料神 Sam
读完本文
大约需要
这几年来,我听过很多外贸人抱怨自己辛苦建的 WordPress 网站被黑了!
甚至有人质疑 WordPress 这种开源的程序,是否是建站的最佳选择,因为开源程序总是更容易被黑客研究和攻击。
不可否认,开源的建站程序的确存在这种情况,就像任何事物都有两面性一样。
被黑客攻击的 WordPress网站,可能会对公司的业务造成严重损害。黑客可以窃取用户信息和密码,安装恶意软件,甚至是勒索软件。
2016年3月,一份来自谷歌的报告称,超过5000万网站用户,被警告他们访问的网站可能包含恶意软件或可能窃取信息。
此外,谷歌每周约记录 20,000 个恶意软件网站,和大约 50,000 个网络钓鱼网站。
所以无论是自建站还是外包建站,都一定要特别注意 WordPress 网站的安全性。
防黑教程
为了安全起见,建议 PHP 至少升级到 7.2 版本。当然,参考这篇文章升级到最新的 7.3 版本也OK。
关于原因,我前面写过一篇文章:
虚拟主机和VPS升级PHP到7.2版本
https://www.liaosam.com/upgrade-php-version-to-7-x.html
至于WordPress,尽量安装最新版本。如果一直没怎么更新的,建议更新一下。
WordPress从5.0版本起,使用了一个基于 Block 布局的 Gutenberg编辑器。
虽然 WordPress 官方极力推荐这种编辑器,但是90%以上的用户试用过一阵子后,都感觉非常不习惯。
很多WP的使用者,都已经使用习惯了老版本默认的经典的编辑器,使用这种新的编辑器,会非常不方便。
于是我们需要安装一个额外的插件来解决这个问题。
在 WP 后台菜单里找到 Plugins(插件),选择安装插件,在弹出的搜索页面输入 Classic Editor,找到这款插件。
安装之后,启用即可。这样编辑器就又变成以前的经典编辑器了。
这一步你可以按照下面的代码,去手动添加代码,也可以使用第四部分所说的 WordFence 插件来完成。
在你的主题文件夹(如果有子主题并启用了子主题,则在子主题文件夹下)找到 functions.php 文件,使用 FTP 或 XFTP 等工具下载到本地。
使用 notepad++(还没下载安装的去下载安装一下),鼠标右键选择 edit with notepad++。
添加一段代码:
function liao_remove_version() {
return '';
}
add_filter('the_generator', 'liao_remove_version');
代码的作用是,在系统默认显示版本的地方,显示为空。
config.php 文件是 WordPress 的重要配置文件,里面包含了数据库名称,数据库用户名和密码等敏感信息。
如果不加以保护,信息可能会被黑客掌握。
在 WordPress 网站根目录下,在wp-config.php 文件内最后添加这行代码,来禁止通过线上方式修改设置,代码如下:
define('DISALLOW_FILE_EDIT', true );
保存,上传覆盖原 wp-config.php 文件。
可以通过 WordFence 插件来搞定,这个插件功能还挺强大的。
它不但可以设置上面提到的,隐藏 WordPress 版本号、禁止上传文件夹执行代码的功能。
同时还限制了登陆尝试次数,而且能监控文件修改改动,防止暴力破解。
安装此插件的方法:后台-插件-安装插件,搜名称即可。类似的安全类插件其实很多,选一个用就可以了。
你也可以直接复制这个链接打开:
https://wordpress.org/plugins/wordfence/
启用。
然后先试用免费版的功能。
Wordfence 这个安全插件,除了可以进行基本的防护之外,还可以进行安全扫描(Scan)、完成一些防火墙(FireWall)的类似功能,以及发送警报邮件。
也有一些有趣的小东西,比如 Tool 里面的 Whois Lookup,你绝对想不到,安全插件还带一个查询域名 whois 信息的功能。
很多基本的功能,在【All Options】- 【Wordfence Global Options】- General Wordfence Options 里面设置:
比如,Hide WordPress version 和 Disable Colde Execution for Uploads directory 都是建议去勾选的。
当然,付费版的功能更多,如:
两步验证(two-factor-Authentication)
付费版还有一些功能,比如可以阻隔某个特定国家 IP 过来的访客的访问,或登录尝试等。
另外,免费版的 Wordfence 插件,也是默认防范暴力攻击和锁定的。
如果有人尝试暴力破解,会被锁定,并自动进入黑名单。
CouldFlare 是全球知名的 CDN 服务商,CDN 是一种内容分发机制。
简单来说,就是可以把你网站上的内容,预读到离访客国家最近的 CDN 服务器上,加快读取网页的速度。
虽然 CDN 起不到防止黑客侵入的作用,但是可以防范一些扫描和流量攻击。
如果有条件,可以开启付费的服务。
还有一些防范措施是 WordFence 插件没有做到的,比如你的用户名和密码的设置。
用户名太简单,密码太简单,很多时候都是你网站被轻易攻陷的直接原因。
建议你再次耐心阅读下面这篇我之前写过的文章,这里面的一些防范方法,你仍然需要参考,有些是 WordFence 插件没有涉及到的防范措施。
你的wordpress网站足够安全吗?专业防黑安全措施分享
https://www.liaosam.com/security-your-wordpress-website-with-sams-suggestions.html
当然,上面 WordFence 插件基本功能中已经覆盖的安全措施,就没必要重复做了,如上传文件夹中禁止执行任何 php 文件等。
如此一来,你的网站即可安全无忧。
定期备份才是王道
按上面的防黑步骤走,相信你的WordPress 网站被黑的可能性,已经降低了很多很多。
当然,凡事没有绝对,定期备份才是王道!
不管怎么样,先做好防范,当然,我希望你们都不会碰到这种情况。
关于WordPress 网站被黑这件事,你有什么想和大家说的吗?
欢迎留言交流分享经验。
最后,祝大家假期快乐!
联系客服
