WordPress 需要提高安全等级,来避免日常的黑客攻击,今天来介绍下 WordPress 安全插件 All In One WP Security 的使用。
All In One WP Security 有很多安全配置,但是并不需要把每项都用到网站上,因为不是所有的安全配置都是必须的,有些选项也有可能会导致其他问题,比如性能问题,和其他安全规则冲突等问题。所有防御应该讲究一个平衡,把重要的安全选项做到平衡就可以了。所以文章只会讲几点比较重要的配置,不会把所有的配置都详细介绍。
安装完成后,仪表盘会展示一些基本信息,安全强度表、安全点分析、关键功能状态等。
设置
- 隐藏 WordPress 版本信息,WordPress 是一个开源项目,在升级版本的过程中,难免会带入 bug,如果能够隐藏版本,那么让攻击者就无法确定网站使用的版本号,从而能够在一定程度上降低风险。
用户账号
建站完成,WordPress 会生成一个默认的账户:admin,很多攻击者会利用默认账户,发起攻击。所以修改默认账户是很有必要的。
修改密码,简单的密码往往会使攻击者有机可乘,一个复杂的密码相当有必要,那么什么是一个好的密码呢?好的密码必须符合以下规则:
密码长度至少 8 位
密码包含数字、字母、字母区分大小写、特殊字符
密码最好采用软件生成,或者随机输入,不要采用特定意义的字母
例如:tHb76$()7d6y76
用户登录
- 登录锁定,攻击者最常使用的是采用暴力破解,那么在短时间内监控和阻止重复登录失败所涉及的 IP 地址是阻止这些类型攻击的一种非常有效的方法。
数据库安全
- 数据库最重要的是经常做备份,可以参考宝塔面板备份站点和数据库。如果你的网站只能本地访问,那么可以不用修改 wp_ 前缀,如果你对这块不是非常了解,那么也不建议你修改。
文件系统安全
- 文件系统安全是指网站是以一个特定的用户的权限运行的,比如有的网站会以 www 用户的权限运行。勾选 All In One WP Security 推荐的权限就可以了。
防火墙
- 防火墙的规则有很多,这里我只勾选了「启用基本防火墙保护」选项,其他规则可以根据自己需要自己配置,如果对规则不是非常了解,切记不要胡乱勾选。
暴力破解
- 重命名登录页面,WordPress 默认后台地址为:/wp-admin/,这容易导致攻击者对后台地址发起恶意攻击。登录地址建议采用复杂的地址,采用数字、字母组合的长字符,这样让攻击者难以找到攻击入口。
扫描器
- 黑客有可能会将恶意代码放到服务器上,通常是 js、php 文件,扫描器功能可以对文件进行扫描,也可以配置自动扫描。
