WordPress驱动的网站一直在被黑客入侵。
30,000个遭到黑客入侵的网站 今年早些时候, 4,800个网站被删除 去年没有任何恢复的机会。
在这种情况下,甚至从Web主机服务器删除的备份也是如此。
向您显示即使有备份,廉价共享托管也会有多大风险。
如果你 haven’t复制了所有文件&数据库并将其存储在远离服务器的安全位置,’re taking a risk.
共享服务器风险
每年提供不到100美元的廉价托管服务的网络主机之所以便宜,是有原因的。
他们堆叠6000–每台服务器上10,000个网站。
问题在于您的网站变得更加脆弱。
如果与您位于同一服务器上的站点之一被黑客入侵并注入了恶意软件,则您可能会遭受同样的命运。
那’这是您需要格外小心并在这种情况下基于常规完整备份确保安装安全的原因之一。
托管服务器
您’会发现托管托管服务提供商会为您做很多安全工作。
WP Engine提供了比基本共享托管提供商更安全的服务器环境。
Web Synthesis是另一台托管主机,它提供的安全性比通常从共享主机获得的更高。
不安全的文件权限
与其允许文件可写,不如将其权限更改为:
- 644用于文件和
- 文件夹755
每当您更新WordPress(不包括wp-config文件)时,这些设置也会自动配置您的文件和目录。
如果你 have any problems with using WordPress after changing these permissions, you may need to change some of the permissions back so they are writable on your server.
某些Web主机会为您解决此问题,并自动配置权限以增强安全性,而某些Web主机则不会’t.
保护管理员文件夹
I’我已经写过关于如何 保护您的wp-admin文件夹.
如果你’重新使用cPanel并想用密码手动保护wp-admin文件夹,您’我们需要在网站前端使用Ajax创建与插件冲突的.htaccess文件。
注意: 放在.htaccess中的WordPress开头和结尾WordPress标记之间的任何代码都可以被WordPress覆盖。
示例:在此屏幕截图中,您可以看到开头#BEGIN WordPress和结尾#END WordPress标签。
安全插件
那里’s的几个插件,可轻松保护您的网站,而无需使用代码。
那里’我尝试过并写过的其他一些文章 安全类别.
登录用户名& Password
那里’您可以使用许多免费的在线工具来创建最强大的用户名和密码,以最大程度地提高安全性。
如果你 haven’在这里已经使用了强大的登录详细信息’s a tutorial on 如何更改您的用户名和密码.
保护wp-config文件
保护配置文件所需要做的就是将其移到public_html根目录上方。
例:
- 默认情况下,您的wp-config位于此处:home / user / public_html / wp-config.php
- 将其移至此处:home / user / wp-config / public_html /
唐’t 将其移动到位于public_html根目录中的另一个文件夹中,否则它将赢得’t be secure.
如果决定将其保留在public_html根目录中,则还可以将该代码放入文件中,以防止公众查看。
<files wp-config.php> order allow,deny deny from all </files>
这里’s应该放在您的.htaccess文件中的位置。在文件的最顶部。
更改WP数据库表前缀
默认情况下,您’会发现您的数据库表前缀以wp_开头。
黑客知道这一点,因此它使您的数据库不易受到SQL注入的攻击。
不是您想要尝试清理的东西。的 Tim Thumb的漏洞 is a prime example.
最好在安装之前或安装期间更改此前缀。
进一步了解 如何更改默认的WordPress数据库前缀.
更新主题& Plugins
黑客进入您网站的另一种方法是利用过时的主题,插件和核心WordPress文件。
更新文件 一旦您看到“更新”链接在仪表板上突出显示。
文件传输
如果你r host allows this option, its safer using SFTP rather than FTP.
SFTP加密’FTP不会传输数据。
后备
这里’s a few different 备份文件的方法& databases.
唐’别忘了将备份存储在安全的位置。
在线安全扫描
您 can 扫描您的WordPress安装 使用像Sucuri这样的免费在线服务’的SiteCheck工具,并检查是否存在不同类型的安全问题。
根据我发现自己的网站被黑客入侵后立即使用Sucuri的经验, 苏库里’的SiteCheck工具未能检测到恶意软件 &恶意重定向,因此无法依赖。
该工具是一项基于Web的服务,无法访问您的服务器,但是它应该检测到注入恶意代码重定向到盗版网站的导航菜单和页脚链接,’t.
扫描安全插件
我建议 围栏 和 网站防御者 我已经测试过,并且都检测到恶意软件被黑客入侵了我的核心WordPress文件。
这些插件将通过电子邮件提醒您安全威胁和文件更改。
的另一面‘move wp-config’ argument: http://wordpress.stackexchange.com/questions/58391/is-moving-wp-config-outside-the-web-root-really-benefitial
I’d是否有任何特殊理由将文件移到通常的论点之外?
那里’保护包含您的数据库用户名和密码的配置文件的多种方法。将其移出public_html根目录是一个。
Christopher Davis讨论的其他内容也是可选的。默认情况下,WordPress会查找并读取您的wp-config,无论它在哪里。
从您的服务器创建完整备份并进行存储很重要,我认为使用20位数或更多的用户名和密码以及强大的生成器是确保安装安全的另一种方法。