WordPress 是迄今爲止最流行的博客平臺。php
正因爲它的流行,也所以帶來了正面和負面的影響。事實上,幾乎每一個人都使用它,使它更容易被發現漏洞。WordPress 的開發人員作了不少工做,一旦新的缺陷被發現,就會發布修復和補丁,但這並不意味着你能夠安裝完就置之腦後。html
在這篇文章中,咱們將提供一些最多見的保護和強化 WordPress 網站的方法。linux
在登陸後臺時老是使用 SSL
不用說的是,若是你並不打算只是作一個隨意的博客,你應該老是使用 SSL。不使用加密鏈接登陸到你的網站會暴露你的用戶名和密碼。任何人嗅探流量均可能會發現你的密碼。若是你使用 WiFi 上網或者鏈接到一個公共熱點,那麼你被黑的概率更高,這是特別真實的。你能夠從這裏獲取受信任的免費 SSL 證書。web
精心挑選附加的插件
由第三方開發人員所開發,每一個插件的質量和安全性老是值得懷疑,而且它僅取決於其開發人員的經驗。當安裝任何額外的插件時,你應該仔細選擇,並考慮其受歡迎程度以及插件的維護頻率。應該避免維護不良的插件,由於它們更容易出現易於被利用的錯誤和漏洞。後端
此主題也是上一個關於 SSL 主題的補充,由於許多插件包含的腳本會發出不安全鏈接(HTTP)的請求。只要你的網站經過 HTTP 訪問,一切彷佛很好。可是,一旦你決定使用加密並強制使用 SSL 訪問,則會當即致使網站的功能被破壞,由於當你使用 HTTPS 訪問其餘網站時,這些插件上的腳本將繼續經過 HTTP 提供請求。安全
安裝 Wordfence
Wordfence 是由 Feedjit Inc. 開發的,Wordfence 是目前最流行的 WordPress 安全插件,而且是每一個嚴肅的 WordPress 網站必備的,特別是那些使用 WooCommerce 或其它的 WordPress 電子商務平臺的網站。網絡
Wordfence 不僅是一個插件,由於它提供了一系列增強您的網站的安全功能。它具備 web 程序防火牆、惡意軟件掃描、實時流量分析器和各類其它工具,它們能夠提升你網站的安全性。防火牆將默認阻止惡意登陸嘗試,甚至能夠配置爲按照 IP 地址範圍來阻止整個國家/地區的訪問。咱們真正喜歡 Wordfence 的緣由是,即便你的網站由於某些緣由被侵害,例如惡意腳本,Wordfence 能夠在安裝之後掃描和清理你的網站上被感染的文件。wordpress
該公司提供這個插件的免費和付費訂閱計劃,但即便是免費計劃,你的網站仍將得到使人滿意的水平。工具
用額外的密碼鎖住 /wp-admin 和 /wp-login.php
保護你的 WordPress 後端的另外一個步驟是使用額外的密碼保護任何除了你之外不打算讓任何人使用的目錄(即URL)。 /wp-admin 目錄屬於此關鍵目錄列表。 若是你不容許普通用戶登陸 WordPress,你應該使用密碼限制對 wp.login.php 文件的訪問。不管是使用Apache 仍是 Nginx,你均可以訪問這兩篇文章,瞭解如何額外保護 WordPress 安裝。網站
禁用/中止用戶枚舉
這是攻擊者發現你網站上的有效用戶名的一種至關簡單的方法(即找出管理員用戶名)。那麼它是如何工做的?這很簡單。在任何 WordPress 站點上的主要 URL 後面跟上 /?author=1 便可。 例如:wordpressexample.com/?author=1。
要保護您的網站免受此影響,只需安裝中止用戶枚舉插件。
禁用 XML-RPC
RPC 表明遠程過程調用,它能夠用來從位於網絡上另外一臺計算機上的程序請求服務的協議。對於 WordPress 來講,XML-RPC 容許你使用流行的網絡博客客戶端(如 Windows Live Writer)在你的 WordPress 博客上發佈文章,若是你使用 WordPress 移動應用程序那麼也須要它。 XML-RPC 在早期版本中被禁用,可是從 WordPress 3.5 時它被默認啓用,這讓你的網站面臨更大的攻擊可能。雖然各類安全研究人員建議這不是一個大問題,但若是你不打算使用網絡博客客戶端或 WP 的移動應用程序,你應該禁用 XML-RPC 服務。
有多種方法能夠作到這一點,最簡單的是安裝禁用 XML-RPC插件。