WordPress安全防护攻略

最新推荐文章于 2024-07-13 09:42:36 发布
最新推荐文章于 2024-07-13 09:42:36 发布
阅读量713 收藏 28
点赞数 29
分类专栏: 程序员 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/erhtre/article/details/137572564
版权

养成不管做什么,都要有备份的好习惯,即便被黑了,核心数据还在,根就在,怕啥;最坏的事故就是网站彻底做鸡了,还没备份,那心里的噶应感觉真是简直了。

推荐的还有服务器端快照备份和景象备份

数据备份插件推荐: UpdraftPlus 200多万的安装 当前更新时间2019年3月 (备份插件恢复的话不是100%)

有个简单的方法就是 在你的主机服务器上使用快照备份或者镜像备份。

第四:垃圾评论过滤

网站经常会收到一堆垃圾评论,你看就不正经,你看着像广告,但其实可能是XSS(跨站脚本攻击),危害性不可小看

你可以使用 插件: Akismet,千百万人使用,保护自己的站点免受垃圾评论的困扰

第五:身份转换

当网站被人撸了后,应该不会闲的去告诉你,所以没事的时候可以使用技术手段定时检查一下网站的安全漏洞啥的。有不少专业工具可以扫描,Kali Linux就可以攻击WordPress,转换下身份可以自己攻击自己玩玩,又能增长知识还能提前发现安全隐患。

扫描插件推荐: WordFence 当前更新于2019年3月

第六:插件安全性

网站的漏洞可能来源于插件,所以插件尽量少装,能用代码替换用代码替换,再者安装插件的话从WordPress官方的插件中心下载,避免来源不明的插件。

第七:管理员帐号安全性要高

怎么个高法?用户名和密码多种字符串联使用,比如:用户名D2e+@6~p;8[I 密码 k8/*W&^/j6>b.0

那些黑客会利用脚本自动化访问输入用户名密码来暴力破解。如果你的网站装有流量分析或者请求监控的话你可以看看,可以看到请求者的IP和他想访问的地址,从中筛选出"嫌疑犯",当然如果你的站点访问挺多的,这确实不好筛选,如果你有什么好的方法,留言一起学习。

还可以限制登录次数,插件推荐 Login LockDown 当前更新于2016年9月

第八: 更改登录入口

在你登录的时候,你可以看到浏览器地址栏那有个地址(wp-admin),如果你没做修改的话,那是WP默认的后台地址,所以修改掉你的登录入口,可以有效防止被人发现你的后台地址。

第九:使用Https协议

如果你的电脑有什么代理软件或者监听软件,普通的传输方式可能是明文的,恶意者很容易窃取你的信息。改成https放心多了

服务器商官网都有修改https教程,如果你是WordPress站点的话,可以搜索WordPress配置SSL。

第十:关闭.php文件访问权限

WP是用php开发的,在访问你的站点的时候有可能某个链接是.php的,一旦被发现php源文件有漏洞的话,他可能就会做一些渗透。

在.htaccess文件里添加针对敏感目录的规则,禁止直接访问.php文件

<Directory “/var/www/wp-content/uploads/”>

<Files *.php>

Order Allow, Deny

Deny from all

第十一:数据库

在安装WP的过程中有个数据库环节,其中有数据库表前缀wp_,这是默认的,如果你使用这个,可能会被撞到使用SQL注入的形式攻击你。有备份的话还好,没备份就呵呵了。

第十二:找准目标群体

个人站点是针对国内的,所以国外的一些ip就可以直接拒绝掉了 ,而且大部分进行CC攻击的多数来源是国外,只允许国内用户访问省事多了。

拒绝非中文用户访问:这需要修改 /usr/local/nginx/conf/duimin.com.conf,正常的非中文访问的全部404错误页面。

if ( $http_accept_language ~* [zh])

{ return 404; #非中文用户访问网站返回404 }

第十三:主机服务器设防

靠谱的主机服务商都包含主机安全,Web防火墙,DDos防护,安全组策略(端口开放限制)等功能。

第十四:代码防止CC刷新和DDos

  1. 主要方法有:

  2. 禁止网站代理访问

  3. 尽量将网站做成静态页面

  4. 限制连接数量

  5. 修改最大超时时间等

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:Android)

最后

考虑到文章的篇幅问题,我把这些问题和答案以及我多年面试所遇到的问题和一些面试资料做成了PDF文档

喜欢的朋友可以关注、转发、点赞 感谢!

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!

[外链图片转存中…(img-I6bQSYEZ-1712677238723)]

喜欢的朋友可以关注、转发、点赞 感谢!

《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!

erhtre
关注
专栏目录
WordPress 站点 Wp-Login.Php 登录页面,防止被机器扫描爆破终极方法
草根博客站长明月登楼的CSDN博客
06-11 1161
好了,到此有关 WordPress 站点 wp-login.php 登录页面,防止被机器扫描爆破终极方法就给大家分享到这里了,基本上你照着明月的这个方法操作就可以一劳永逸的解决 wp-login.php 登录页面被暴力破解的顽疾,尤其是新手站长们强烈建议大家新站上线就部署好这个防御措施彻底封堵死这个安全隐患。
WordPress安全方案
m0_63641320的博客
03-24 296
通过ACL策略解决wp安全问题,无需升级程序。
WordPress安全指南:19个步骤让您的WordPress安全防线坚如磐石
wangluoanquan111的博客
03-01 1349
谈到WordPress安全性,您可以采取很多措施来锁定您的网站,以[防止黑客和漏洞影响您的电子商务网站](https://www.wbolt.com/ecommerce-fraud-prevention.html)或博客。您最不想发生的事情是一天早上醒来发现您的网站一团糟。因此,今天我们将分享许多技巧、策略和技术,您可以使用这些技巧、策略和技术来提高WordPress安全性并保持受保护。
屏蔽修改wp-login.php登录入口确保WordPress网站后台安全
最新发布
CSDN专家-微编程的博客
07-13 252
WordPress程序默认的后台地址wp-login.php,虽然我们的密码设置比较复杂,但是如果被软件一直扫后台入口,一来影响网站的速度增加服务器的负担,二来万一被扫到密码,那就处于不安全的境地。所以,我们最好将后台地址入口隐藏屏蔽起来,我们可以通过下面的命令实现隐蔽wp-login.php入口。将第一步的脚本添加到当前主题的functions.php文件中,这样就可以实现隐藏后台入口地址,增加WordPress程序的安全。http://你的域名/wp-login.php?
wordpress安全防护设置
程序员
07-28 1462
1、修改默认的用户名admin与密码 在wordpress安装时可以设置用户名,后期更改比较麻烦,所以尽量不要使用默认的用户名,网站密码可以在后台设置,尽量设置复杂一点,如果用户名已经使用admin,可以使用下面方法进行修改wordpress用户名。 方法一:后台新建一个用户,角色为管理员,然后使用新用户登录,删除默认的 admin 用户。 方法二:可以使用数据库管理软件Navicat for MySQL或者phpmyAdmin进入数据表wp_users ,将 user_login字段 和 user
wordpress安全插件wordfence-7.10.3
08-26
Wordfence是一款专门为WordPress设计的强大安全插件,其版本7.10.3在安全防护领域具有很高的声誉。WordPress作为全球最受欢迎的网站构建平台之一,其安全性至关重要,而Wordfence正好为此提供了全面的解决方案。 ...
黑白色调网络安全防护网站源码 信息技术类wordpress模板
02-24
黑白色调网络安全防护网站源码 信息技术类wordpress模板
wordpress插件:隐藏wp信息,保护网站安全
07-03
消除wordpress的信息,修改登陆后台,保护博客安全
WordPress 网站如何防范大规模暴力破解攻击
01-20
前段时间,WordPress 网站遭到了大规模的暴力破解攻击,攻击者首先扫描互联网上的 ...从上面这则新闻,可以看出攻击者主要是首先扫描 WordPress 网站,然后通过穷举法攻击 WordPress 的默认用户名:admin,我们可
WordPress 确保您的网站安全
特网云计算
03-04 5260
虽然您的网络托管服务提供商和数据中心投入了大量精力和费用来确保您的数据安全,但很明显,您有责任确保您的数据(以及客户的私人数据)保持安全。 回顾上述内容,一旦您为您的网站选择了最佳网站主机,以下是您应该采取哪些措施来改善保护: 修补过时的软件——无论您拥有自定义网站还是 WordPress 等内容管理系统,您都需要使所有脚本和软件保持最新。补丁通常解决旧版本中发现的安全问题,如果您未能更新,您的网站就会容易受到攻击。确保插件、扩展、应用程序、购物车甚至模板都包含在定期更新和站点维护中,以减少漏洞。 ..
WordPress安全防御攻略(续)
空名先生
04-08 3800
续 承接上一篇:WordPress安全防御攻略第七: 更改登录入口 在你登录的时候,你可以看到浏览器地址栏那有个地址(wp-admin),如果你没做修改的话,那是WP默认的后台地址...
如何保护 WordPress 网站免受黑客攻击
SEO_juper的博客
01-02 1551
对于许多 WordPress 网站来说,只需采取一些小措施来确保网站安全,就足以防止网站被黑客攻击。WordPress 经常成为黑客攻击的目标。黑客攻击的目标包括主题、WordPress 核心文件、插件,甚至登录页面。采取这些步骤可以降低被黑客攻击的可能性,并在发生黑客攻击时更容易恢复。
WordPress安全防范
sixeit的博客
12-30 277
WordPress安全防范是非常重要,如果WordPress安全上除了问题,那么网站排名将受到影响。这里介绍下简单的WordPress安全防范方法。 1、利用插件 WordPress Antivirus可以扫描模板中的异常、病毒木马等,非常好。但是也有不足:1、对于部分链接买卖的代码、推广代码、部分跳转代码会报警搞,所以不要随意的删除文件,需要斟酌。2、WordPress Antivirus仅限于扫描模板,所以对于附件目录、源码程序,都是无法扫描的。 2、附件检查 后门文件,服务器上的其他WordPress
最強的 WordPress 安全插件 - Wordfence Security
老K的博客
07-28 7852
WordPress 是近几年来最热门的架站软体,但也因为这样引起了骇客的关注。WordPress 面临高强度暴力破解,你做好防护了吗?现在介绍一套能够增强 WordPress 保护机制的外挂 – Wordfence Security。 Wordfence Security 是一个安全性的外挂,简单而且又好用,所以,可以在每安装一个插件或是佈景主题后就扫瞄一下自已的WordPress
WordPress初学者入门教程-WordPress安全
邱哥有言
07-20 807
曾经有很多这样的例子,黑客进入WordPress网站后造成了严重破坏,导致人们失去了他们的WordPress网站。几年前,我的一个网站被黑得很厉害,我干脆把整个网站都删了,让域名过期。那时候,我还没有一个可靠的备份系统。我的网站被黑的时候使用的是一个插件,结果证明是不安全的。因此,如果你的仪表板上显示有WordPress升级,请尽快安装它,以确保你的副本有所有的bug修复和/或安全补丁。对于那些想要更多安全指导的人,我有一个关于WordPress安全主题的完整视频课程,以及如何确保你的网站几乎是防黑客的。.
分享个自用的 Nginx 加强 WordPress 防护的规则
草根博客站长明月登楼的CSDN博客
05-28 430
一般明月使用这些规则都是新建一个.conf 文件,在 Nginx 站点配置文件里单独 include 这个文件,重启 Nginx 生效,主要是为了根据不同站点需求进行细微的修改而已,理论上来说在宝塔面板里也可以这么用的,大家活学活用即可。
基于nginx配置的WordPress网站防御17ce等测速网站攻击指南
fire_win10的博客
07-23 1028
本文原文:基于宝塔面板nginx配置的WordPress网站防御攻击指南-奇它博客 免插件实现WordPress网站屏蔽后台搜索词广告 WordPress网站批量更换文章固定链接(百度收录自动301跳转) 之前奇它博客@老白分享过一篇利用17ce测速网站攻击小型WordPress网站的文章,一直没来得及写相关的防御教程。今天便和大家分享一下两种WordPress网站防御攻击指南:一个是利用宝塔面板nginx防火墙添加ip黑名单实现的,另外一种则是通过更改服务器nginx配置实现的,后者除了能防御来自17ce
WordPress开发全攻略:从主题到插件
安全性方面,手册提到了主题安全,包括数据消毒、逃避、验证和防范常见漏洞的策略。此外,还介绍了子主题、UI最佳实践、JavaScript最佳做法和主题单元测试,帮助开发者确保主题的质量和兼容性。 在插件开发部分,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值