以需要把uploads目录下所有目录都检查清楚,uploads图片目录只能有图片,不会有任何以php结尾的恶意文件。

    接着就是重置主机,重新安装WordPress,导入数据库,上传检查后的uploads目录,然后对比主题和插件,有问题的检查就不要用了,主题也是。

    如果是独立主机,也需要做一些事情,这个和选择主机商也有关系,Wopus以后会写一篇独立云主机安全建议的文章。

    整个过程就是这样,如果恶意文件比较少,可以用安全插件扫描,对比,加固或者删除。

    从整个过程来源,养成良好的习惯,是更重要的事情。

    文章链接:https://zuike7.com/460.html
    文章标题:如何打造一个安全的WordPress站点
    文章版权:醉客网 (zuike7.com) 所发布的内容,部分为原创文章,转载请注明来源,网络转载文章如有侵权请联系我们!文字及下载资源均是用户投稿及网上搜集,仅供网友学习交流,请勿作他用。
    本文最后更新发布于2022年07月01日 15时36分35秒,某些文章具有时效性,若有错误或已失效,请在下方留言或联系醉疯怪: [email protected]
    技术教程

    Windows远程桌面连接 提示”身份验证错误 要求的函数不受支持 “

    2022-5-17 20:58:29

    技术教程

    Debian系统中将动态ip改为静态ip

    2023-3-7 20:33:43

    重要声明

    本站资源大多来自网络,如有侵犯你的权益请联系管理员,我们会第一时间进行审核删除。站内资源为网友个人学习或测试研究使用,未经原版权作者许可,禁止用于任何商业途径!资源均是用户投稿及网上搜集,仅供网友学习交流,请勿作他用。请在下载24小时内删除!


    如果遇到付费才可观看的文章,建议升级会员或者成为认证用户。全站所有资源任意下免费看”。本站资源采用压缩包上传,为防止有人压缩软件不支持解压包格式 , 建议下载7-zip,zip、rar解压,建议下载WinRAR
    若您的权利被侵害,请联系站长邮箱:[email protected] 或者 留言反馈 ,我们将尽快处理。

    0 条回复 A文章作者 M管理员
      暂无讨论,说说你的看法吧
    个人中心
    购物车
    优惠劵
    今日签到
    有新私信 私信列表
    搜索
    我是醉疯怪!为自己加油~