知名站长教你打造一个安全的WordPress站点?

转载   Wopus  2019-06-24 21:03:07  192 人阅读  23 条评论

现在全球有超过 33%的网站在使用 WordPress 程序,这意味着,WordPress 已经是关注的焦点,那么会被更多的研究,读源代码,测试网站安全性。虽然 WordPress 程序一直在更新,但每隔一段时间 WordPress 官方还是会发布新版的 WordPress 程序,基本上是小版本维护更新,主要是修复已经存在且被验证过的安全问题

知名站长教你打造一个安全的WordPress站点? WordPress 第1张

而且经常有使用 WordPress 程序的朋友问,说网站手机版会跳转到一些乱七八杂的网站,网站根目录及一些目录出现一些不规则的目录及文件,在根目录的 index.php 和 wp-config.php 出现一些类似乱码的代码。这些都表明,WordPress 网站并没有想象中的那么安全。所以,打造一个安全,稳定运行的 WordPress 是一件非常重要的事情,Wopus做了这么多年 WordPress 相关服务,今天写下这篇文章,把一些经验分享给有需要的朋友。

1. 确保使用云主机在过去几年这是不现实的,但是最近两三年,云主机价格已经降低很多了,降低到可以接受的价格了。另外就是使用共享主机,你可以确保自己的账户安全,但没办法保证共享主机其他主机账户的安全,虽然会相互隔离,但这增加了不稳定的风险,所以建议使用独立 IP 主机。

好消息:阿里云服务器2019Hi拼团优惠活动正在火热进行中,新老用户均可参与,T5云服务器1核1G低至190元/年,528元/3年!更多服务器配置及价格请关注:Hi拼团,点此了解阿里云最新促销优惠活动。同时,建议在购买阿里云相关产品前先领取阿里云2000元代金券会更优惠哦。更多关于服务器的文章请移步『服务器专题

2. 使用安全的域名 DNS域名 DNS 一直都没有被重视,但却是网站稳定运行的重要一环,有兴趣的朋友可以去新浪微博搜索一下域名 DNS 故障,看看能搜索出来多少信息。一般域名注册商都提域名 DNS 服务,但这些并不是非常稳定,又或者不是很好用。比较出名的域名 DNS 服务商:dnspod.cn 是一个,腾讯云使用的也是 dnspod.cn;阿里云自己研发了 dns,还开发了收费的 DNS 服务器。从某一个角度来说,所有的域名提供商都希望卖域名而不提供域名 DNS 服务,毕竟优质的 DNS 服务是需要很大投入的。

3. 从正确的途径购买或者下载使用 WordPress主题及插件。正确的途径包含但不仅有:收费 WordPress 主题/插件作者官网、WordPress.org 官网。尽量不要从第三方网站购买主题(淘宝是最大的源头,购买的主题没售后,而且没升级的保证,没升级的保证就没有安全的保证),不要购买或使用所谓的破解版主题和插件。

4. 及时升级 WordPress 程序,主题及插件。

5. WordPress 插件如果超过 6 个月没更新,大概率这款插件作者已经不会再更新了,所以,需要删除这个插件,然后找一个功能类似的插件替换。WordPress 主题也有类似的问题。

一个比较普遍的问题

WordPress 已经发布超过 10 年了。国内最早一批的网站时 2011/2012 年制作的,而且是展示为主,这样的网站有几个问题比较严重。使用的主题/插件大多数已经没有更新,因为日常疏于管理,WordPress 程序也没更新。但因为安全我们不得不更新,发现最新版的 WordPress 程序已经不能运行之前使用的模板了,但是模板也已经没更新,所以,如果更新网站,相当于重新做一个网站。但不更新,网站随时有可能被攻击,所以,这样的境地非常尴尬,但却是很多网站遇到的问题。所以,一旦出现不兼容的情况,就要找人看是否有修复兼容性的可能,如果没有,就要及时寻找新的主题了,所以,模板选择是一件非常重要的事情。

6. 安装 WordPress 安全插件,建议安装 Wordfence Security 插件,具体可参考『WordPress 站点安全卫士插件:Wordfence Security 』和『WordPress 插件 Wordfence Security 主要功能设置和使用图文教程』。

7. 最后分享一下网站已经被植入恶意代码的修复思路:

1)如果是共享主机,就要先联系主机提供商,问问是否是服务器的问题,如果不是,就可以开始检查网站代码了。恶意的代码一般分为两种:

  • 一种是恶意文件,这些文件一般分为两类:一类是完全不规则的命名,一类是类似 WordPress 系统默认文件,都是 PHP 结尾的,所以一定要检查清楚。
  • 另外一种就是恶意代码,会插入到已经存在的系统 php 文件里,这个也是不规则的,但 wp-config.php,首页 index.php 肯定会被插入恶意代码。

2)接着继续检查 WordPress 主题和插件,这两个是最容易出问题的。因为主题和插件来源不可控,所以最容易出问题,还是上面的一个原则,尽量选择来路正常的,插件一定要选择 wordpress.org 官方收录而且一直更新的。

3)当然 WordPress 程序是一定要更新到最新版的。

4)这里说回最开始,恶意代码如果非常多的,比如使用安全插件处理也非常麻烦,比如有几百个,这样就要重装网站了,重装网站只需要备份以下内容:

  • 数据库;
  • wp-content 目录下的所有主题、插件和 uploads 目录。

备份所有的主题和插件只是为了做检查对比使用,不能上传到重置后台的主机对应目录上,而 uploads 目录就是要压缩上传的,所以需要把 uploads 目录下所有目录都检查清楚,uploads 图片目录只能有图片,不会有任何以 php 结尾的恶意文件。接着就是重置主机,重新安装 WordPress,导入数据库,上传检查 uploads 目录,然后对比主题和插件,有问题的插件就不要用了,主题也是。

如果是独立主机,也需要做一些事情,这个和选择的主机商也有关系,Wopus 以后会写一篇独立云主机安全建议的文章。

整个过程就是这样,如果恶意文件比较少,可以用安全插件扫描,对比,加固或者删除。从整个过程来看,养成良好的习惯,是更重要的事情。

您可能感兴趣的文章

文章标签: ,   ,  
原文地址:https://www.wopus.org/wordpress-deepin/tech/6392.html
温馨提示:文章内容仅代表作者个人观点,不代表boke112导航赞同其观点和对其真实性负责!
版权声明:本文为转载文章,来源于 Wopus ,版权归原作者所有,欢迎分享本文,转载请保留出处!
©boke112导航,本站推荐使用:阿里云 ECS服务器等云产品服务,国外免备案主机建议使用:老薛主机

 发表评论

强表情无奈表情抠鼻表情笑哭表情偷笑表情衰表情流汗表情奋斗表情吐血表情抓狂表情晕表情流泪表情疑问表情呲牙表情惊讶表情鼓掌表情

  1. 火星
    火星 @回复

    很实用!

  2. 星云
    星云 @回复

    羡慕wp玩家,我刚开始也是玩的wp,结果 [流泪] 玩不来,最后就去玩zblog了,zblog是国产比较简单

  3. 博客之家
    博客之家 @回复

    WP已很安全了

  4. 腰斗士
    腰斗士 @回复

    没什么流量,这个问题暂时可以不用考虑 [偷笑]

  5. 张波博客
    张波博客 @回复

    哪位知名站长呀?

  6. vultr
    vultr @回复

    安全第一

  7. 子午物联网
    子午物联网 @回复

    我的站点,天天被别人尝试登录,安全是永恒的话题

    • 懿古今
      懿古今2019-06-25 16:04  回复

      @子午物联网感觉我们普通个人博客网站被攻击是永恒的话题,就不知道那些知名博客网站是否也会被攻击?

  8. 辩论吧
    辩论吧 @回复

    我有个wordpress站天天提示木马

  9. 吾爱笔记
    吾爱笔记 @回复

    学习学习

  10. 明月登楼
    明月登楼 @回复

    WordPress从来都是安全的,不安全是因为你没有用对!

  11. 凯少技术网
    凯少技术网 @回复

    话说wp我刚开始确实想选择,不过那时用的主机配置很低,无法满足wp的PHP最低版本要求,所以才选择zblog,zblog主程序从安装到现在,从没有更新过,不知道是不是凉凉了。。。

    • 懿古今
      懿古今2019-06-25 16:08  回复

      @凯少技术网WordPress最低PHP版本建议7.2及以上。ZBlogPHP不更新也一直这么多人使用,估计也不会有什么问题

  12. 中国四大名著
    中国四大名著 @回复

    wp还是不错的

  13. 奋斗的胖子
    奋斗的胖子 @回复

    可能是WordPress太过于繁琐,放弃了

    • 懿古今
      懿古今2019-06-25 16:09  回复

      @奋斗的胖子功能强大都相对比较臃肿复杂,WordPress相对ZBlog估计复杂一些,不过用习惯了就会发现它的强大

  14. 猫叔
    猫叔 @回复

    wordpress总体来说是安全滴! [呲牙]

    • 懿古今
      懿古今2019-06-25 16:09  回复

      @猫叔是的,及时更新到最新版本,不要安装使用破解版的主题和插件,一般都是安全的