开始

作为一个连SEO懒得优化,站点地图交给百度就不管的小透明,之前我是真的不会相信自己的站点会被人恶意攻击。但发现还是有不少人搞坏主意。

因此开始重视安全问题,也借此说一下。

正题

WordPress

后台地址修改

WordPress的默认地址wp-admin容易被别人猜出来然后爆破,用户名不易猜,密码比较复杂还好说,但大量的爆破也会影响站点,增加服务器负载。因此建议修改后台地址。

这里可以使用插件修改- WPS Hide Login

下载插件后安装,在设置->常规选项里面,最下面就看到一个设置的地方,设置一个你想要的文件名称路径即可。

数据库表前缀

WordPress的默认数据库前缀wp-容易让人猜出数据库结构,需要更换前缀。安装之前可以在设置引导里修改前缀,若是已经搭建好了站点,可以自己动手修改。

但是考虑到太麻烦了,插件狂魔这里再送出一个插件All In One WP Security

这个插件还是很好用的,在仪表盘-插件-安装里即可搜索安装。亦或是在这里下载

之后在后台工具栏-WP安全-数据库安全里修改即可

一定要注意操作前备份好数据库,以免发生不可预料的问题。

同时那个插件还有更多好用的设置,这里再推荐另一个插件wordfence

这个插件地表最强,唯一问题是没有汉化。可以说是必备插件。

  • 文件防篡改:可检测核心文件、主题文件、插件文件是否被篡改、挂马、插后门。
  • 后门检测:可检测网站文件中是否包含已知的恶意脚本。
  • 防火牆:可通过防火牆规则自动屏蔽正在从事危险行为的访客。具备一定的防DDOS能力。
  • 防爆破:可防止黑客对后台密码进行暴力破解
  • 防入侵:可检测当前站点是否含有已知漏洞。 (收费功能)
  • 访客统计:可列出当前访客的IP及地理位置(支持中国,可精确到市) 可查看访客的来路及当前访问页面,若有可疑,可直接屏蔽之。
  • 评论安全:可检测评论中是否包含钓鱼网站等危险URL 隐藏wordpress版本号:当指定版本出现漏洞时,此功能可防止黑客批量搜索到你并进行入侵。

宝塔面板

nginx免费防火墙

这个防火墙还是比较直观好用的。还自带webshell查杀。

同时也可以上cloudflare,国外服务器很推荐这个CDN,可以无限制的抗ddos攻击。国内就算了吧,使用这个反而反优化。

详情请看这个页面https://www.manami.top/2020/01/03/762/uncategorized/cloudflare/

其他的建议

使用靠谱的空间

不靠谱的空间不仅影响访问体验,而且维护上很差。我之前买了个淘宝30一年的虚拟主机,没几天跟我同ip的网站搞黄色被查水表没跟我说一声就删除站点了。

及时更新插件以及网站版本

这个很重要,过旧的版本很有可以有已知的漏洞让他人有空可钻。最好开启自动更新。

慎重使用插件以及主题

天下没有免费的午餐,尤其是那种破解版的插件,要睁大双眼,别当了别人的肉鸡。

尽量站点使用HTTPS

HTTPS 可阻止第三方侦听或修改客户端和服务器之间通信的 中间人攻击。理想情况下,应该在安装 WordPress 前激活 HTTPS。

勤备份

万一出啥事备份是最好的手段,不仅是安全方面,你手一抖删除什么也不会后悔莫及。