本帖最後由 hknovo 於 2013-10-29 13:50 編輯
& J$ Q) Q% D2 s X0 F) S
5 [' \3 } @ d+ G/ M- y' H9 Z- _- Q7 ], L2 n
用一首詩開始我的博文:
" n, `! \2 Z4 W- X3 H; R那時我們有夢,關於文學,關於愛情,關於穿越世界的旅行。如今我們深夜飲酒,杯子碰到一起,都是夢破碎的聲音。/ E( k# W' m: z6 I
——北島
T4 ]" o4 U* f7 u8 q' D% q也許我們無法明白「活著」的意義,但是我們已經為「活著」付出了太多代價;也許我們無法實現自己的夢想,但是我們已經為夢想流下了太多淚水。我們能做的,僅僅是在這條路上走得更遠,絕不能回頭。天堂未必在前方,但地獄一定在身後。
1 F# h7 L+ j6 B2 \8 f1 Q3 J* F —— 程浩 各位辛辛苦苦搭建的WP 有被黑闊光臨過嗎?如果有的童鞋,請認真閱讀哦!
4 \) m8 w% E& x, iWordPress簡介
1 | J: Z+ G4 O G2 y. n9 _. w) }WordPress起初是一款個人博客系統,並逐步演化成一款內容管理系統軟件,它是使用PHP語言和MySQL數據庫開發的,用戶可以在支持 PHP 和 MySQL數據庫的服務器上使用自己的 Blog ——來自百度百科
本博客就是用wordpress搭建的,搭建好以後做了一些防護工作,所以把這點經驗分享給大家 1.選擇安全可靠的主機, y. {8 {3 }2 E+ D& ?
謹慎選擇一款安全可靠的主機,不要使用免費主機和劣質主機。免費主機只適合用來學習程序和建站方法,但是倡萌一直不建議使用免費主機來托管正式上線的網站。當然了,最好也不要使用那些特別廉價,管理經驗不足的主機商的服務。 2.升級到WordPress最新版% ^2 R: J; J+ z8 W; M
只從WordPress官方下載源碼,不要到第三方網站下載。盡可能升級到WordPress最新版,及時修補程序漏洞,包括WordPress核心源碼、WordPress主題以及WordPress插件。* d) Z" `- v5 b8 F2 |
5 q8 j* W! g' h& P
9 r0 A& G/ Z8 d: C/ K* K4 }& b, F' Y
3.使用官方WordPress主題和插件. ?" f. f- q c* t! S
這裡所說的官方,一是WordPress官方,二是主題或插件開發者的官方,盡量避免使用「破解」版主題、插件,慎用網上傳播的原本是收費,但是被人惡意提供免費下載的主題、插件。
3 K) j% p6 d# H& g( b: o; V/ y) F! p5 G( ^2 F8 v
! F1 C: f q5 d1 p: j
4.修改數據庫默認前綴 wp_
{6 t+ U- l6 O% f6 b! a0 u/ n9 ]" k7 n
很多朋友安裝WordPress都沒有修改數據庫前綴,如果你打算修改默認的前綴 wp_ ,請根據 如何修改 WordPress 數據庫前綴 來修改。) P) B8 F$ g# X! C' S6 @$ L+ D
2 ~( Y- _0 R8 f% v* \
2 j' l" S$ I0 i5.修改默認的用戶名 admin
7 s( L# [! i5 {- {4 v3 c$ } s
WordPress 3.* 以上已經支持安裝時自定義登錄用戶名,如果你使用默認的admin,建議你根據下面的方法進行修改:
: |: ~( P9 E* u3 c! O$ `; A" Y3 n方法一:後台新建一個用戶,角色為管理員,然後使用新用戶登錄,刪除默認的 admin 用戶。方法二:登錄phpmyAdmin,瀏覽當前數據庫的 wp_users 數據表,將 user_login 和 user_nicename 修改為新用戶名。
4 p1 y! r, ?* ^* O/ B7 c$ K+ o* h" s同時建議修改 「我的個人資料」中的的暱稱,然後設置「公開顯示為」非用戶名的其他方式: 6.使用高級密碼,經常更換密碼
$ ~' a! Z/ E" R! C
建議使用含 大寫字母、小寫字母、數字和其他符號 的複雜密碼,比如 nuH4j&*aHG%dMz ,避免使用生日、手機號、QQ號等。
3 Y' x: `% {+ @2 G3 e# l I: e, S, E* I: O9 d
, e7 m, L2 t0 M, O. P& @7.隱藏WordPress版本信息. Y& Q! Y* z j2 ~5 u2 Y4 t
默認情況下會在頭部輸出WordPress版本信息,你可以在主題的 functions.php 最後一個 ?> 前面添加: * C6 x3 g$ F. g" z6 W) x. J
//隱藏版本號function wpbeginner_remove_version() {return '';}add_filter('the_generator','wpbeginner_remove_version');$ D+ q, d5 d/ J% e
8.修改wp-admin目錄的訪問權限
3 F+ }; D1 j: @5 @7 i
你可以通過限定IP地址訪問WordPress管理員文件夾來進行保護,所有其他IP地址訪問都返回禁止訪問的信息。另外,你需要放一個新的.htaccess文件到wp-admin目錄下,防止根目錄下的.htaccess文件被替換。
# _0 `1 v; }2 s+ u( w4 W
( q" i( O8 O& U5 {$ }, c( P
4 b4 w1 g; V: m6 Z- p9.定期備份網站數據
* j' `6 T H& B; y可以借助WordPress備份插件進行自動備份或手動備份: WordPress數據庫定時備份插件:WordPress Database Backup/ q& U2 e8 G" o+ |
使用WordPress自帶導出導入功能備份和恢復網站; B# Z" t U+ ^ X& I9 T+ {
WordPress克隆/備份/搬家插件:WP Clone: @& M" C/ x# L- I ^5 D' E
WordPress超強備份插件:BackWPup(支持FTP/Email/本地/網盤) 10.安裝安全插件7 B! Q0 @. Z& J, M7 k# Q Q( u. _9 f
WordPress Firewall 2
& ]6 U5 B* F% I2 Q+ g/ A6 ]8 e1 Q+ y+ H7 c: @
; ?7 b% l, X3 \' N0 k該插件可以幫助你識別/阻止一些有效的攻擊,例如 目錄掃瞄、SQL注入、WP文件掃瞄、PHP EXE掃瞄 等,並可將其定向到404或者首頁。如果有問題還可以通過電子郵件通知你處理,還可以阻止一些IP的訪問。 Better WP Security 由於大多數的WP網站存在插件漏洞、弱口令、過時的插件/程序,隱藏這些漏洞可以更好的保護網站,例如保護登錄和管理區(控制面板?儀表盤?)。 Login Lockdown 這個插件可以記錄失敗的登錄嘗試的IP地址和時間,若是來自某一個IP地址的這種失敗登錄超過一定條件,那麼系統將禁止這一IP地址繼續嘗試登錄。 Limit Login Attempts Limit Login Attempts 限制登錄嘗試的次數來防止暴力破解,增強 WordPress 的安全係數。 WP Security Scan 該插件會自動按照以上的安全建議對WordPress進行安全掃瞄,查找存在的問題。 11.修改WordPress後台登錄地址,提高安全性
5 a/ _9 u/ @0 ~" L( S2 R5 l+ Z. L
將下面的代碼添加到當前主題的 functions.php 文件: ! i+ M1 C P. l+ I/ C
//保護後台登錄add_action('login_enqueue_scripts','login_protection');function login_protection(){ if($_GET['word'] !='press')header('Location: http://www.malayke.org/');}5 R$ d( S6 p& s
這樣一來,後台登錄的唯一地址就是 http://yoursite/wp-login.php?word=press,如果不是這個地址,就會自動跳轉到 http://www.malayke.org/ ,不信你試試! 你可以修改第 4 行的 Word、press 和 http://www.malayke.org/ 這三個參數。 12.避免WordPress洩露你的用戶名
, o3 D" [& _# {& ^( `4 F
你有沒有想過,如果你的網站的登陸名被別人知道了,偏偏他是一個比較精通 WordPress 的人,而且會寫腳本暴力破解,那麼後果就不堪設想。
! z+ a8 B+ v' n# M
+ U0 r0 ]7 G5 [+ B9 w4 h" L: c1 m! ~: O2 C. ^- k' n) f" U
實際上,Wordpress 這麼一個漏洞,至今依然存在,並且常常會被HK利用( o" K, E' Z- X; w
想要知道 WordPress 的管理員用戶名?很簡單,只要在網站的域名後面加 /?author=1 就行了。
) X7 N z, }1 h: q O如果 /?author=1 顯示404界面,那很可能是以前有過 admin 用戶,後來站長發現用默認帳戶 admin 太不安全了,就新建了一個管理員帳戶,並刪除了 admin 帳戶。這種情況下,用 /?author=2 就能顯示出用戶名了。 如果使用 admin 帳戶,確實不安全,但是如果你的博客使用一個複雜的用戶名,卻經不起這麼簡單的一個 URL 的考驗,這和使用 admin 帳戶沒有根本上的區別。 既然存在漏洞,那麼就要去填補它。要填補這個漏洞,倒還真的不是什麼難事。 我的思路就是,只要訪問主頁url後頭有author參數就讓他跳到主頁- K$ [4 ^' e$ A* k$ X6 y; O4 I% G
將下面的代碼添加到當前主題的 functions.php 文件:
0 k, l1 L, f5 Y. N3 Xadd_filter('author_link','my_author_link' );function my_author_link() {return home_url('/' );}. k, U8 Q) H. O: y" e; }
呵呵,大家有沒有發現這個思路上面修改WordPress後台登錄地址是一樣的原理; G8 ^/ z$ o2 Q9 [5 \
至此,有了以上的防護工作,你辛辛苦苦搭建的wp博客就不會沒那麼容易的被黑闊光顧 - r3 y) I, l, _7 Q
搬此:FreebuF.COM
( j- Y7 U! m1 ?% i2 K
/ K* P4 S! W6 v* Z: w; S | 
發表於 2013-10-29 13:47:52
提升卡
沉默卡
变色卡
( k; Q- E; L% I1 \6 z: r