WordPress 需要提高安全等級,來避免日常的黑客攻擊,今天來介紹下 WordPress 安全插件 All In One WP Security 的使用。
All In One WP Security 有很多安全配置,但是並不需要把每項都用到網站上,因爲不是所有的安全配置都是必須的,有些選項也有可能會導致其他問題,比如性能問題,和其他安全規則衝突等問題。所有防禦應該講究一個平衡,把重要的安全選項做到平衡就可以了。所以文章只會講幾點比較重要的配置,不會把所有的配置都詳細介紹。
安裝完成後,儀表盤會展示一些基本信息,安全強度表、安全點分析、關鍵功能狀態等。
設置
- 隱藏 WordPress 版本信息,WordPress 是一個開源項目,在升級版本的過程中,難免會帶入 bug,如果能夠隱藏版本,那麼讓攻擊者就無法確定網站使用的版本號,從而能夠在一定程度上降低風險。
用戶賬號
建站完成,WordPress 會生成一個默認的賬戶:admin,很多攻擊者會利用默認賬戶,發起攻擊。所以修改默認賬戶是很有必要的。
修改密碼,簡單的密碼往往會使攻擊者有機可乘,一個複雜的密碼相當有必要,那麼什麼是一個好的密碼呢?好的密碼必須符合以下規則:
密碼長度至少 8 位
密碼包含數字、字母、字母區分大小寫、特殊字符
密碼最好採用軟件生成,或者隨機輸入,不要採用特定意義的字母
例如:tHb76$()7d6y76
用戶登錄
- 登錄鎖定,攻擊者最常使用的是採用暴力破解,那麼在短時間內監控和阻止重複登錄失敗所涉及的 IP 地址是阻止這些類型攻擊的一種非常有效的方法。
數據庫安全
- 數據庫最重要的是經常做備份,可以參考寶塔面板備份站點和數據庫。如果你的網站只能本地訪問,那麼可以不用修改 wp_ 前綴,如果你對這塊不是非常瞭解,那麼也不建議你修改。
文件系統安全
- 文件系統安全是指網站是以一個特定的用戶的權限運行的,比如有的網站會以 www 用戶的權限運行。勾選 All In One WP Security 推薦的權限就可以了。
防火牆
- 防火牆的規則有很多,這裏我只勾選了「啓用基本防火牆保護」選項,其他規則可以根據自己需要自己配置,如果對規則不是非常瞭解,切記不要胡亂勾選。
暴力破解
- 重命名登錄頁面,WordPress 默認後臺地址爲:/wp-admin/,這容易導致攻擊者對後臺地址發起惡意攻擊。登錄地址建議採用複雜的地址,採用數字、字母組合的長字符,這樣讓攻擊者難以找到攻擊入口。
掃描器
- 黑客有可能會將惡意代碼放到服務器上,通常是 js、php 文件,掃描器功能可以對文件進行掃描,也可以配置自動掃描。
