十大 WordPress 安全问题以及如何修复它们

大多数 WordPress 网站都托管在 Apache 服务器上，该服务器具有应对这些攻击的巧妙技巧。 所有 Apache 服务器都有一个文件 .htaccess，用于定义网站的访问规则。

为了减少 SQL 注入和 URL 黑客攻击的发生率，请将以下代码添加到 .htaccess 文件中以制定一套强大的规则。

 <IfModule mod_rewrite.c>
重写引擎开启
重写基数 /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
重写规则 ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|e|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(&#x22;|&#x27;|&#x3C;|&#x3E;|&#x5C;|&#x7B;|&#x7C;).* [NC,OR ]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*WordPress_logged_in_.*$
重写规则 ^(.*)$ - [F,L]
</IfModule>

如您所见，代码“清理”了进入输入字段的数据。 此外，所有此类输入都被视为字符串而不是 SQL 查询语句。

提示 #9：拒绝访问 WordPress 中的敏感文件

WordPress 安装包含多个敏感文件，例如wp-config.php 、 install.php和readme.html文件。 这些文件必须对所有外部访问隐藏。

同样，.htaccess 是您最好的朋友。 您可以将以下几行添加到文件中，以防止重要文件被篡改。 以下代码片段还可以防止访问用户目录列表，并隐藏敏感服务器和 WordPress 文件以防止未经授权的访问。

 选项 All -Indexes

<文件 .htaccess>
命令允许，拒绝
拒绝所有人
</文件>

<文件 readme.html>
命令允许，拒绝
拒绝所有人
</文件>

<文件许可.txt>
命令允许，拒绝
拒绝所有人
</文件>

<文件安装.php>
命令允许，拒绝
拒绝所有人
</文件>

<文件 wp-config.php>
命令允许，拒绝
拒绝所有人
</文件>

<文件错误日志>
命令允许，拒绝
拒绝所有人
</文件>

<files Fantasyo_fileslist.txt>
命令允许，拒绝
拒绝所有人
</文件>

<文件 fantversion.php>
命令允许，拒绝
拒绝所有人
</文件>

如果您想更深入地使用 .htaccess 文件来优化您的 WordPress，这里是 WordPress .htaccess 文件的详细说明。

提示 #10：更改数据库的默认前缀

隐藏 WordPress 版本：默认情况下，WordPress 会自动将当前版本号添加到主题的头部部分。 一个很好的安全提示是永远不要公开显示 WordPress 版本，因为攻击者可以对标题中提到的版本的所有已知漏洞发起攻击。

以下简单的代码行应包含在主题的functions.php文件中以隐藏WordPress 版本。

 remove_action('wp_head', 'wp_generator');

更改数据库的默认 WordPress 前缀：WordPress 数据库中的所有表的名称都以前缀虽然这似乎是一个很棒的功能，但对于 WordPress 黑客来说，这通过消除一些猜测大大简化了事情。

用户可以通过在安装 WordPress 时更改用户数据库表的默认 WordPress 前缀来限制这种可预测性。 这也可以通过在多个位置操作用户数据库来为已经处于活动状态的网站完成。 我建议使用最好的 WordPress 安全插件之一，为 WordPress 网站实施一系列防御。

Cloudways 帮助保护 WordPress 站点

在这篇有关保护 WordPress 网站的详细指南之后，值得一提的是，不能孤立地保护 WordPress。 WordPress 用户还应该选择一个安全的托管环境，为网站提供一个安全的环境。

以下是 Cloudways 如何提供安全的 WordPress 托管环境。

• 一流的云基础设施：Cloudways 与一流的云基础设施提供商合作，将安全作为他们的第一关注点。 在云上托管 WordPress 站点可确保高度安全。
• 防火墙：所有通过 Cloudways 启动的服务器都预装了防火墙，作为网站的第一道防线。
• 服务器监控：监控服务器有助于识别可能导致网站瘫痪的意外高流量高峰。
• 机器人保护：机器人保护旨在识别和阻止恶意流量，防止字典攻击、网页抓取和暴力攻击等攻击。 它还有助于减少 WordPress 应用程序的服务器资源使用。 这些攻击的目标是未经授权访问您的网站或压制它，但 Bot Protection 会监控所有这些活动，并在检测到时主动阻止。
• SSH 和 SFTP 访问：许多托管服务提供商仍然使用 FTP 来访问文件。 但是，使用 Cloudways SFTP（安全文件传输协议），您的连接是加密且安全的。 如果多个团队正在处理托管在服务器上的项目，则可以为他们分配对特定应用程序而不是整个服务器的访问权限。
• 更新的操作系统和应用程序：Cloudways 的专家密切关注最新版本，并在稳定性和兼容性测试后确保其可用性。
• 随机生成的凭据：所有通过 Cloudways 启动的应用程序都有一个很难猜测的默认随机生成的凭据。
• 备份：在发生灾难时，站点备份是加快灾难恢复速度的最佳选择。 您可以将备份频率设置为低至一小时。
• 免费 SSL 证书：Cloudways 提供具有自动续订功能的一键式 SSL 证书安装。
• 免费登台环境： Cloudways 提供免费的 WordPress 登台环境，以确保一切继续按预期运行。
• 24/7 实时聊天支持：还在担心服务器安全和性能吗？ Cloudways 支持全天候提供支持。
• 电话支持：这是高级支持插件，如果您需要任何帮助，也可以随时联系我们的高级工程师直接回复。

常见问题

问：如何修复 WordPress 不安全？

A：按照这个指南，看看我提到的所有要点，我希望它对你有很大帮助。

问：我应该使用 SSL 证书来保护我的 WordPress 网站吗？

答：是的，您应该这样做，大多数托管公司都提供免费的一键式 SSL 证书。

问：WordPress 有安全问题吗？

答： WordPress 是当今最受青睐的内容管理系统 (CMS)。 在众多主题和插件的帮助下，人们可以根据自己的品味和喜好轻松定制自己的网站。 但是，WordPress 安全性是许多人关注的主要问题之一。

底线

WordPress 安全提示可确保有效且安全的网站。 然而，许多人忘记了保护 WordPress 网站是一个持续的过程，面对网络空间中出现的新工具和技巧，需要持续关注。

我强烈建议 WordPress 用户使用安全审计插件记录 WordPress 上发生的事情，并使用首选的 WordPress 安全插件来加强 WordPress 环境抵御安全威胁。

如果您认为我错过了什么，请随时添加。 我会尽快将其添加到列表中。 如果您有任何问题，请在下面的评论中留言。