老站长分享4条保持WordPress安全性的有效措施

投稿   明月登楼  2018-07-02 07:06:46  139 人阅读  37 条评论

有关 WordPress 安全性的文章其实已经有很多了,但是明月感觉随着技术的迭代发展,WordPress 安全也在不断的面临考验,好在 WordPress 官方一直保持着及时有效的漏洞修复更新,这是众多网站平台系统很少能保持的,也是 WordPress 至今还长盛不衰的原因之一。

今天明月根据自己的经验教训给大家做个保持 WordPress 安全性的措施汇总,希望可以帮助到大家。首先,在 WordPress 安全性上不要抱“侥幸心理”,很多站长们都认为自己折腾的站点没有价值,安全隐患带来不了多大的损失,殊不知你的站点是没有价值,那么你的服务器呢?那么你的 IP 地址呢?那么你的域名权重呢?这些资源一个两个的无所谓,那么成百上千后就可以是某个灰色产业链的一部分了。服务器可以当做一个挖矿客户端,IP 地址可以作为“肉鸡”IP 出售、域名以及权重都可以方便的变现。

老站长分享4条保持WordPress安全性的有效措施 建站经验 第1张

措施一:及时发现安全隐患

每次更新完 WordPress 后,都要及时删除 wp-admin 目录下的 install.php 文件,这个要养成习惯!正常进入 WordPress 后台感觉很卡顿的时候就要及时的进行安全扫描了,Wordfence Security 插件绝对是个 WordPress 站点必备的安全插件,需要的时候启用进行 Scan 扫描发现有嫌疑的文件后通过 FTP 或者命令行控制台终端进行查看、删除,平时可以关闭插件节省服务器负载资源(没有必要常开启),这个插件对“恶意代码”、后门、木马、隐藏代码等等有很好的扫描效果,经常在线测试插件、主题的站长们这个插件一定要用,因为这个习惯就是个“招蜂引蝶”的节奏。

措施二:注意 WordPress 目录权限设定

很多新手站长们为了图方便喜欢将 WordPress 目录权限设定为 755 甚至 777,殊不知这样的方便给各种后门、木马、恶意代码的执行也带来了“方便”,分分钟修改你的 WordPress 系统内核代码实现各种“黑”操作和各种“潜伏”。明月建议 WordPress 目录权限保持 644 是最合适的,需要读写的目录单独给予 755 权限即可(不要递归子目录),有频繁修改代码的尽量采用 FTP 方式下载到本地修改保存再上传覆盖,有条件的就在命令行控制台终端进行代码修改和保存都比修改目录文件权限要安全的多。服务器上的网站文件架构以及文件系统是 Linux 系统的,跟我们 Windows 电脑是不一样的文件管理模式,不要有想当然的成分。

措施三: WordPress、数据库密码等等的独立性

很多站长在安装 WordPress 的时候在 wp-config.php 里配置数据库账号和密码习惯性的使用 root 账号和密码,这样是很方便,但是 wp-config.php 文件可以说是明码保存着你的 root 账号和密码,这就意味着一旦被别人获取到,别人就获取到数据库的所有权了几乎,所有数据在面临泄露、丢失的风险同时,还会涉及被篡改 WordPress 登陆账号和密码,甚至进一步获取你服务器远程 SSH 登录密码。明月建议大家慎重保存 root 账号和密码,无论是数据库还是服务器上的都很重要, WordPress 数据库密码就使用当前数据库的账号和密码即可(在创建数据库的时候会提示你创建的账号和密码就是),这样独立性的密码会将危害风险降到最低,风险越补救的措施就多。

措施四:谨慎选用插件!

WordPress 众多的插件是最大的亮点了,同时也是一个“安全隐患”的重灾区, WordPress 性能下降的原因大部分都是“插件”造成的。现在看来 WordPress 大部分的安全问题都是出在“插件”上,有人会说我只用 WordPress 官方插件库里的插件安全有保障,这点儿明月绝不敢苟同!所谓的插件基本上就是 PHP 代码文件,在众多的代码中隐藏个激活后门啥的完全没有多大问题,只要不激活永远无法被发现,所以官方插件库里的插件绝对不是百分百的“安全、纯净”。明月总结了几条 WordPress 插件使用选择的准则供大家参考一下:

  • 来历不明的插件不用;
  • 破解插件不用;
  • 有未知站外 HTTP 请求的插件不用;
  • 需要读写权限的插件不用;
  • 有广告推送的插件不用。

上述是目前明月总结的,触犯任意条,我都会弃用这个插件,对于新手站长们尤为重要的,千万不要给自己的站点安装所谓互链插件、SEO 优化等等这些插件几乎清一色会给你的站点招来各种恶意蜘蛛爬虫疯狂的发送请求,造成服务器负载飙升,一个新站点用着用着越来越慢,几乎可以肯定是用了类似相关的插件后造成的,所以请大家慎重。

在上述总结的四条之外,明月感觉有必要再提一下 WordPress 主题, WordPress 有很多优秀的免费主题,当然也有很多优秀的收费主题,可以说是五花八门的面面俱到,甚至网上还有众多收费主题破解版。主题也有跟插件一样的安全隐患,因为插件可以做到的,主题也可以做到。驱动破解某个主题的主要动力就是后门、木马植入所带来的利益,如果你的站点是有长期运营下去的打算,那么,购买一个正版的主题是当务之急,免费的东西永远都是最贵的,这话用在 WordPress 主题上是“至理名言”。

历史上的今天:

如果文章对你有帮助,请赞赏支持作者继续创作!

文章标签: ,   ,   ,  
原文地址:https://www.imydl.com/wp/8170.html
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为投稿文章,感谢 明月登楼 的投稿,版权归原作者所有,欢迎分享本文,转载请保留出处!
明月登楼

相关文章 分类热门分类热评最新问答

 发表评论

中国赞表情摊手表情吃瓜表情笑哭表情偷笑表情衰表情汗表情思考表情费解表情抓狂表情晕表情流泪表情疑问表情嘻嘻表情吃惊表情鼓掌表情

  1. 米扑博客
    米扑博客 @回复

    前人的成果总结,拿来参考自省实用

  2. И Ι С Ξ
    И Ι С Ξ @回复

    小站不担心!!

    • 明月登楼
      明月登楼 作者回复2018-07-07 09:24  回复

      @И Ι С Ξ这个观点,其实是个“坑”,你的服务器、域名、端口都可以利用谋取利益!跟你是不是大站关系不大!

  3. 涂红伟
    涂红伟 @回复

    FTP帐号可以不用开启,在wordpress后台编辑即可,像阿里云ECS平时可以在组策略中关闭SSH 22端口和FTP的21端口。

    • 明月登楼
      明月登楼 作者回复2018-07-07 09:22  回复

      @涂红伟自己用的话,当然就不需要FTP账号了,但是给被人运维还是必须要有的!

  4. 小白蜀黍网赚
    小白蜀黍网赚 @回复

    是啊,安全最重要

  5. 李峰博客
    李峰博客 @回复

    [哈哈] 这个收藏了,哈哈

  6. 闲鱼
    闲鱼 @回复

    [偷笑] 跟着明月后面走,不怕掉坑里

  7. 菊
     @回复

    多检查代码 尽量不用插件

    • 明月登楼
      明月登楼 作者回复2018-07-02 17:23  回复

      @菊是的,定期要扫描一下代码里是否有加密代码,一般这都是后门、木马!~

  8. 银色月航
    银色月航 @回复

    不错,明月,不过wordpress目录那些需要644….下次来个教程吧

  9. 明月清风
    明月清风 @回复

    感觉所有经验都可以移植到zblog身上去,通用安全策略吧!

  10. 趣知识
    趣知识 @回复

    我觉得还是静态的比较爽

    • 明月登楼
      明月登楼 作者回复2018-07-02 13:16  回复

      @趣知识静态的说实话,对于一些大型企业网站还是可以用用的!小流量网站,其实还是动态为首选!

  11. 在线看小说
    在线看小说 @回复

    经验呀,收藏先

  12. 手机兼职
    手机兼职 @回复

    我们菜鸟就只会用插件

    • 明月登楼
      明月登楼 作者回复2018-07-02 13:23  回复

      @手机兼职插件不是不能用,而是用插件一定要记得防范安全!特别是那些涉及权限的插件!

  13. 云顶天的世界
    云顶天的世界 @回复

    wordpress的插件安全是个大问题。

  14. 花胶
    花胶 @回复

    马上就去删掉install 文件

  15. 里维斯社
    里维斯社 @回复

    老司机开车就是稳

  16. 靠谱学生兼职网
    靠谱学生兼职网 @回复

    插件也不是十分安全,所以,能不用就不用了

    • 明月登楼
      明月登楼 作者回复2018-07-02 11:34  回复

      @靠谱学生兼职网呵呵,插件是个很大的“坑”,几乎我碰到的木马、后门、恶意代码80%以上是插件带来的!所以使用插件一定要慎重!

  17. 沈唁志
    沈唁志 @回复

    及时删除 wp-admin 目录下的 install.php 文件,刚才还去删了

    • 明月登楼
      明月登楼 作者回复2018-07-02 11:35  回复

      @沈唁志呵呵,我就在想着是否可以在服务器上有个自动脚本,自动检测这个文件,发现存在立马删除!

  18. 佩哥
    佩哥 @回复

    老站长开车,就是稳!