WordPress外贸网站安全防范之终极教程

LiaoSam2019-04-12Wordpress,外贸建站2045 次访问9 评论

WordPress外贸网站安全防范之终极教程

这几年来,我听过很多外贸人抱怨自己辛苦建的 WordPress 网站被黑了!甚至有人质疑 WordPress 这种开源的程序是否是建站的最佳选择,因为开源程序总是更容易被黑客研究以及开展攻击手段。不可否认,开源的建站程序的确存在这种情况,就像任何事物都两面性一样。

被黑客攻击的 WordPress网站,可能会对公司的业务造成严重损害。黑客可以窃取用户信息,密码,安装恶意软件,甚至是勒索软件。2016年3月,一份来自谷歌报告称,超过5000万网站用户被警告他们访问的网站可能包含恶意软件或窃取信息。此外,谷歌每周月记录 20,000 个恶意软件网站和大约 50,000 个网络钓鱼网站。

所以无论是自建站还是外包建站,一定要特别注意 WordPress 网站的安全性。

一、首先,注意更新 PHP 版本 和 WordPress 版本

为了安全起见,建议 PHP 至少升级到 7.2 版本。当然,参考这篇文章升级到最新的 7.3 版本也OK。

关于原因,前面写过一篇文章:

WordPress,尽量安装最新版本。如果一直没怎么更新的,建议更新一下。

题外话:关于 Gutenberg(古腾堡)编辑器

WordPress 5.0 起,使用了一个基于 Block 布局的 Gutenberg(古腾堡)编辑器。虽然 WordPress 官方极力推荐这种编辑器,但是90%以上的用户试用过一阵子后都是感觉非常不习惯。对于很多的 WP 使用者来说,都已经使用习惯了老版本默认的经典的编辑器,使用这种新的编辑器会非常不方便。

于是我们需要安装一个额外的插件来解决这个问题。在 WP 后台菜单里找到 Plugins(插件),选择安装插件,在弹出的搜索页面输入 Classic Editor,找到这款插件。

安装之后,启用即可。这样编辑器就又变成以前的经典编辑器了。

二、其次,隐藏版本号。

这一步你可以按照下面的代码手动添加代码,也可以使用第四部分所说的 WordFence 插件来完成。对我这种熟练的WP用户甚至半个Developer来说,肯定是代码搞定,节省一个插件调用。

在你的主题文件夹(如果有子主题并启用了子主题,则在子主题文件夹下)找到 functions.php 文件,使用 FTP 或 XFTP 等工具下载到本地。
使用 notepad++(还没下载安装的去下载安装一下),鼠标右键选择 edit with notepad++。

添加一段代码:

function liao_remove_version() {
 return '';
}
add_filter('the_generator', 'liao_remove_version');

代码的作用是在系统默认显示版本的地方,显示为空。

三、禁止修改 config.php 文件

config.php 文件是 WordPress 的重要配置文件,里面包含了数据库名称,数据库用户名和密码等敏感信息。如果不加以保护,可能会被黑客掌握。

在 WordPress 网站根目录下,wp-config.php 文件内最后添加这行代码,来禁止通过线上方式修改设置:

define('DISALLOW_FILE_EDIT', true );

保存,上传覆盖原 wp-config.php 文件。

四、安装 All in One WP Security & Firewall 插件

Wordpress安全插件-All in One WP Security & Firewall

之前在文章中我介绍了 Wordfence 这个插件,但是它设置起来比较繁杂,而且也比较耗费主机资源。所以,这里换用另外一款插件,All in One WP Security & Firewall。

这款插件能够帮你完成本文中提到的多个方面的安全防御,并且它的仪表板很整洁,易于操作。

主要特点:

  • 防止“暴力破解登录攻击”
  • 自动锁定尝试使用虚假信息访问的用户的IP地址
  • 监控登陆失败行为(尝试登陆的时间和登陆者IP)
  • 一键自动备份数据库
  • 开启 Captcha(谷歌验证码)登录
  • 阻止访问 wp-config.php 等文件
  • 按 IP 和国家/地区阻止用户访问

五、开启 CouldFlare CDN 服务

CouldFlare 是全球知名的 CDN 服务商。CDN 是一种内容分发机制,简单来说就是可以把你网站上的内容预读到离访客国家最近的 CDN 服务器上,加快读取网页的速度。

虽然 CDN 起不到防止黑客侵入的作用,但是可以防范一些扫描和流量攻击。SiteGround 虚拟主机后台自带一键开启 Cloudflare CDN 的功能。不过建议等你建站全部完成之后,再开启。

另外,如果预算充足,还可以开启或升级付费的 Cloudflare CND 服务。

六、其他重要的防黑步骤

还有一些防范措施是 All in One WP Security & Firewall 插件没有做到的,比如你的用户名和密码。用户名太简单,密码太简单,很多时候都是你网站被轻易攻陷的直接原因。

建议再次耐心阅读之前写过的这篇文章,这里面的一些防范方法,你仍然需要参考,有些是 All in One WP Security & Firewall 插件没有涉及到的防范措施。

当然,上面 All in One WP Security & Firewall 插件基本功能中已经覆盖的安全措施,就没必要重复做了。如上传文件夹中禁止执行任何 php 文件等。

如此一来,你的网站即可安全无忧。


当然,凡事没有绝对,定期备份才是王道!

本站所有文章除注明“转载”的文章之外,均为原创。未经本站允许,请勿随意转载或用作任何商业用途,否则依法追究侵权者法律责任的权利。

分享到微信朋友圈

LiaoSam
LiaoSam
识不足则多虑,威不足则多怒,信不足则多言。

9条评论

发表我的评论

取消评论

邮箱白名单说明:最近料网自动提醒邮件经常会被一些邮件服务商拦截。为了您顺利并及时地收取留言被回复的提醒邮件,请在您邮箱中把料网 liaosam.com 加入白名单域名。

已读说明
设为私密评论
添加表情

Hi,您需要填写昵称和邮箱!

您的邮箱地址不会公开,仅仅用于收取回复。建议填写QQ邮箱,不宜填写工作邮箱。
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址 (没有就留空)
呃,评论有点多呢... 料网小秘书为您玩命加载中...
  1. #5

    辛苦了, 料大. 每次来逛, 总有收获. Wordfence 以前用过好久, 后面卸载了. 感觉体量太大, 吃内存. 不过用一个好的服务器还是可以的. 一般的shared hosting 比较吃力.

    8个月前 (04-19)回复
    • LiaoSam
      Liaosam,外贸综合症患者。
      @Leon 确实是有点耗费资源,特别是用了 Avada 主题英文建站的情况下。卸载它以后,把这篇文章里提到的其它方面的防御做好也可以。
      7个月前 (04-29)回复
    • LiaoSam
      Liaosam,外贸综合症患者。
      @Leon 用这个插件替换觉得还挺好:All in One WP Security & Firewall
      7个月前 (05-04)回复
      • @Liaosam 谢谢料大. 找时间试试.

        7个月前 (05-04)回复
  2. #4

    还有就是购买正版主题和插件,然后定期更新,很多人为了省钱去某宝上买汉化主题,都是潜在的危险。
    推荐一款插件自动更新插件Companionupdate,不用手动更新插件和主题,可以自动更新。

    8个月前 (04-18)回复
  3. #3

    料神又出干货,WordPress终极安全防护策略!能否出一篇CloudFlare的设置教程?

    8个月前 (04-15)回复
    • LiaoSam
      Liaosam,外贸综合症患者。
      @龙飞飞 SiteGround 后台自带 CloudFlare 快捷设置。
      7个月前 (05-04)回复
  4. #2

    对于料神的建站技术,必须点100个赞。 :mrgreen:

    8个月前 (04-15)回复
  5. #1

    还是习惯wordpress的经典编辑器,虽然新版也有这个选项,但是确实太麻烦,用起来不方便~安装下料神推荐的插件试一下,谢谢!

    8个月前 (04-12)回复