十大 WordPress 安全問題以及如何修復它們

大多數 WordPress 網站都託管在 Apache 服務器上，該服務器具有應對這些攻擊的巧妙技巧。 所有 Apache 服務器都有一個文件 .htaccess，用於定義網站的訪問規則。

為了減少 SQL 注入和 URL 黑客攻擊的發生率，請將以下代碼添加到 .htaccess 文件中以製定一套強大的規則。

 <IfModule mod_rewrite.c>
重寫引擎開啟
重寫基數 /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
重寫規則 ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
RewriteCond %{QUERY_STRING} http\: [NC,OR]
RewriteCond %{QUERY_STRING} https\: [NC,OR]
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>|e|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(&#x22;|&#x27;|&#x3C;|&#x3E;|&#x5C;|&#x7B;|&#x7C;).* [NC,OR ]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*WordPress_logged_in_.*$
重寫規則 ^(.*)$ - [F,L]
</IfModule>

如您所見，代碼“清理”了進入輸入字段的數據。 此外，所有此類輸入都被視為字符串而不是 SQL 查詢語句。

提示 #9：拒絕訪問 WordPress 中的敏感文件

WordPress 安裝包含多個敏感文件，例如wp-config.php 、 install.php和readme.html文件。 這些文件必須對所有外部訪問隱藏。

同樣，.htaccess 是您最好的朋友。 您可以將以下幾行添加到文件中，以防止重要文件被篡改。 以下代碼片段還可以防止訪問用戶目錄列表，並隱藏敏感服務器和 WordPress 文件以防止未經授權的訪問。

 選項 All -Indexes

<文件 .htaccess>
命令允許，拒絕
拒絕所有人
</文件>

<文件 readme.html>
命令允許，拒絕
拒絕所有人
</文件>

<文件許可.txt>
命令允許，拒絕
拒絕所有人
</文件>

<文件安裝.php>
命令允許，拒絕
拒絕所有人
</文件>

<文件 wp-config.php>
命令允許，拒絕
拒絕所有人
</文件>

<文件錯誤日誌>
命令允許，拒絕
拒絕所有人
</文件>

<files Fantasyo_fileslist.txt>
命令允許，拒絕
拒絕所有人
</文件>

<文件 fantversion.php>
命令允許，拒絕
拒絕所有人
</文件>

如果您想更深入地使用 .htaccess 文件來優化您的 WordPress，這裡是 WordPress .htaccess 文件的詳細說明。

提示 #10：更改數據庫的默認前綴

隱藏 WordPress 版本：默認情況下，WordPress 會自動將當前版本號添加到主題的頭部部分。 一個很好的安全提示是永遠不要公開顯示 WordPress 版本，因為攻擊者可以對標題中提到的版本的所有已知漏洞發起攻擊。

以下簡單的代碼行應包含在主題的functions.php文件中以隱藏WordPress 版本。

 remove_action('wp_head', 'wp_generator');

更改數據庫的默認 WordPress 前綴：WordPress 數據庫中的所有表的名稱都以前綴雖然這似乎是一個很棒的功能，但對於 WordPress 黑客來說，這通過消除一些猜測大大簡化了事情。

用戶可以通過在安裝 WordPress 時更改用戶數據庫表的默認 WordPress 前綴來限制這種可預測性。 這也可以通過在多個位置操作用戶數據庫來為已經處於活動狀態的網站完成。 我建議使用最好的 WordPress 安全插件之一，為 WordPress 網站實施一系列防禦。

Cloudways 幫助保護 WordPress 站點

在這篇有關保護 WordPress 網站的詳細指南之後，值得一提的是，不能孤立地保護 WordPress。 WordPress 用戶還應該選擇一個安全的託管環境，為網站提供一個安全的環境。

以下是 Cloudways 如何提供安全的 WordPress 託管環境。

• 一流的雲基礎設施：Cloudways 與一流的雲基礎設施提供商合作，將安全作為他們的第一關注點。 在雲上託管 WordPress 站點可確保高度安全。
• 防火牆：所有通過 Cloudways 啟動的服務器都預裝了防火牆，作為網站的第一道防線。
• 服務器監控：監控服務器有助於識別可能導致網站癱瘓的意外高流量高峰。
• 機器人保護：機器人保護旨在識別和阻止惡意流量，防止字典攻擊、網頁抓取和蠻力攻擊等攻擊。 它還有助於減少 WordPress 應用程序的服務器資源使用。 這些攻擊的目標是未經授權訪問您的網站或壓制它，但 Bot Protection 會監控所有這些活動，並在檢測到時主動阻止。
• SSH 和 SFTP 訪問：許多託管服務提供商仍然使用 FTP 來訪問文件。 但是，使用 Cloudways SFTP（安全文件傳輸協議），您的連接是加密且安全的。 如果多個團隊正在處理託管在服務器上的項目，則可以為他們分配對特定應用程序而不是整個服務器的訪問權限。
• 更新的操作系統和應用程序：Cloudways 的專家密切關注最新版本，並在穩定性和兼容性測試後確保其可用性。
• 隨機生成的憑據：所有通過 Cloudways 啟動的應用程序都有一個很難猜測的默認隨機生成的憑據。
• 備份：在發生災難時，站點備份是加快災難恢復速度的最佳選擇。 您可以將備份頻率設置為低至一小時。
• 免費 SSL 證書：Cloudways 提供具有自動續訂功能的一鍵式 SSL 證書安裝。
• 免費登台環境： Cloudways 提供免費的 WordPress 登台環境，以確保一切繼續按預期運行。
• 24/7 實時聊天支持：還在擔心服務器安全和性能嗎？ Cloudways 支持全天候提供支持。
• 電話支持：這是高級支持插件，如果您需要任何幫助，也可以隨時聯繫我們的高級工程師直接回复。

常見問題

問：如何修復 WordPress 不安全？

A：按照這個指南，看看我提到的所有要點，我希望它對你有很大幫助。

問：我應該使用 SSL 證書來保護我的 WordPress 網站嗎？

答：是的，您應該這樣做，大多數託管公司都提供免費的一鍵式 SSL 證書。

問：WordPress 有安全問題嗎？

答： WordPress 是當今最受青睞的內容管理系統 (CMS)。 在眾多主題和插件的幫助下，人們可以根據自己的品味和喜好輕鬆定制自己的網站。 但是，WordPress 安全性是許多人關注的主要問題之一。

底線

WordPress 安全提示可確保有效且安全的網站。 然而，許多人忘記了保護 WordPress 網站是一個持續的過程，面對網絡空間中出現的新工具和技巧，需要持續關注。

我強烈建議 WordPress 用戶使用安全審計插件記錄 WordPress 上發生的事情，並使用首選的 WordPress 安全插件來加強 WordPress 環境抵禦安全威脅。

如果您認為我錯過了什麼，請隨時添加。 我會盡快將其添加到列表中。 如果您有任何問題，請在下面的評論中留言。