最近博客模板也算是转型完毕了,增加了很多插件等,现在就该解决一下漏洞以及检测下安全的问题了。顺便告诉大家如何自检自己的博客是否安全,会不会容易被入侵。
检测安全的方法一
其实也是出于偶然,发现了一个网站:https://wpscans.com/没错,就是这个网站,他可以扫描你的Wordpress中存在的安全漏洞,让你可以及时的修复各种问题。
以本站为例,下图为检测的结果:
以上方法基本可以把WordPress很多最新的安全漏洞以及可能爆出信息泄露的隐患给扫描出来,然后自己解决即可。如果你觉得还不够安全,可以继续往下看。
检测安全的方法二
后台密码
把你的后台密码设置的更加安全并且进行定期更换,虽然这个问题已经是老问题了,但是众多大站曾经依旧爆出密码弱密码的问题,所以还是把你的密码设置的复杂一些,以及一个月更换一次。
隐藏目录
隐藏你的安全目录,当时安装了新的WordPress博客或者从未进行隐藏目录的时候后,访问https://www.svlik.com/wp-content/plugins/将会以列表的形式把plugins目录下的文件列表出来,虽然看起来没什么不妥,但是这样如果被别有用心的人利用,那将可以针对你的插件版本进行漏洞入侵。解决方法其实也非常简单,就是在你的plugins目录下放一个空白的index.html就可以了,同理也可以在你不想让别人看到的目录下放置空白的index.html文件。
登录限制
给博客登录处设置限制,这样做的好处就是可以防止别人恶意通过字典来爆破你的密码,我们可以使用limit login attempts reloaded插件来启用这一项功能,可以位于底部进行下载汉化版。以下是效果预览与设置方法:
及时备份你的博客
通过定时的备份来备份你的博客与数据库,这样即使服务器挂了,也可以通过恢复备份来启用临时站点,直至服务器恢复。
去掉冗余的版本信息
一些模板会在header.php文件中加入以下信息来显示WordPress的版本,这样会导致别有用心的人来根据版本进行针对性的攻击,可以直接在header.php文件中删除以下代码。
[php]<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />[/php]
保护wp-config.PHP文件
把wp-config.php的文件权限设置成只读,这样别人不到这个文件了。如果是Linux可以在.htaccess文件中添加以下语句来防止别人查看wp-config.php文件。
# protect wpconfig.php <files wp-config.php> Order deny,allow deny from all </files>
隐藏管理员登录名
在你安装完毕WordPress的时候,就立即给管理员账号设置一个与用户名无关的昵称,并且把公开显示为设置为你的昵称,这样就可以在你发布文章和回复评论的时候显示的是你的昵称,从而达到隐藏登录名的方法。
limit-login-attempts-reloaded.2.6.3.zip (下载512 )
还可以利用云锁 锁定网站目录和数据库文件位置,设置成只读。优点,入侵者即使爆破数据库,数据库也不会返回任何信息。缺点,有网民提交评论时,提交会失败,更新文章,同样会失败。因此,在更新文章时,可以关闭锁定的网站目录和数据库。
2018-12-28 09:46站长你好,请问你的站点地图使用的什么插件呢?简洁啊
2017-12-27 15:28哇哦,大神有教程可以分享吗,我在博客上没有搜到啊
2017-12-28 12:47