Wordpress安全工具

Question

嗨，同事wordpress开发人员或网络大师。我想问一下，你用什么工具来保护你的wordpress网站？此外，您有什么方法来防止wordpress插件漏洞影响您的wordpress网站？

Answer 1

你可以(而且应该)遵循许多预防措施。

1. 选择好的主机/服务器。
   • 为您的主机和FTP帐户设置强密码。
   • 不要使用允许远程连接到DB的服务器。
   • 如果您想在一台服务器上托管多个站点，请确保它们是分开的(这样，一个站点就不能从其他站点访问文件--否则，如果任何一个站点都易受攻击，所有站点都会受到感染)。

2. 以聪明的方式安装WP
   • 不要使用自动分期付款器(托管公司经常修改WordPress，所以这对他们更好，但这不是个好主意)。
   • 为管理员选择强密码，并为这个用户使用一些真正的登录(不要使用管理员或管理员)
   • 不要使用默认的db前缀。

3. 强化你的网站
   • 为您的文件和目录设置适当的访问权限。
   • 阻止对不应该访问的文件的访问(不能访问来自wp-includes或wp-content的PHP文件)
   • 如果只有少数用户能够登录到wp，那么只允许一些IP地址或添加BasicAuth访问wp。

4. 维护您的站点
   • 安装新插件时要小心。仅从原始源下载插件/主题。
   • 只使用安全插件/主题(对CodeCanyon/ThemeForest的插件/主题非常小心-它们通常编写得很糟糕)
   • 更新WP，主题和插件。

更多阅读：https://wordpress.org/support/article/hardening-wordpress/

奖金。别用..。

不要使用“安全”插件。他们不做什么，因为他们做不到，他们只是插件，所以如果一个网站有漏洞，那么它仍然会存在。插件只能硬化和检查你的网站，但是.自动硬化总是比手动硬化更糟糕。用插件监视站点没有任何意义--如果站点感染了，恶意软件可以很容易地修改站点和任何插件的行为(我在波兰的WordCamp上多次展示了让Wordfence显示任何您想要的东西作为监控状态是多么容易)。所有这些“检查”和日志记录都会使您的站点速度慢得多。更糟糕的是--如果你检查一下WPVulnDB，你会发现很多“安全插件”在代码中都有很多漏洞.

也不要更改默认的登录地址。WordPress使用您的主题和所有插件生成404个错误页面。这意味着这样的页面不是很快(它比登录表单慢几倍)。因此，如果您更改默认的登录表单地址并发生任何暴力攻击，那么由于您的更改，它将自动成为DDoS攻击。另一方面，如果你明智地选择托管，那么你就不用担心野蛮的攻击，因为它会被防火墙阻止。