這是一場可怕的噩夢:有一天,您打開網站,發現自己已被黑客攻擊。如果您正在運行一個簡單的個人博客,這可能只是一個煩人的事件。如果您托管客戶的網站,您的一天可能會變得艱難且充滿壓力。如果您正在運營一個高銷量的電子商務網站,它可能會引發恐慌。無論情況如何,您都不會使用快樂的表情符號來分享新聞。因此,您需要一個策略來防止攻擊發生。
您來對地方了。在這個由兩部分組成的迷你系列中,我將向您展示如何使您的 WordPress 項目盡可能安全。
WordPress 安全性簡介
您認為 WordPress 安全嗎?如果您不這樣做也沒關系,因為很多人認為 WordPress 是一個不安全的內容管理系統,但事實與事實相去甚遠……至少在今天是這樣。
microsoft windows、android、Google chrome 和 WordPress 有什么共同點?它們都是非常流行的軟件,人們總是會發現其中的安全漏洞。盡管它們都定期修補錯誤和安全缺陷,但存在安全漏洞是否會使它們不安全?
如果您有不同的想法,我很抱歉,但事實并非如此。頻繁的補丁并不一定意味著某個軟件針對安全威脅的編碼很差。開發者和黑客之間的貓捉老鼠的游戲永遠會繼續下去,黑客永遠會找到破解軟件的方法。如果軟件像 WordPress 一樣是可擴展的,那么黑客入侵的機會也會增加。
這里重要的是響應能力和先發制人,而這正是 WordPress 所擅長的。你必須等待幾天才能讓 Google Chrome 堵塞安全漏洞,甚至需要等待幾周微軟才能發布安全修復程序,但龐大的 WordPress 開發者社區將能夠在 2019 年年底之前修復零日安全漏洞。 第一天。另外,有一整個團隊致力于保護 WordPress 核心,所以我們在這方面也有很好的把握。就主題和插件而言,發現錯誤和缺陷可能會更容易一些,并且可能需要更多時間來修復它們,但社區得到了開發人員的支持。
然而,沒有什么是百分百安全的。我們生活在科學家即將破解我們大腦密碼的時代!沒有什么是難以理解的,顯然包括我們的大腦,WordPress 也不例外。但 100% 的安全性是不可能的,并不意味著我們不應該追求 99.999% 的安全性。
提高 WordPress 的安全性
根據個人經驗和進一步的研究,我整理了一些您應該采取的安全措施(如果您還沒有采取的話)。話不多說,讓我們現在就來了解一下他們吧!
保護 .htaccess 文件
讓我們從簡單的開始。
如果您的 WordPress 網站托管在由 apache 提供支持的網絡服務器中,并且您在設置中啟用了“漂亮的永久鏈接”,WordPress 將生成一個名為 .htaccess 的文件來存儲基本信息WordPress 永久鏈接說明。如果您不啟用漂亮的永久鏈接,核心將不會生成 .htaccess 文件,但我將要展示的提示仍然適用 – 您只需要自己創建該文件。
Nano-tip:如果您要自己創建 .htaccess 文件,但很難創建一個沒有任何名稱但帶有 .htaccess 擴展名的文件,只需上傳一個空文件即可使用任何名稱(例如 Untitled.txt)并在 FTP 客戶端中更改名稱和擴展名。
我首先想到的是保護 htaccess 文件。這是我將向您展示的提示和技巧中最容易做的事情。您所要做的就是將以下行添加到文件中:
# protect .htaccess <files .htaccess> order allow,deny deny from all </files>
這是一個無害的技巧,可以保護 htaccess 文件免受任何想要訪問它的人(或任何)的訪問。
接下來,讓我們禁用顯示文件夾的內容:
# disable directory browsing Options All -Indexes
這將防止陌生人在想要訪問時看到您文件夾的內容,例如,myblog.com/wp-content/uploads/。通常,他們能夠查看上傳的文件或瀏覽 /uploads/ 目錄中的子文件夾,但通過這個小技巧,他們將看到來自服務器的 403 Forbidden 響應。
最后,我想參考 Perishable Press 提供的一份很棒的“黑名單”:5G 黑名單。此黑名單可以保護您的網站免受多種惡意活動的侵害,從有害的查詢字符串到不良的用戶代理。
這就是 htaccess 技巧。現在,讓我們繼續學習 wp-config.php 技巧。
wp-config.php 文件及其內容的安全技巧
就安全性而言,wp-config.php 文件可能是整個 WordPress 安裝中最重要的文件。您可以用它做很多事情來強化您的網站。
讓我們從一個有趣的技巧開始:您是否知道可以將 wp-config.php 文件放在 WordPress 根目錄中的上一級?如果它不會讓您感到困惑,請立即執行。大多數時候,我將 WordPress 安裝在 public_html 目錄中,并且喜歡將 wp-config.php 文件放在用戶根目錄中。不確定這是否是萬金油配方,但至少它感覺更安全。 Stack Exchange 的一些人就這個話題進行了很好的辯論。
順便說一下,讓我們回到根 .htacccess 文件并添加以下行以拒絕訪問 wp-config.php 文件:
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
這是一個有趣的想法:刪除編輯主題和插件文件的權限怎么樣?所需要做的就是將以下行添加到 wp-config.php 文件中:
define( 'DISALLOW_FILE_EDIT', true );
感覺更加偏執?將以下行粘貼到上面一行下方以完全禁用主題和插件安裝和刪除:
define( 'DISALLOW_FILE_MODS', true );
關于強化 WordPress 的另外兩個技巧:更改數據庫前綴,并在 wp-config.php 文件中添加安全密鑰(或 salt 密鑰)。
第一個很簡單:通過查找以下行來檢查是否將數據庫前綴設置為默認值:
$table_prefix = 'wp_';
如果它設置為 wp_,您應該將其更改為除此默認值之外的其他值。您無需記住它,因此可以輸入任何內容。我喜歡使用 wp_fd884vg_ 這樣的組合來保證它的安全性和可讀性。
更改安全密鑰也非常容易。通過找到以下行來查看鍵是否為空:
/**#@+ * Authentication Unique Keys and Salts. * * Change these to different unique phrases! * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service} * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again. * * @since 2.6.0 */ define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); define('AUTH_SALT', 'put your unique phrase here'); define('SECURE_AUTH_SALT', 'put your unique phrase here'); define('LOGGED_IN_SALT', 'put your unique phrase here'); define('NONCE_SALT', 'put your unique phrase here');
如果他們都說’把你獨特的短語放在這里’,這意味著他們還沒有設置。在這種情況下,只需轉到此 URL(也在代碼注釋中引用)并使用上面的行更改該頁面中生成的行。
Nano-tip:如果您想知道這些“鹽密鑰”是什么,WPBeginner 有一篇很棒的文章介紹了這種安全措施的好處。
wp-config.php 技巧就到此為止!今天就到此為止吧。
今天總結
我希望您今天喜歡這些 .htaccess 和 wp-config.php 技巧。在這個迷你系列的下一部分中,我們將介紹一些安全插件和其他有關強化 WordPress 的重要技巧。如果您有任何問題或意見,請隨時在下面的評論部分中提出。
下一部分見!
